De Algemene Verordening Gegevensbescherming (AVG) is een pan-Europese verordening die bepaalt hoe bedrijven en andere organisaties omgaan met persoonsgegevens. Het is het belangrijkste gegevensbeschermingsinitiatief in 20 jaar en heeft aanzienlijke gevolgen voor elke organisatie in de wereld die mensen uit de Europese Unie bedient.
Om mensen controle te geven over hoe hun gegevens worden gebruikt en om de "fundamentele rechten en vrijheden van individuen" te beschermen, stelt de wetgeving strenge eisen aan gegevensverwerking, transparantie, documentatie en toestemming van de gebruiker.
Elke organisatie moet een register bijhouden en toezicht houden op de verwerking van persoonsgegevens
Als gegevensbeheerder moet elke organisatie een register bijhouden en toezicht houden op de verwerkingsactiviteiten van persoonsgegevens. Hieronder vallen persoonsgegevens die door de organisatie worden beheerd, maar ook door derden, de zogenaamde gegevensverwerkers.
Gegevensverwerkers kunnen van alles zijn, van softwareleveranciers als services tot embedded services van derden, tracking en bezoekersverkeer naar de website van de organisatie.
Zowel gegevensbeheerders als verwerkers moeten verantwoording kunnen afleggen over het type gegevens dat wordt verwerkt, het doel van de verwerking en naar welke landen en derde partijen de gegevens worden verzonden.
Als persoonsgegevens worden verzonden naar organisaties of jurisdicties die buiten het bereik van de AVG vallen of die door de AVG niet als "adequaat" worden beschouwd, moet u de gebruiker hier specifiek over informeren en over de risico's die eraan verbonden zijn.
Alle toestemmingen moeten worden geregistreerd als bewijs dat toestemming is gegeven
Op 4 mei 2020 heeft de Europese Raad voor Gegevensbescherming (EDPB) richtlijnen aangenomen over geldige toestemming onder de AVG.
Geldige toestemming moet een vrije, specifieke, actuele en duidelijke indicatie zijn van de wensen van de gebruiker, dwz een duidelijke en bevestigende handeling van de gebruiker.
De EDPB-richtlijnen maken duidelijk dat: scrollen of verder bladeren op een site is geen geldige toestemming en dat cookiebanners mogen geen standaard selectievakjes hebben .
Cookiewalls (verplichte toestemming) worden ook als niet-conform beschouwd.
De EDPB is de hoogste toezichthoudende autoriteit die verantwoordelijk is voor de uitvoering van de AVG in de hele EU en is samengesteld uit vertegenwoordigers van de gegevensbeschermingsautoriteiten van elke EU-lidstaat. Hun richtlijnen en besluiten vormen de basis voor de handhaving van de AVG op nationaal niveau.
Individuen hebben nu het "recht op gegevensoverdracht", het "recht op toegang tot gegevens" en het "recht om te worden vergeten" en kunnen hun toestemming intrekken wanneer ze maar willen. In dit geval moet de verwerkingsverantwoordelijke de persoonsgegevens van de betrokkene verwijderen als deze niet langer nodig zijn voor het doel waarvoor ze zijn verzameld.
In het geval van een datalek moet het bedrijf gegevensbeschermingsautoriteiten en getroffen personen binnen 72 uur kunnen informeren.
Daarnaast verplicht de AVG overheden, organisaties met meer dan 250 medewerkers en bedrijven die op grote schaal gevoelige persoonsgegevens verwerken om een Functionaris Gegevensbescherming (FG) in dienst te nemen of op te leiden. De DPO moet stappen ondernemen om de naleving van de AVG in de hele organisatie te waarborgen.
Met betrekking tot Brexit is de Britse regering van plan om gelijkwaardige wetgeving te implementeren die grotendeels de AVG zal volgen.
Wat betekent de AVG voor mijn site?
Als uw site mensen uit de EU bedient en u - of ingebedde diensten van derden zoals Google en Facebook - enige vorm van persoonlijke gegevens verwerkt, moet u voorafgaande toestemming van de bezoeker verkrijgen.
Om geldige toestemming te verkrijgen, moet u de omvang en het doel van uw gegevensverwerking in duidelijke taal aan de bezoeker beschrijven voordat u persoonlijke gegevens verwerkt.
