088 2055 000
		Array
(
  [0] => nl
  [1] => us
)
		
Bel ons 088 2055 000
		Array
(
  [0] => nl
  [1] => us
)
		

BLOG: Paniek over de privacywet voor iedereen terecht? – Op weg naar de AVG

In verschillende media was deze week te lezen dat “de nieuwe Europese privacywet zorgt voor paniek bij bedrijven”. Het besef is gekomen dat voldoen aan de Algemene Verordening Gegevensbescherming (AVG/GDPR) verder gaat dan alleen het aanpassen van een privacy policy op een website. En niet voldoen aan de regels die de AVG voorschrijft kan leiden tot boetes die behoorlijk kunnen oplopen. Daarbij begint de tijd te dringen. Voor wie nog niet is begonnen kan 25 mei 2018 wel eens te vroeg komen.

Of de geschetste zorgen en zelfs paniek terecht zijn gaat niet per definitie op voor alle organisaties en bedrijven. De intensiteit van de impact die de AVG op organisaties heeft hangt namelijk van verschillende factoren af.

AVG: actie is nodig, paniek niet perse

AVG compliance is een samenspel van organisatorische-, technische- en juridische elementen. Het betreft onder andere beleidsmaatregelen, voorschriften en informatieplicht. Maar ook bewustwording en gedrag van medewerkers, beveiliging van IT systemen, pseudonimisering van data. En het regelen van verzekering, contracten en overeenkomsten met derde partijen. Er zijn nog vele andere elementen te noemen. Waarmee duidelijk is dat het invoeren van deze maatregelen een forse weerslag op uw organisatie met zich mee kan brengen.

Niets doen is geen optie. De AVG geldt voor alle organisaties. Ook voor die van u.

AVG: wanneer is pas echt snelle actie nodig?

In de media was te lezen dat veel organisaties niet op tijd klaar zullen zijn met het implementeren van de AVG. Een aanzienlijk deel – van met name de MKB bedrijven – weet onvoldoende wat er met de komst van de AVG op hen afkomt.

De vraag rijst in welke gevallen snel tot actie moet worden overgegaan. Dit is indicatief het geval wanneer organisaties voldoen aan één, meerdere of alle onderstaande situaties:

 • De organisatie is groter dan 250 personeelsleden. In dat geval kan een Data Protection Officer nodig zijn die toeziet op naleving van de AVG binnen de organisatie;
 • De organisatie verwerkt op grote schaal persoonsgegevens. Bijvoorbeeld het stelselmatig volgen van internetgedrag van individuen om advertenties te kunnen tonen, of het verwerken van reisinformatie van individuen door een vervoersmaatschappij;
 • De organisatie laat zijn persoonsgegevens door een andere organisatie verwerken. Bijvoorbeeld een externe IT hosting en/of beheer partij met volledige toegang tot alle data. Of het uitbesteden van de software programmering waarbij programmeurs toegang hebben tot de data die persoonsgegevens bevatten;
 • De organisatie draagt persoonsgegevens over naar landen buiten de EU, bijvoorbeeld naar buitenlandse vestigingen van de organisatie;
 • De organisatie verwerkt (al dan niet grootschalig) bijzondere persoonsgegevens, zoals inkomensgegevens, medische gegevens, lidmaatschapsgegevens politieke partij of vakbond of strafrechtelijke gegevens;
 • De organisatie is een overheidsorganisatie of zit dicht tegen de overheid aan. Dit betreft dus ook onderwijsinstellingen, gezondheidszorg instellingen, openbaar vervoer bedrijven of woning corporaties.

Hoe meer een organisatie voldoet aan de genoemde situaties, hoe meer werk dit met zich meebrengt. Voor deze organisaties is nu actie vereist, mochten zij nog niet begonnen zijn met voorbereiden op de AVG.

Andersom geldt hetzelfde: hoe minder de genoemde situaties van toepassing zijn op een organisatie, hoe minder de gevolgen van de AVG waarschijnlijk zullen zijn. Dat neemt niet weg dat elke organisatie –van groot tot klein en van publiek tot privaat- te allen tijde zeer zorgvuldig met persoonsgegevens dient om te gaan.

AVG: meten is weten

De eerste stap op weg naar AVG compliance is “meten is weten”. Met andere woorden: Onderzoek welke rol jouw organisatie vervult binnen de context van de AVG en met welke (hoeveelheid) persoonsgegevens je organisatie werkt. Hiermee bepaal je de impact van de AVG op je organisatie. De te nemen maatregelen die daar vervolgens bij horen zullen niet voor elke organisatie gelijk zijn of dezelfde intensiteit hebben.

Een scan helpt om risico’s en AVG compliance eisen helder in kaart te brengen

BLOGserie  – Op weg naar de AVG

Hoe bereiden organisaties zich het beste voor op de aanstaande Europese Privacyverordening? In onze blogserie nemen wij je mee in de wereld van de AVG:

Crowe Peak
Olympisch Stadion 24-28 1076 DE Amsterdam, Nederland
088 2055 000 contact@crowe-peak.nl