AVG/GDPR — de kern
De AVG (Algemene Verordening Gegevensbescherming) — in het Engels GDPR — is van kracht in de gehele EU en geldt voor elke organisatie die persoonsgegevens van EU-burgers verwerkt. De Autoriteit Persoonsgegevens (AP) handhaaft de wet actief en kan boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet opleggen.
AVG-compliance is geen eenmalig project maar een doorlopend proces. Het vereist governance, documentatie, bewustzijn en technische maatregelen — verankerd in uw organisatieprocessen.
Kernverplichtingen
- Verwerkingsregister: Documentatie van alle verwerkingen van persoonsgegevens — doel, rechtsgrond, bewaartermijnen en betrokken partijen
- Rechtmatige grondslag: Elke verwerking moet een geldige rechtsgrond hebben (toestemming, contract, wettelijke verplichting, vitaal belang, publieke taak of gerechtvaardigd belang)
- DPIA: Data Protection Impact Assessment verplicht bij hoog-risico verwerkingen
- Datalekprocedure: Melding bij AP binnen 72 uur, bij hoog risico ook aan betrokkenen
- Verwerkersovereenkomsten: Contractuele borging bij elke externe verwerker
- Betrokkenenrechten: Processen voor inzage, rectificatie, verwijdering en gegevensoverdraagbaarheid
Onze aanpak
- Privacy audit: Inventarisatie van alle gegevensverwerkingen en beoordeling van de huidige compliance-status
- Documentatie: Opstellen of verbeteren van verwerkingsregister, privacybeleid, datalekprocedure en verwerkersovereenkomsten
- DPIA's: Uitvoeren van gegevensbeschermingseffectbeoordelingen voor hoog-risico verwerkingen
- Bewustzijn: Training van medewerkers op AVG-vereisten en datalekherkenning
- Borging: Integratie van privacymaatregelen in uw processen en systemen (Privacy by Design & Default)
Een ISO 27001-gecertificeerd ISMS dekt een groot deel van de technische en organisatorische AVG-beveiligingsvereisten. ISO 27701 voegt de privacy-specifieke laag toe. Wij zorgen dat informatiebeveiliging en privacybeheer als één geïntegreerd systeem werken.