Deze informatie moet te allen tijde voor de bezoeker beschikbaar zijn, b.v. als onderdeel van uw privacybeleid. U moet de bezoeker ook een gemakkelijke manier bieden om zijn toestemming te wijzigen of in te trekken.
Alle toestemmingen moeten als bewijs worden vastgelegd en elke controle van persoonsgegevens, evenals door geïntegreerde diensten van derden, moet worden gedocumenteerd op basis waarvan landgegevens worden verzonden.
Zie EU-infopagina over hervorming van de wetgeving inzake gegevensbescherming.
Wat is de definitie van persoonsgegevens?
De AVG definieert persoonsgegevens als "alle informatie met betrekking tot een identificeerbare of identificeerbare natuurlijke persoon ("betrokkene"); een identificeerbare natuurlijke persoon is diegene die direct of indirect kan worden geïdentificeerd in een identificator zoals een naam, een identificatienummer , locatiegegevens, een internetidentificatie of een of meer factoren die verband houden met de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon. "
Internet-ID's zoals IP-adressen worden nu beschouwd als persoonlijke gegevens, tenzij ze anoniem zijn.
Bijnamen zijn ook onderworpen aan de AVG, als reverse engineering de gegevens kan identificeren waartoe ze behoren.
Datum van implementatie van de AVG: 25 mei 2018
De EU-gegevensbeschermingshervorming is op 27 april 2016 goedgekeurd door het Europees Parlement en de Europese Raad. De Europese verordening gegevensbescherming is van toepassing vanaf 25 mei 2018 en vervangt de richtlijn gegevensbescherming.
AVG boetes en straffen
Agentschappen in het geval van niet-naleving riskeren een boete tot € 20 miljoen of 4% van de wereldwijde jaaromzet van het bureau, afhankelijk van welke hoger is.
AVG checklist: 6 dingen die ik moet doen
1. Bereid je lichaam voor:
Laat belanghebbenden in uw organisatie kennismaken met de AVG-vereisten. Training geven voor cyberbeveiligingspersoneel, op ontwerp gebaseerde privacy en op privacy gebaseerde principes. Wijs zo nodig een functionaris voor gegevensbescherming (FG) aan, dat wil zeggen als er meer dan 250 mensen in dienst zijn.
2. Controleer uw gegevens:
Zorg ervoor dat u weet waar al uw gegevens zich bevinden, wie toegang heeft en welke apparaten. Bepaal waar persoonsgegevens worden verwerkt, ook van externe verwerkers. Documenteer de redenen voor juridische verwerking en update het huidige privacybeleid.
3. Controlepartners:
Zorg ervoor dat servicepartners, dat wil zeggen ingebedde services van derden op uw site of softwareleveranciers als services, ook voldoen aan de AVG of onder officiële gegevensstraffen. Controleer en breng hun internationale datastromen in kaart.
4. Vraag uw toestemming:
Pas methoden toe voor het zoeken, verkrijgen en vastleggen van toestemming om naleving te waarborgen Houd duidelijk bij waar elke individuele betrokkene toestemming voor geeft, en bied de betrokkene opties voor het intrekken of wijzigen van toestemming.
5. Reactie op gegevensrechten:
Implementeer procedures waarmee uw organisatie kan reageren op de rechten van betrokkenen, zoals toegang tot, correctie en verwijdering van gegevens. Documenteer hoe ze zullen worden toegepast door zowel klanten als werknemers.
6. Bereid u voor op datalekken:
Zorg ervoor dat er procedures zijn om inbreuken op persoonsgegevens op te sporen, te onderzoeken en te melden binnen de 72-uurstermijn voor het melden van de AVG.
Naleving en vereisten van de AVG
Cursussen, trainingen en AVG-certificering:
De kwalificaties van de EU GDPR Foundation (EU GDPR F) en EU GDPR Practitioner (EU GDPR P) (beiden ISO 17024-geaccrediteerd) kunt u in verschillende cursussen van o.a. IT-beheer. De International Association of Privacy Professionals (IAPP) verzorgt ook online trainingen.
AVG-compliancesoftware:
Er zijn numerieke toolkits, frameworks en softwareoplossingen die u kunnen helpen bij het AVG-complianceproces, oftewel DPOrganizer, waarmee u uw eigen gegevensverwerking persoonlijk kunt maken.
Cookiebot kan u helpen de toestemming van gebruikers op uw site te automatiseren en cookies en andere gebruikte crawlers te documenteren.
