Avg kennisbank

Wat is de Avg precies? Wanneer verwerk je een persoonsgegeven? En wat zijn de eisen voor verschillende partijen? Op deze pagina vind je een overzicht van de verschillende artikelen die we over deze en andere onderwerpen rondom de Avg hebben geschreven. Zie ook onze lijst met veelgebruikte begrippen uit de Avg.

Je kunt deze pagina doorzoeken met de toetsencombinatie ‘ctrl-F’ /’cmd-F’.

Brexit en HR

Brexit: we zijn er bijna - maar nog niet helemaal

Met het naderende deadline van 31 oktober inzicht lijken de Europese Unie en het Verenigd Koninkrijk het op de valreep alsnog eens te zijn geworden over de voorwaarden voor de Britse uittreding van de EU. Goed nieuws, omdat er eindelijk duidelijkheid is over de gevolgen van de Brexit op data-uitwisseling met het VK. 

ISO, NEN of Data Pro – welke certificering kies je?

Sinds de Avg van kracht is, kun je op verschillende manieren laten zien dat je op een verantwoorde manier met persoonsgegevens omgaat. De vraag is echter: welke certificering is geschikt voor jouw organisatie?

Is Data Pro certificering een Avg-certificering?

We duiden onze Data Pro certificering soms aan als ‘Avg-certificering’. Échte Avg-certificeringen in de zin van artikel 42 Avg zijn er op dit moment echter nog niet en dat geldt dus ook voor Data Pro. Onze juristen leggen het graag aan je uit!

Autoriteit Persoonsgegevens keurt gedragscode Data Pro voorlopig goed

De Avg-gedragscode van Nederland ICT, de Data Pro Code, is voorlopig goedgekeurd door de Autoriteit Persoonsgegevens. De gedragscode is een praktische doorvertaling van de Avg voor verwerkers en werd in mei 2018 gelanceerd.

Avg uitgelicht: de sub-verwerker. Hoe ga je hiermee om?

Onze juristen zijn expert op gebied van de Avg. Daarom geven we uitleg over de begrippen verwerker en sub-verwerker. 

Eén jaar Avg: wat nu?

Alle organisaties waren er vorig jaar druk mee: voldoen aan de Avg. Inmiddels zijn we een jaar verder. De hype is voorbij, maar nog steeds moet je als organisatie compliant zijn. Wat is het afgelopen jaar gebeurd op Avg-gebied? En wat moet je als organisatie doen om up-to-date te blijven? Wij helpen je hier graag bij en hebben daarom het afgelopen jaar onze dienstverlening doorontwikkeld.

EU-richtlijn mist kans om privacy-gedragscodes mkb te stimuleren

In de Avg (GDPR) is een apart artikel opgenomen over gedragscodes…

Guideline processor/controller: nog veel discussie over begrippen

Juridisch adviseur Irvette Tempelman van Nederland ICT was gisteren aanwezig in Brussel om de visie van Nederland ICT te delen bij het stakeholder event van de European Data Protection Board (EDPB) over de guideline processor/controller.

Nieuw datalek bevestigt behoefte aan security-keurmerk

RTL Nieuws bracht het nieuws dat inloggegevens van honderden Nederlandse bedrijven te koop zijn via een Russische website op het dark web. De gegevens zijn verkregen door een brute force aanval op computers die toegankelijk waren via het Remote Desktop Protocol. De hackers konden toegang krijgen omdat de computers beveiligd waren met een makkelijk te kraken wachtwoord.

Veelgestelde vragen en antwoorden over datalekken

Wat is een datalek en aan wie moet je zo'n lek melden? Maar hoe weet je wanneer en wat je daarvoor moet regelen? We hebben een aantal veelgestelde vragen en antwoorden voor je op een rij gezet.

Meldplicht datalekken en de Uber-uitspraak: consequenties voor verwerkers

Op 6 november 2018 heeft de Autoriteit Persoonsgegevens (AP) aan Uber een boete opgelegd van € 600.000,-- voor het te laat melden van een datalek. Weliswaar is deze boete opgelegd op basis van de oude Wet bescherming persoonsgegevens (Wbp), maar de conclusies zouden niet wezenlijk anders zijn onder de Avg. Met name de conclusie van de AP dat Uber Technologies Inc. in de VS geen verwerker kan zijn voor Uber BV in Nederland is opmerkelijk.

Einde overeenkomst, en nu?

Op partijen rust de verplichting onder de Avg om afspraken te maken over het wissen en/of retourneren van de persoonsgegevens na afloop van de overeenkomst. De bedoeling hiervan is dat de verwerkingsverantwoordelijke en de verwerker praktische afspraken maken over het moment waarop persoonsgegevens bij einde overeenkomst gewist of terugbezorgd worden, de wijze waarop dit zal gebeuren en door wie en welke vergoeding hiertegenover staat.

