Menu
JPR Advocaten

Hoe wordt mijn organisatie AVG-proof?

Geschreven op 13 september 2017  •  Auteur: Leonie Ouwersloot-Koster
Hoe wordt mijn organisatie AVG-proof?

Op 25 mei 2018 treedt de Europese Privacyverordening (de AVG) in werking. Dit houdt in dat uw organisatie vanaf dat moment moet voldoen aan deze wetgeving. De AVG brengt een aantal veranderingen voor uw organisatie met zich. Bent u al op hoogte van deze wijzigingen en is uw organisatie al AVG-proof?

Om ervoor te zorgen dat uw organisatie op 25 mei 2018 AVG-proof is, zullen wij u de komende maanden op de hoogte houden van de belangrijkste wijzigingen. Een van de belangrijkste wijzigingen, en eigenlijk de meest omvangrijke, is “de documentatieplicht”. In onderstaande blog zal ik kort uiteenzetten waar u allemaal aan moet denken en hoe u als organisatie kunt voldoen aan deze plicht. 

Documentatieplicht

De documentatieplicht houdt in dat organisaties - zodra zij gegevensverwerkers zijn - aan moeten kunnen tonen dat zij voldoen aan de nieuwe wetgeving en dat zij alle passende en noodzakelijke technische en organisatorische maatregelen hebben getroffen om aan de verordening te voldoen.

De AVG regelt in artikel 30 dat gegevensverwerkers zelf moeten kunnen aantonen dat zij de verordening naleven. Om dit te kunnen doen, dienen bedrijven een register bij te houden waarin alle verwerkingsactiviteiten zijn opgenomen. Dit register zal op eerste verzoek van de Autoriteit moeten worden getoond.

Het register dient in ieder geval de volgende gegevens te bevatten:

  • Overzicht van gegevens die worden verwerkt en wat de doeleinden zijn voor deze verwerkingen;
  • Contactgegevens van de verantwoordelijke;
  • Overzicht van bewerkers;
  • Bewaartermijnen;
  • De in acht genomen beveiligingsmaatregelen.


Op het moment dat u een bewerker bent, wordt ook verwacht dat u een register bijhoudt. De bewerker dient een register bij te houden van alle categorieën van verwerkingsactiviteiten die hij ten behoeve van een verantwoordelijke heeft verricht. Denk hierbij aan de volgende gegevens:

  • De contactgegevens van de bewerker;
  • De contactgegevens van iedere verantwoordelijke voor rekening waarvan de bewerker heeft gehandeld en handelt;
  • De categorieën van verwerkingen die voor rekening van iedere verantwoordelijke zijn uitgevoerd;
  • Of er al dan niet doorgifte aan een land buiten de EER heeft plaatsgevonden;
  • De getroffen technische en organisatorische maatregelen.

Uitzondering op de documentatieplicht

De documentatieplicht zorgde voor de nodige onrust bij kleinere organisaties. Immers, het opzetten van een register vergt veel tijd en energie en zorgt aldus voor een behoorlijk administratieve last. In de verordening lijkt in eerste instantie aan de onrust tegemoet te zijn gekomen. Zo is de documentatieplicht niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben. Wees evenwel alert.

Op deze uitzondering geldt een uitzondering voor verwerkingen die een risico inhouden voor de rechten en vrijheden van de betrokkenen, voor verwerkingen die niet incidenteel zijn, of voor verwerkingen van bijzondere categorieën van gegevens (bijvoorbeeld medische of strafrechtelijke gegevens en BSN-nummers). Let hierbij op: de verwerking van personeelsgegevens valt hier dus al onder. 

Tip: breng alle verwerkingen in kaart

Ondanks dat voor kleinere organisaties in beginsel geen documentatieplicht geldt, verdient het aanbeveling om toch alle verwerkingen in kaart te brengen. Immers, organisaties dienen zorgvuldig om te gaan met de verwerking van persoonsgegevens en dienen betrokkenen te kunnen informeren over wat met hun gegevens gebeurt. Daarnaast zult u mee moeten werken aan verzoeken van betrokkenen aangaande aanpassing dan wel verwijdering van hun gegevens. Hiervoor zal je moeten weten op welke plaatsen de persoonsgegevens allemaal verwerkt zijn. Om er zeker van te zijn dat alle verwerkingen op zorgvuldige wijze plaatsvinden, zal je zowel binnen een grote als een kleine organisatie alle verwerkingen langs moeten gaan. Begin hier als organisatie ook tijdig mee.

Heeft u vragen over de implementatie van de AVG, neem dan gerust contact met JPR op.


Leonie Ouwersloot-Koster
Mr. L.J.T. Ouwersloot-Koster

“In ons vak is geen dag hetzelfde. Ik kom dagelijks bij de meest uiteenlopende bedrijven. De dynamiek en de veelzijdigheid van vraagstukken, het discussiëren en onderhandelen waarbij het belang van de klant voorop staat, intrigeren mij. Deze aspecten van het vak van advocaat trokken mij ook aan, waardoor ik al snel wist dat ik de advocatuur in wilde. Mijn doel is altijd het bereiken van een oplossing waar mijn klant tevreden over is.
 
In het arbeidsrecht kom ik in aanraking met veel verschillende kwesties. Zo denk ik mee over beleid, begeleid ik individuele en collectieve ontslagprocedures en ondersteun ik OR-adviestrajecten.
 
Verder ben ik gespecialiseerd in het privacyrecht. Ik adviseer cliënten bij de implementatie van de AVG en denk ik mee op beleidsmatig niveau. Daarnaast geef ik workshops aan klanten en belanghebbenden. Mijn doel daarbij is deelnemers informatie geven waar ze direct mee aan de slag kunnen.”

Over Leonie

Leonie is sinds 2009 advocaat en is gespecialiseerd in het arbeidsrecht en privacyrecht. Leonie is betrokken bij haar klanten en heeft een pragmatische aanpak. Ze is actief in de ouderraad van de school van haar kinderen.

Contact opnemen met JPR

Op de hoogte blijven?
Meld u aan voor de nieuwsbrief: