Home

Blog

Inhoud beschikbaar in het Engels.

The GDPR has been in force for five months. While most publications focus on the (hefty) sanction regime, the GDPR is mainly about accountability. It provides data subjects with rights to take control over their own personal data and obliges organisations to facilitate these rights. It also requires organisations to have much more insight into their own data processing activities. This is primarily reflected in three documentation obligations: for processing activities, for data protection impact assessments and for data breaches.

Hoewel de AVG inmiddels bijna vier maanden van kracht is in de EU, zijn er nog steeds organisaties die niet zijn begonnen met de naleving van de nieuwe wetgeving. Waarschijnlijk zijn dit vooral kleine en middelgrote ondernemingen (MKB) die geloven dat zij immuun zijn voor de nieuwe AVG, en voor de mogelijke boetes die naar aanleiding van datalekken worden opgelegd. Maar dat zijn ze natuurlijk niet.

In de huidige digitale wereld is internationale doorgifte van gegevens (data transfers) voor de meeste bedrijven en organisaties onvermijdelijk. De AVG streeft naar een goed evenwicht tussen de noodzaak van grensoverschrijdend verkeer van gegevens voor de internationale handel en de mate van bescherming die aan natuurlijke personen geboden wordt. De Verordening staat het vrije verkeer van persoonsgegevens tussen lidstaten toe, maar beperkt de doorgifte van gegevens naar landen buiten de Europese Economische Ruimte (EER).

Met 28 Lidstaten van de Europese Unie (27 na Brexit) lijkt het eenvoudig om vast te stellen welke toezichthoudende autoriteit bevoegd is om toe te zien op de activiteiten van uw organisatie, wanneer deze handelt als verwerkingsverantwoordelijke. Dat zal de autoriteit in het land van vestiging zijn, nietwaar? Het ligt echter iets ingewikkelder dan dat. In dit artikel informeren we u over het toezichtlandschap sinds de Algemene Verordening Gegevensbescherming, of AVG, op 25 mei van kracht is geworden.

Om de rechten van betrokkenen te beschermen is het cruciaal om een verwerkingsverantwoordelijke en verwerkers voor de dataverwerkingsactiviteit te kiezen, omdat deze individuen of teams aansprakelijk zijn voor de activiteiten in verschillende stadia van datamanagement. De wettelijke verplichtingen van deze rollen kunnen, gezien de complexe bedrijfsstructuren van vandaag de dag, verkeerd worden geïnterpreteerd. Hoewel de rol van verantwoordelijke en verwerker op het eerste gezicht op elkaar lijken, hebben ze een andere functie en andere wettelijke verplichtingen.

Eerder schreef ik een artikel (zie hier) over datalekken betreffende persoonsgegevens, en waar u die moet melden. Hierin richtte ik mij op het doorgronden van de ‘leidende toezichthoudende autoriteit’. In dit artikel richt ik mij op de inhoud van een melding van gegevensinbreuk volgens de AVG.

Met de snelgroeiende impact van technologie op onze persoonlijke levens wordt het implementeren van correct gegevensbeschermingsbeleid steeds belangrijker. Veel bedrijven zijn al begonnen met het opzetten van een data protection framework binnen hun organisatie, om hun ‘data protection cultuur’ te verbeteren. Eén van de beste procedures daarvoor, is het aanstellen van een Functionaris voor gegevensbescherming (FG).

Er woedt al een aantal jaar een discussie over de vraag of dynamische IP-adressen als persoonsgegevens gelden, zoals bedoeld in de Europese gegevensbeschermingswetgeving. Een IP-adres is het logische adres van een node op het internet (zij het een computer, een netwerkapparaat of een mobiel apparaat).

De AVG is tegenwoordig onderwerp van veel speculatie en ‘nepnieuws’; daarom zetten we zeven grote mythes over de AVG op een rij, die niets meer zijn dan mythe. Neem vanaf nu deel aan discussies over de AVG terwijl u weet waar de AVG in ieder geval niet over gaat — u leest het in dit artikel.

De Algemene Verordening Gegevensbescherming (AVG) heeft als doel de gegevensbeschermingswetgeving van alle lidstaten te harmoniseren. Eigenlijk heeft het een bindend effect op de gehele Europese Unie en staat het boven de nationale gegevensbeschermingswetgeving.

Pagina's