Let op: Nieuwe algemene voorwaarden Rijk bevatten onbeperkte aansprakelijkheid voor privacy

Zaken doen met de overheid? Let dan goed op dat zij in de nieuwe versie van hun standaard algemene voorwaarden volledige aansprakelijkheid bij de leverancier leggen. Als leverancier moet je nu garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen. Dat is een disproportionele eis! We raden leden aan hier op te letten en bij een aanbesteding kritische vragen te stellen over deze clausules.

Jaarcongres Vereniging Privacy Recht: Autoriteit Persoongegevens aan het woord

Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), sprak vorige maand op het jaarcongres van de Vereniging Privacy Recht (VPR). We hebben een aantal highlights uit zijn praatje op een rij gezet:

Opinie: Nieuwe ePrivacy-verordening zal opnieuw vooral het mkb raken

Sinds 25 mei is de Avg van kracht. Vier maanden later is het stof van deze nieuwe Europese privacyregels nog nauwelijks neergedaald. Ondertussen is er in Brussel alweer een aanvullende wet in de maak: de ePrivacy-verordening. Net als de Avg dreigen deze regels het mkb flink te raken. Het kabinet heeft hier vooralsnog geen oog voor en stuurt aan op meer snelheid in Brussel, in plaats van zorgvuldigheid en oog voor de gevolgen voor het mkb.

Neutrale inzetbaarheid maakt Standaard Verwerkersovereenkomst van Nederland ICT bijzonder

Met de komst van de Avg ben je als verwerker verplicht om méér vast te leggen over de omgang met persoonsgegevens dan onder de oude privacywet (Wbp) het geval was. Deze wetsaanpassing vraagt om een aangepaste verwerkersovereenkomst. In de praktijk blijkt dat veel verwerkingsverantwoordelijken dit als kans aangrijpen om eenzijdig alle risico’s naar de verwerker te verleggen. Nederland ICT heeft juist een neutrale standaard geïntroduceerd die bruikbaar is zowel richting klant als richting subverwerker.

De Avg uitgelegd deel 12: beveiliging en de Avg

Het grootste deel van de verplichtingen in de Avg is gericht aan de verwerkingsverantwoordelijke. Maar er zijn ook verplichtingen die rechtstreeks gelden voor de verwerker. Misschien wel de belangrijkste daarvan is het beveiligen van de verwerkingen. In dit deel van de uitgelegd-serie gaan we hier nader op in. 

Verwerken op basis van toestemming personeel in arbeidsrelatie werknemer-werkgever & de Avg

Net als bij de Wbp bestaan er onder de Avg verschillende grondslagen voor verwerking. Zo kun je bijvoorbeeld verwerken op grond van een ‘wettelijke plicht’, ‘toestemming’ of een ‘gerechtvaardigd belang’. Maak je gebruik van toestemming? Dan moet de toestemming onder de Avg: specifiek, vrij, op informatie berustend en ondubbelzinnig worden gegeven.

Vanaf vandaag geldt de Avg. En nu?

Het is 25 mei! Vandaag is de overgangsperiode naar de Avg officieel…

De Avg uitgelegd deel 11: voorbeeld privacy statement

Organisaties die persoonsgegevens verwerken moeten op basis van de Avg de personen van wie zij persoonsgegevens verwerken (betrokkenen) hierover informeren. Dit gebeurt in de praktijk vaak door middel van een zogenoemd ‘privacy statement’: een verklaring van de verwerkingsverantwoordelijke aan de betrokkene. Nederland ICT heeft een voorbeeld privacy statement opgesteld.

Duidelijkheid voor MKB: iedereen een register

Tot nu toe was onduidelijk of bedrijven met minder dan 250 werknemers die geen spannende verwerkingen doen wél of niet een register van verwerkingen moeten bijhouden. Die knoop is nu doorgehakt door de Europese autoriteiten persoonsgegevens in een verklaring van de WP 29.

De Avg en de verwerking van biometrische gegevens

Verwerk je biometrische gegevens met het oog op de unieke identificatie van een persoon? Dus bijvoorbeeld voor toegangscontrole of tijdsregistratie? Dan verandert er met de komst van de Avg het één en ander op het punt van ‘grondslag’. 

Autoriteit Persoonsgegevens ziet toch uitzondering registerplicht voor mkb 

In de Avg (GDPR) staat dat alle bedrijven die persoonsgegevens verwerken daar een register van moeten bijhouden. Dat levert een flinke administratieve last op. De Avg bevat echter ook een uitzondering op deze registerplicht voor bedrijven met minder dan 250 werknemers. De meningen over de precieze interpretatie van de wettekst lopen echter uiteen. Een recente uitspraak van Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, lijkt nu toch de weg vrij te maken voor een brede uitzondering.

