Privacy, ik hecht er veel waarde aan. Het is toch fijn dat de webwinkel waar ik iets bestel, mijn adresgegevens niet zomaar mag doorverkopen.

Wat bedrijven wel of niet met persoonsgegevens mogen doen wordt in Nederland bepaald door de Wet Bescherming Persoonsgegevens (Wbp). Om in heel Europa dezelfde privacywetgeving te hanteren verandert de Wbp vanaf 25 mei 2018 in de AVG (Algemene verordening gegevensbescherming).

De impact van de nieuwe wetgeving is groot. Voor mij als particulier goed nieuws! Het aantal rechten op het gebied van privacy breidt immers uit. Maar wat zijn de gevolgen voor jou als organisatie of goed doel?

AV-wat?

De AVG begrijpen, waar begin ik? Het document zelf bevat 88 pagina’s vol juridische termen. Dat compleet doornemen is aan de meeste mensen niet besteed. Gelukkig zijn er genoeg organisaties die informatiebijeenkomsten over de AVG houden. Maar waar ik bij de ene bijeenkomst te horen krijg dat bijna niks meer mag, is de spreker op een volgende bijeenkomst een stuk coulanter. Misschien Google even raadplegen? Als ik AVG intik krijg ik een overload aan informatie en samenvattingen over de nieuwe wet. Daarom hieronder, in begrijpelijke taal, de belangrijkste gevolgen van de AVG voor jouw organisatie:

Jij bent verantwoordelijk!

Het correct verwerken van persoonsgegevens is jouw verantwoordelijkheid.

De AVG noemt dit verantwoordingsplicht. Om aan te tonen dat je organisatie aan de privacyregels voldoet moet je alles goed documenteren. Bijvoorbeeld hoe je persoonsgegevens opslaat, verwerkt en beschermt. En vooral met welk doel je alles doet. Sommige organisaties zijn zelfs verplicht een verwerkingsregister op te stellen.

Houd rekening met rechten van je klant/donateur

Het aantal rechten op het gebied van privacy breidt uit. Wees daarom op de hoogte van de rechten van je klant/donateur. Zo zorg je ervoor dat je op verzoeken kan inspelen!

Vraag alleen de gegevens die je nodig hebt

Al bij het ontwerpen van producten en diensten moet je rekening houden met het beschermen van persoonsgegevens (privacy by design). Ook mag je alleen gegevens verzamelen die nodig zijn voor het doel wat je wilt bereiken. Neem daarvoor dan ook (technische en organisatorische) maatregelen (privacy by default). Bijvoorbeeld door op de website het vakje ‘Ja, ik wil de nieuwsbrief ontvangen’ niet al aangevinkt te zetten.

Wie houdt er toezicht?

Met het ingaan van de AVG worden sommige organisaties verplicht om iemand aan te stellen die toezicht houdt op de toepassing en naleving van de AVG. Een zogenoemde functionaris voor de gegevensbescherming (FG). Overheidsinstanties en publieke organisaties zijn altijd verplicht een FG aan te stellen, maar ook organisaties die bijzondere persoonsgegevens verwerken. Dit zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting of geloofsovertuiging.

Weten wat er precies voor jouw organisatie geldt? Kijk dan in het dossier AVG op de website www.autoriteitpersoonsgegevens.nl.