Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG), de nieuwe regeling voor de bescherming van persoonsgegevens. De AVG is een Europese regeling die de huidige Wet bescherming persoonsgegevens (Wbp) gaat vervangen. Vanaf die datum geldt in de hele Europese Unie dezelfde privacywetgeving. De AVG geldt voor álle organisaties die persoonsgegevens verwerken, dus ook voor kleine mkb-ers en zzp-ers.

De belangrijkste wijzigingen van de AVG ten opzichte van de Wbp zijn:

 • accountability (documenteren in plaats van melden);
 • versterking van bestaande rechten van personen van wie privacygegevens worden verwerkt;
 • uitbreiding rechten van personen van wie privacygegevens worden verwerkt;
 • hogere boetes.

De eerste wijziging zorgt ervoor dat organisaties een grotere verantwoordelijkheid krijgen. Hoewel de verwerking van gegevens niet meer gemeld hoeft te worden bij de Autoriteit Persoonsgegevens (AP), rust er wel een verantwoordingsplicht op de organisaties. Deze verantwoordingsplicht houdt in dat de organisatie dient aan te tonen met documenten dat de organisatie de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Alle verwerkingen dienen geregistreerd te worden. In sommige gevallen bent u als organisatie verplicht om een Data protection impact assessment (DPIA) uit te voeren. Ook bent u soms verplicht om een functionaris gegevensbescherming (FG) aan te stellen.

De versterking van bestaande rechten houdt in dat er uitgebreidere toestemmingsregels zijn. Naast versterking van de bestaande rechten krijgen mensen door de AVG ook aanvullende rechten. Ten eerste is dat het recht op vergetelheid. Personen hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen ze daarnaast eisen dat de verwijdering van de persoonsgegevens ook doorgegeven wordt aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen. Ook hebben personen soms recht op dataportabiliteit. Dit houdt in dat personen straks onder bepaalde voorwaarden aan een organisatie kunnen vragen om hun persoonsgegevens in een standaardformaat te ontvangen.

Ten slotte zijn er hogere boetes bij niet nakoming van de verplichtingen uit de AVG. De AP kan boetes opleggen tot maximaal 20 miljoen euro. Er zijn twee categorieën met bijbehorende maximale boetes. De eerste categorie is aan de orde als de verantwoordelijken bepaalde verplichtingen niet nakomen, zoals bijvoorbeeld de verantwoordingsplicht. Er kan dan een boete worden opgelegd van maximaal 10 miljoen euro of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen. De tweede categorie is aan de orde als een verantwoordelijke de beginselen of de grondslagen van de AVG of de privacyrechten van de betrokkenen overtreedt. Dan kan de AP een boete opleggen van maximaal 20 miljoen euro of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Kortom: er is werk aan de winkel! Privacy speelt immers bij veel processen op de werkvloer een rol. Logischerwijs worden er bij HR veel persoonsgegevens verwerkt, maar kijk ook eens naar andere onderdelen van uw organisatie. Hebt u zicht op welke computerprogramma’s u en uw medewerkers allemaal gebruiken en welke daarvan niet op uw eigen server draaien en door uzelf worden beheerd? Stuurt u wel eens een nieuwsbrief of andere groepsmailing uit? Maken uw klanten misschien gebruik van een tool die u beheert en waar gegevens in staan van hun medewerkers of relaties? En kunt u het internet- en e-mailgedrag van uw medewerkers inzien als u dat zou willen? Welke persoonsgegevens worden er binnen uw organisatie eigenlijk allemaal per e-mail verzonden, zowel intern en als naar externen? Is er een toegangssysteem voor medewerkers? En worden er camerabeelden gemaakt op de bedrijfslocatie? Dat zijn allemaal vragen die u zich zou kunnen stellen.

Zorg er voor dat u voorbereid bent op de AVG. De AP geeft 10 stappen zodat u zich goed kunt voorbereiden.

 1. Zorg er voor dat de relevante mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels.
 2. Zorg er voor dat de betrokkenen (de mensen van wie u persoonsgegevens verwerkt) hun privacy rechten goed kunnen uitoefenen.
 3. Breng uw gegevensverwerkingen in kaart: documenteer welke gegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.
 4. Check of u een DPIA dient uit te voeren: u dient dit te doen als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.
 5. Zorg er bij het ontwerpen van producten en diensten al voor dat de persoonsgegevens goed worden beschermd (privacy by design) en zorg er voor dat u technische en organisatorische maatregelen neemt om er voor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken (privacy by default).
 6. Bepaal nu al of uw organisatie een FG dient aan te stellen.
 7. Realiseert u zich dat u straks ook alle datalekken dient te documenteren.
 8. Indien u gebruik maakt van een bewerker (heet in de AVG ‘verwerker’) check dan of de bewerkersovereenkomsten voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt.
 9. Indien u vestigingen heeft in meerdere EU-lidstaten, bepaal dan onder welke privacytoezichthouder u valt.
 10. Indien uw gegevensverwerking gebaseerd is op de toestemming van betrokkenen, controleer dan of u voldoet aan de strengere eisen die de AVG hieraan stelt.

U heeft nog tot 25 mei 2018 om te voldoen aan de AVG. Op die datum dient u aan de eisen van de AVG te voldoen.

Hoewel de AVG voor alle EU-landen geldt, mogen landen op een aantal punten zaken zelf nader regelen. Nederland zal deze uitzonderingen vastleggen in de Uitvoeringswet AVG. Deze wet is nog niet vastgesteld. Indien over de Uitvoeringswet AVG en de vaststelling hiervan meer bekend is, zullen wij u hierover uiteraard op de hoogte houden.

Bron stappenplan: In 10 stappen voorbereid op de AVG, www.autoriteitpersoonsgegevens.nl

Deel deze publicatie via
Terug naar het overzicht