10 belangrijkste AVG-feiten

Er is al veel gezegd en geschreven over AVG en wat het voor uw bedrijf betekent. We hebben gekeken naar enkele van de belangrijkste algemene kenmerken en wijzigingen die u zou moeten weten. Deze zijn hieronder beschreven.

Meer weten over AVG?

1. Het is een verordening

Wat inhoudt dat dezelfde regelgeving is overgenomen door en van toepassing is in alle 28 EU-lidstaten.

Verordening ten opzichte van richtlijn: de nieuwe EU-verordening inzake gegevensbescherming – (EU) 2016/679 van het Europees Parlement / Algemeen Verordening Gegevensbescherming (AVG) is een verordening. Dit betekent dat dezelfde regelgeving is overgenomen en van toepassing is in alle 28 EU-lidstaten, er is dus geen ruimte voor lokale ‘klonen en interpretaties’ per EU-staat zoals dat wel bij een richtlijn mogelijk is.

2. Verhoogde boetes

Voor overtredingen van de wetgeving inzake gegevensbescherming kunnen boetes worden opgelegd tot € 20 miljoen of 4% van de wereldwijde jaarlijkse omzet.

Aanzienlijk verhoogde boetes: Bedrijven kunnen boetes worden opgelegd tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet voor overtredingen van de wetgeving inzake gegevensbescherming. Het opgelegde bedrag zal afhangen van de ernst of herhaalde aard van een schending. Dit wordt bepaald door de toezichthoudende autoriteit. Maar ook personen die willens en wetens AVG overtredingen toestaan kunnen persoonlijk verantwoordelijk worden gesteld en beboet.

3. Uitgebreide definitie van toestemming

Organisaties moeten duidelijke en bevestigende toestemming krijgen om persoonsgegevens te verwerken.

Informatie van het Europees Parlement wijst op de bepalingen van de AVP inzake duidelijke en bevestigende toestemming voor de verwerking van particuliere gegevens door de betrokkene.

Dit om de consument meer controle te geven over hun privégegevens. Dit kan bijvoorbeeld betekenen dat er doormiddel van het actief aanvinken akkoord gegaan wordt met een verklaring of voorgestelde verwerking van de persoonsgegevens. Stille, standaard aangevinkte opties, of leeglaten van de optie zullen dus geen toestemming vormen.

Het moet daarnaast ook net zo gemakkelijk zijn voor een consument om toestemming in te trekken als dat het is om hem te geven.

De nieuwe AVG maakt ook een einde aan de kleine lettertjes in het privacybeleid. Alle informatie moet in duidelijke taal worden gegeven voorafgaande aan het starten met het verzamelen of verwerken van gegevens.

4. Het recht om te worden vergeten

Vormt nu een centraal onderdeel van de verordening. Individuen hebben het recht om persoonlijke gegevens te laten wissen en om in bijzondere omstandigheden de verwerking te voorkomen.

(Overweging 66) luidt: ‘ Ter versterking van het recht op vergetelheid in de online-omgeving, dient het recht op wissen te worden uitgebreid door de verwerkingsverantwoordelijke die persoonsgegevens openbaar heeft gemaakt te verplichten de verwerkingsverantwoordelijken die deze persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene heeft verzocht om het wissen van links naar, of kopieën of reproducties van die persoonsgegevens. Die verwerkingsverantwoordelijke dient daarbij, met inachtneming van de beschikbare technologie en de middelen waarover hij beschikt, redelijke maatregelen te nemen, waaronder technische maatregelen, om de verwerkingsverantwoordelijken die de persoonsgegevens verwerken, over het verzoek van de betrokkene te informeren.

5. Uitgebreide compliance

Verwerkers en verwerkersverantwoordelijke moeten naleving van de AVG aantonen. Beiden zijn nu even aansprakelijk (in geval van overtreding).

Directe toerekenbaarheid voor verwerker en verwerkingsverantwoordelijke van informatie: onder de oude regeling waren er geen verplichtingen voor de verwerkers (dat wil zeggen dienstverleners) van gegevens / informatie. Onder de AVG zijn verwerkers rechtstreeks aansprakelijk voor gegevensbeschermingsregels. Dit heeft een bijzondere impact op cloud providers, bijvoorbeeld die diensten bieden die de gegevens van de EU-bewoners bevatten. Om de naleving van deze verordening aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden.

Een DMS of of ECM kan hierbij een goede ondersteuning bieden.

6. Directe en indirecte identificatoren

AVG breidt uit op criteria met betrekking tot het identificeren van personen en bevat specifiek ‘locatiegegevens’ en ‘een online identificator ‘-informatie.

Directe en indirecte identificatoren: In tegenstelling tot de oude richtlijn is in AVG vastgelegd wat onder persoonsgegevens wordt verstaan hier worden specifiek de criteria ‘locatiegegevens’ en ‘een online identificatoren’ aan toegevoegd.

