GDPR – General Data Protection Regulation

Overzicht GDPR of AVG - algemene verordening gegevensbescherming

De Europese privacy verordening “algemene verordening gegevensbescherming (AVG)” gaat over de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

In het Engels heet de AVG General Data Protection Regulation (GDPR). Deze verordening vervangt de databeschermingsrichtlijn uit 1995. Die sloot niet meer aan op de huidige digitale wereld. De AVG is in mei 2016 in werking getreden. Van organisaties wordt verwacht dat zij vanaf die tijd hun bedrijfsvoering met de AVG in overeenstemming brengen.

Zij krijgen daarvoor tot 25 mei 2018 de tijd. Daarna mag iedereen organisaties op de naleving van de AVG of GDPR aanspreken. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, waarbij de hoogste variant geldt.

Voor opsporingsinstanties en het Openbaar Ministerie geldt aparte privacywetgeving. Het EU voorstel is om de AVG op 25 mei 2018 te laten vergezellen door de e-privacyverordening. Het EU-VS-privacyschild is een overeenkomst over de bescherming van persoonsgegevens van EU-burgers die in de VS worden verwerkt.EU-VS-privacyschild is een overeenkomst over de bescherming van persoonsgegevens van EU-burgers die in de VS worden verwerkt.



De Autoriteit Persoonsgegevens heeft 10 stappen beschreven om voorbereid te zijn op de AVG
Stap1: Bewustwording
Aanpassen huidige processen, diensten en goederen.
Stap2: Rechten van betrokkenen
Recht op inzage, recht op correctie en verwijdering, recht op het hergebruiken van data.
Stap3: Overzicht verwerkingen
Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Documentatieplicht.
Stap4: Privacy Impact Assessment (PIA)
Verplicht PIA uit te voeren bij waarschijnlijk hoog privacy risico.
Stap5: Privacy by design & privacy by default
Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn. Op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
Stap6: Functionaris voor de gegevensbescherming
Mogelijke verplichting om een functionaris voor de gegevensverwerking (FG) aan te stellen.
Stap7: Meldplicht datalekken
U moet alle datalekken documenteren.
Stap8: Bewerkersovereenkomsten
Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend?
Stap9: Leidende toezichthouder
Vestigingen of gegevensverwerkingen in meerdere EU-lidstaten? Toch één privacy toezichthouder.
Stap10: Toestemming
Kunnen aantonen dat u geldige toestemming van mensen heeft gekregen. Het moet net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.
  • Transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten.
  • Doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
  • Gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
  • Juistheid: de persoonsgegevens moeten correct zijn en blijven
  • Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
  • Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
  • Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

Wil je graag nog eens alle stappen duidelijk op een rijtje? Vul dit formulier in