Algemene Verordening Gegevensbescherming (AVG)
De privacy-administratie vloeit voort uit nieuwe privacyregels. Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (of in het kort ‘AVG’). In het Engels heet deze verordening ‘General Data Protection Regulation’ of ‘GDPR’. Met de komst van de AVG geldt vanaf voornoemde datum een strenger privacykader dan dat van haar voorganger, de Wet bescherming persoonsgegevens (in het kort ‘Wbp’). Kort samengevat, er zijn binnenkort strengere regels, gecombineerd met hogere boetes op het niet naleven daarvan.
AVG geldt voor iedere organisatie
Deze regels gelden voor alle bedrijven en organisaties en professionals die bedrijfsmatig persoonsgegevens verwerken. Oftewel, de AVG geldt voor alle bedrijven, organisaties en professionals. Welke organisatie werkt nu immers niet met personeelsgegevens, contactgegevens van klanten en toeleveranciers of met tracking gegevens van de website of webshop? Van ‘persoonsgegevens’ is al heel snel sprake, omdat het gaat om alle informatie over een persoon die direct of indirect kan worden geïdentificeerd. En het begrip ‘verwerken’ dient heel ruim te worden opgevat en behelst onder meer het verzamelen, vastleggen, ordenen, structureren, bijwerken, wijzigen, opvragen, raadplegen, verstrekken, verspreiden én gebruiken.
Privacy-administratie is verplicht
De belangrijkste wijziging is de invoering van een breed verantwoordingsbeginsel (principe van ‘accountability’) door de AVG. Organisaties dienen de naleving van de AVG aan te kunnen tonen. Deze documentatieplicht vervangt de huidige verplichting om gegevensverwerkingen vooraf te melden aan de Autoriteit Persoonsgegevens. Organisaties zullen met andere woorden het voldoen aan de privacyregels (de privacy compliance) moeten kunnen aantonen met documenten, die gezamenlijk een privacy-administratie vormen. Deze administratie moet in schriftelijke vorm, maar dat mag ook (deels) elektronisch.
Niets doen is geen optie, start met uw privacy-administratie
Niets doen is geen optie. Organisaties dienen te voldoen aan de wet- en regelgeving. Daarom dienen zij hun processen in lijn met de AVG brengen. Het voeren van een privacy-administratie vormt daarbij de kernverplichting. De boetes die geriskeerd worden zijn enorm. Een goede voorbereiding is van groot belang. De documentatieplicht heeft namelijk een grote impact op de bedrijfsvoering en zal tijd nodig hebben om correct geïmplementeerd te worden.
