Wat is de AVG?
De AVG (Algemene Verordening Gegevensbescherming) is de Nederlandse vertaling van de GDPR (General Data Protection Regulation): de Europese privacywet die sinds 25 mei 2018 van kracht is.
De AVG regelt hoe organisaties persoonsgegevens mogen verzamelen, gebruiken, bewaren en beveiligen โ met als doel de privacy van burgers te beschermen.
๐ฏ Waarom is de AVG belangrijk?
- Verplicht organisaties zorgvuldig om te gaan met persoonsgegevens
- Legt nadruk op transparantie, toestemming en beveiliging
- Geeft betrokkenen rechten zoals inzage, correctie en verwijdering
- Stelt eisen aan datalekmeldingen, verwerkersovereenkomsten en risicobeoordeling
- Legt hoge boetes op bij overtreding (max. โฌ20 miljoen of 4% van wereldwijde omzet)
๐ Wat zijn persoonsgegevens?
Volgens de AVG is dit alle informatie die direct of indirect tot een persoon te herleiden is, zoals:
- Naam, e-mailadres, IP-adres, foto
- Locatiegegevens, medische gegevens, BSN
- Personeelsdossiers, camerabeelden, toegangslogs
๐งญ Belangrijke principes van de AVG
| Principe | Uitleg |
|---|---|
| Doelbinding | Gegevens mogen alleen gebruikt worden voor een duidelijk doel |
| Dataminimalisatie | Verzamel niet meer dan noodzakelijk |
| Transparantie | Informeer betrokkenen helder over wat je doet met hun data |
| Beveiliging | Neem passende technische en organisatorische maatregelen |
| Verantwoordingsplicht | Je moet kunnen aantonen dat je voldoet aan de AVG |
๐ Technische maatregelen (link met cybersecurity)
Om aan de AVG te voldoen zijn o.a. deze beveiligingsmaatregelen relevant:
- Versleuteling van gegevens (encryptie)
- Toegangsbeheer & MFA
- SIEM & monitoring op datalekken
- Incident Response Plan voor meldplichtige incidenten
- Regelmatig testen, beoordelen en evalueren van maatregelen
๐ Wat bij een datalek?
- Datalek = verlies, diefstal of ongeautoriseerde toegang tot persoonsgegevens
- Binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP)
- Betrokkenen informeren indien risico op schade bestaat
- Documenteer elk incident (ook als je niet hoeft te melden)
๐งพ Verplichtingen onder de AVG
| Verplichting | Voor wie? |
|---|---|
| Verwerkingsregister bijhouden | Voor organisaties die persoonsgegevens verwerken |
| Verwerkersovereenkomst sluiten | Bij uitbesteding aan externe partijen |
| Datalekken melden | Bij Autoriteit Persoonsgegevens en betrokkenen |
| DPIA uitvoeren | Bij hoog-risico verwerkingen |
| FG aanstellen (Functionaris Gegevensbescherming) | Bij overheden of grootschalige verwerking |
๐ Samengevat
De AVG is de Europese privacywet die bepaalt hoe je verantwoord en veilig omgaat met persoonsgegevens. Organisaties moeten transparant, doelgericht en beveiligd werken met data โ anders riskeren ze boetes รฉn reputatieschade.