In een tijd waarin het gebruik van persoonlijke gegevens het centrale aandachtspunt is voor bedrijven, is het belangrijk om precies te begrijpen wat de AVG, of de algemene verordening inzake gegevensbescherming, eigenlijk is.

De algemene verordening inzake gegevensbescherming is het logische gevolg van de verschillende teksten die de bescherming van consumentengegevens in de Europese Unie regelen.

Het is sinds 25 mei 2018 van toepassing in alle lidstaten van de Europese Unie.

Sinds de inwerkingtreding vervangt deze regeling alle bestaande nationale voorschriften.

In Frankrijk bijvoorbeeld is de gegevensbeschermingsrichtlijn van 1995 niet langer van toepassing, net zomin als de wet 15/1999 in Spanje.

Voor meer informatie

Zie alle definities

Wat is het doel van de AVG?

  • Herstel van de controle over persoonsgegevens voor Europese burgers
  • Vereenvoudiging van de regelgeving binnen de EU voor internationale ondernemingen.
  • Het vrije verkeer van persoonsgegevens binnen de EU vergemakkelijken.

Voor bedrijven vormt de weg om te voldoen aan de AVG een grote uitdaging. Zij moeten hun softwareprogramma’s en processen aanpassen, wat onvermijdelijk aanzienlijke investeringen met zich meebrengt.

Voldoen aan de AVG: doe uw onderzoek

Voor hulp om aan deze verordening te voldoen, kunt u contact opnemen met uw nationale autoriteit voor gegevensbescherming. In Nederland kunt hiervoor terecht bij de ‘Autoriteit Persoonsgegevens’.

Daarnaast kunt u ook overwegen om een functionaris voor gegevensbescherming (DPO) aan te stellen (of aan te werven). Deze DPO zal verantwoordelijk zijn voor de sensibilisering en de opleiding van de teams voor een vlotte weg naar de naleving van de AVG.

Wat zijn de stappen tot naleving?

Aangezien 74% van de consumenten loyaal is aan merken die hun persoonlijke gegevens beschermen (Accenture Strategy study, 2016) en de AVG sinds 2018 verplicht is, wordt het tijd dat u aan de slag gaat! Er werd echter geschat dat een jaar voor de inwerkingtreding van de AVG, 45% van de bedrijven nog steeds niet op de hoogte was van deze nieuwe regelgeving en de gevolgen ervan.

Sinds de AVG van kracht is, is dit cijfer gestaag gedaald, maar zeer langzaam.

Stel de juiste vragen

Om te beginnen, hier zijn enkele van de vragen die u uzelf moet stellen:

  • Waar slaat u de gegevens op?
  • Waarom heeft u deze gegevens?
  • Heeft u toestemming verkregen van uw klanten om deze gegevens te gebruiken?
  • Wie heeft toegang tot deze gegevens?
  • Wie verwerkt de gegevens?
  • Hoe lang bewaart u deze gegevens?
  • Hoe kan de klant zijn/haar gegevens raadplegen, aanpassen en verwijderen?

Processen en (software)programma’s aanpassen

De volgende stap is het aanpassen van uw processen en tools: verwijder alle onnodige gegevens in uw CRM (bijvoorbeeld, mevrouw Smith is al enkele jaren geen klant meer, dus waarom zou u informatie over haar maandelijkse inkomsten opslaan?).

Een risicoanalyse opstellen (wat zijn bijvoorbeeld de grote en kleine risico’s in het geval van een veiligheidsinbreuk?) Pas uw contracten aan om medeverantwoordelijkheid voor gegevensverwerking op te nemen in uw contracten. Eventuele potentiële beveiligingsinbreuken opsporen.

Stel gedragscodes op (bv. traceerbaarheid van verzoeken van personen met betrekking tot hun recht op informatie en toegang tot gegevens die op hen betrekking hebben, enz.). Voeg de nieuwe wettelijke vermeldingen toe aan uw communicatiemateriaal, enz.

13 sleutels tot het begrijpen van de AVG

  • Uitgebreide definitie van wat persoonlijke gegevens zijn.
  • Vastleggen van registers van verwerkingsactiviteiten om het doel van de gegevensverwerking toe te lichten.
  • Wederzijdse verbintenis van verantwoordelijkheid voor alle partijen die gegevens verwerken.
  • Toepassing van “privacy by design”: de hoeveelheid verzamelde persoonsgegevens moet tot een minimum worden beperkt.
  • Noodzaak van een risicoanalyse voordat gegevens worden verzameld om mogelijke risico’s in verband met de verwerking ervan vast te stellen (bv. als er een inbreuk op de beveiliging is geweest)
  • Vaststelling van de wijze waarop potentiële beveiligingsinbreuken moeten worden aangepakt: definitie, communicatie, sancties.
  • Creatie van een nieuwe rol binnen het bedrijf, de functionaris voor gegevensbescherming (DPO): verplicht in elk bedrijf met meer dan 250 werknemers of een bedrijf dat een grote hoeveelheid gegevens verwerkt.
  • Beginsel van medeverantwoordelijkheid: gezamenlijke en gelijkwaardige verantwoordelijkheid
  • Versterking van het begrip voorafgaande toestemming: het is expliciet en voor een bepaalde duur
  • Uitbreiding van individuele rechten: van vier rechten naar zes rechten
  • Nieuw territoriaal toepassingsgebied: elke Europese consument wordt beschermd, ongeacht de plaats van waaruit hij of zij verbonden is (zelfs als hij of zij zich buiten de EU bevindt)
  • Toezicht op de doorgifte van persoonsgegevens buiten de EU: alleen met toestemming van de persoon in kwestie
  • Verhoogde sancties: tot 20 miljoen euro of 4% van de wereldwijde jaaromzet

Met dank aan Fabienne Granovsky, informaticaspecialiste www.fgconseil.fr, voor haar expertise en belangrijke bijdrage aan dit artikel!

Tips en Trucs

Efficy CRM, uw GDPR/AVG tool

Verwacht reële impact vanwege de GDPR/AVG op uw core business! Efficy formuleert aanbevelingen en stelt aangepaste toepassingen voor om de diepgaande wijzigingen in gegevensverwerking op[...]
Lees meer
BurgerrelatieDataWettelijk
Meer artikelen