Hieronder vallen onder andere:

  • Connected devices; laptops, tablets, mobiele telefoon
  • Applicaties, tools en protocollen; IP-adressen (Internet Protocol), identificatie cookies
  • En andere zoals; Radio Frequentie Identificatie (RFID) tags
  • Wat ons uiteindelijk brengt bij IOT (Internet of Things).

7. Meldplicht datalekken

Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen.

Verplichte inbreukrapportage: de AVG verplicht de verwerkingsverantwoordelijke om datalekken zonder onnodige vertraging en, indien mogelijk, uiterlijk 72 uur na de kennisgeving van de overtreding te rapporteren. Dit moet worden gerapporteerd aan de nationale gegevensbeschermingsautoriteit (AP of Autoriteit Persoonsgegevens in het geval van Nederland ).

Bij de beoordeling van de gegevensbeveiligingsrisico’s dient aandacht te worden besteed aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, hetgeen met name tot lichamelijke, materiële of immateriële schade kan leiden.

Indien de persoonsgegevens onbegrijpelijk zijn gemaakt voor onbevoegden, zoals bijvoorbeeld versleuteling; is men vrijgesteld van rapportage.

8. Uitgebreide grenzen

AVG betreft de bescherming van persoonsgegevens van of met betrekking tot EU-burgers, zowel binnen als buiten de EU.

Vestiging buiten de EU: De AVG is van toepassing op alle organisaties, ongeacht of ze gevestigd zijn in de EU – bijv. Als een organisatie goederen en diensten levert in de EU, dan moet het voldoen aan de AVG. De wet is dus van toepassing als u binnen de EU bent gevestigd, of diensten aanbiedt aan EU-ingezetenen, of het gedrag van EU-ingezetenen observeert.

9. Functionaris voor gegevensbescherming

Organisaties zijn verplicht een functionaris voor gegevensbescherming (FG) aan te wijzen indien het volgende plaatsvindt; het verwerken van ‘grootschalig’ systematisch toezicht op personen, ‘grootschalige’ verwerking van gevoelige gegevens; Of als u een overheidsinstantie bent.

Functionaris voor gegevensbescherming (FG): de verwerkingsverantwoordelijke en de verwerker  zijn verplicht een functionaris voor gegevensbescherming (FG) aan te wijzen indien zij op grote schaal en als onderdeel van hun kernactiviteiten regelmatig en systematisch individuen observeren of gevoelige persoonsgegevens verwerken.

Een FG kan ook een deeltijdrol zijn of gecombineerd worden met andere taken. Bij het uitvoeren van de rol moet de FG echter een onafhankelijke rapportage lijn hebben,

De FG brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.

Ter referentie de exacte mandaten (artikel 37) de volgende woorden:

  • A) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  • B) een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;

of

  • C) de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

10. Gegevensbeschermingseffectbeoordeling

Volgens de AVG kunnen organisaties verplicht zijn een compliance check uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een check uit te voeren. Deze is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt).

Dat is in ieder geval zo, als een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico. De werkgroep van Europese privacytoezichthouders (WP 29) heeft criteria opgesteld om het risico te bepalen. Daarnaast publiceert de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen waarvoor een PIA verplicht is.

Is uw outputomgeving veilig?

Printers en multifunctionele apparaten (MFP’s) zijn intelligente netwerk geconnecteerde machines die net zoals een pc, een scherm, een toetsenbord, een harde schijf (die mogelijk gevoelige informatie kunnen opslaan) en een besturingssysteem bevatten. Dit maakt ze een even belangrijk onderdeel van uw AVG-beleid.

Bereid u voor op AVG

Er zijn enkele basis- en kernaanbevelingen die KYOCERA doet om een boete te vermijden en ervoor te zorgen dat uw organisatie AVG klaar is.

AVG 10 belangrijkste feiten

Ontdek de 10 belangrijkste AVG kenmerken en wijzigingen in de Europese Gegevensbeschermingsrichtlijn en welke invloed ze op u kunnen hebben.

Meer weten?

Neem gratis en vrijblijvend contact met ons op.

Voor algemene vragen, offertes maar ook specifieke vraagstukken met betrekking tot Kyocera printers of andere producten of diensten.

Bij PuntNL Groep bieden wij kantoorapparatuur, zoals draadloze printers en kopieermachines, ICT- en documentoplossingen. Maar eerst hebben we het over uw bedrijf. Hoe worden uw mensen ingezet, hoe verlopen de bedrijfsprocessen, hoe verwerkt u documenten? Voor de beste oplossing gaan wij graag met u in gesprek.

Contact

PuntNL Groep
Postbus 5038
9700 GA Groningen

Bezoekadres:
De Kiel 8
9206 BG Drachten

T: 050 - 577 57 19
F: 050 - 577 51 88
E: info@puntnlgroep.nl

x

Wij gebruiken cookies om u de beste online ervaring te bieden. Door akkoord te gaan, accepteert u het gebruik van cookies in overeenstemming met ons cookiebeleid.