AVG

Samenvatting

Per 25 mei 2018 zal de AVG (Algemene Verordening Gegevensbescherming) definitief de bestaande privacywetgeving vervangen, hoewel de impact van de verordening verschilt per sector, organisatie of afdeling. In een notendop betekent de AVG meer verantwoordelijkheden voor organisaties en meer rechten voor de betrokkenen van wie de gegevens zijn. Organisaties worden geacht om transparant te zijn over wat zij met persoonsgegevens doen. Op basis van gedefinieerde grondslagen moet het verwerken van persoonsgegevens geminimaliseerd worden tot een 'need to have', in plaats van een 'nice to have'. Betrokkenen daarentegen krijgen, naast het recht op inzage en correctie van hun persoonsgegevens, nu ook het recht om gegevens te laten verwijderen of overdragen naar andere partijen.

Indien dit nog niet gedaan is, moeten organisaties dus verantwoordelijkheid nemen en zorgen dat zij aan de rechten van betrokkenen kunnen voldoen. Dit vraagt om voldoende mandaat en 'verandervermogen' om bestaande verwerkingsprocessen, systemen en gedrag in lijn te brengen met de nieuwe eisen van de AVG.

Hoe is dit te realiseren?

Bepaal de aanpak. Omdat de tijd dringt is het voor organisaties belangrijk om te bepalen welke strategie past: welke mate van AVG-compliancy is realistisch, welke eisen zijn op de organisatie van toepassing en op welke punten wordt er al aan voldaan? De AVG stelt, naast de algemene normen als 'transparantie' en 'minimalisatie', namelijk een aantal 'harde eisen' zoals de registratieplicht en de meldplicht datalekken. Daarnaast is een aantal eisen organisatie- of sectorspecifiek, zoals een Functionaris gegevensbescherming. Deze factoren bepalen grotendeels de impact va ...