Column Lotte de Bruijn: 'Oerwoud'

'Iedereen is de weg kwijt in het GDPR-oerwoud', stond er eind februari op de website van ChannelConnect. Het enorme aanbod aan diensten om per 25 mei te voldoen aan de Avg/GDPR zorgt voor verwarring bij ondernemers. Het hoeft niet ingewikkeld te zijn, maar dan moet je wel accepteren dat je je compliance in de basis zélf moet regelen.

Analyse: wat valt op bij de Nederlandse invulling van de Avg?

De Algemene Verordening Gegevensbescherming (Avg) trad al in 2016 in werking. Vanaf 25 mei 2018 is hij ook daadwerkelijk van toepassing. In de tussenliggende twee jaar moeten niet alleen bedrijven zorgen dat ze hun zaken op orde hebben, ook onze wetgever moet aan de bak. Deze week werd de zogenaamde ‘uitvoeringswet Avg’ (uAvg) aangenomen door de Tweede Kamer. Een formaliteit? Niet helemaal. In de uAvg zit een aantal punten die het vermelden waard zijn.

Minister Dekker schuift aanpassingen Avg op de lange baan

Bedrijven zijn op dit moment hard bezig om per 25 mei te voldoen aan Avg (GDPR). Maar ook het kabinet moet aan de bak. De Europese regels moeten namelijk nog vastgelegd worden in de Nederlandse wet. Onlangs bleek echter dat minister Dekker in tijdnood komt en voorstelt een aantal vernieuwingen op de lange baan te schuiven. En dat betekent dat bedrijven mogelijk ook na 25 mei nog te maken kunnen krijgen met aanpassingen in de wetgeving.
Data Pro Nederland ICT

De Avg uitgelegd deel 10: Data Pro Code

De ICT-sector is heel divers, maar één ding hebben de meeste ICT-bedrijven gemeen: ze verzamelen, bewerken en bewaren data in opdracht van hun klanten. Voor deze rol van ‘data processor’ geeft de Avg (GDPR) andere regels dan voor verantwoordelijken. Om ICT-bedrijven te helpen aan deze regels te voldoen, heeft Nederland ICT de Data Pro Code ontwikkeld.

Nieuwe quickscan: Ben je verwerker?

Nu de ingangsdatum van de Avg (GDPR) nadert, wordt onze helpdesk Avg steeds vaker gevonden door bedrijven met vragen over de nieuwe privacywet. Een belangrijke afweging daarbij is welke wettelijke rol je als ICT-bedrijf hebt: ben je alleen ‘verantwoordelijke’, of ook ‘verwerker’? Het blijkt dat dit voor veel bedrijven nog onduidelijk is. Onze nieuwe quickscan biedt dan uitkomst.

Column Lotte de Bruijn: 'Dure komma'

Soms kan het plaatsen van een komma of een interpretatie daarvan het verschil betekenen tussen een administratieve last van een paar miljoen of niet. Dat is precies wat er nu speelt bij de nieuwe Europese privacyregels, de Avg.
Data Pro Nederland ICT

10 vragen en antwoorden over de Avg

Onze Helpdesk Juridisch krijgt veel vragen over de Avg. Waar gaat deze verordening precies over? Wanneer is er precies sprake van verwerking van persoonsgegevens? Wat is het verschil tussen een verwerker en de verwerkingsverantwoordelijke? En wat kan Nederland ICT voor mij betekenen? We hebben het voor je op een rij gezet.

De Avg uitgelegd deel 9: verwerkersovereenkomst

Wat is een verwerkersovereenkomst, wie moet deze sluiten en wat moet er allemaal in staan? We hebben het voor je op een rijtje gezet in deel 9 van de serie De Avg uitgelegd..

Wetsvoorstel Uitvoeringswet Avg (UAvg) naar Tweede Kamer

Er is geen Nederlandse wet nodig om de Avg in Nederland te laten gelden. De Avg werkt in Nederland rechtstreeks vanaf 25 mei 2018. Wel zijn er een aantal punten waarop landen de vrijheid hebben de Avg nader in te vullen of de uitvoering praktisch te regelen. In Nederland komt er daarom een Uitvoeringswet Avg (UAvg). Een wetsvoorstel daartoe is in de kerstvakantie ingediend bij de Tweede Kamer.

Begrippenlijst Avg: een overzicht van veelgebruikte termen en hun betekenis

De Avg kent een aantal nieuwe begrippen, of oude begrippen die subtiel zijn veranderd van betekenis. Hieronder vind je een index van veelgebruikte begrippen. Klik op een term voor het achterliggende artikel met meer uitleg. Alle artikelen en tools waar naar wordt verwezen vind je ook in onze Data Pro Academy.
Dataportabiliteit

De Avg uitgelegd deel 8: dataportabiliteit

Wanneer is het recht op dataportabiliteit van toepassing? Welke gegevens moeten verstrekt worden als de betrokkene erom vraagt en op welke manier? Moeten de betrokkenen geïnformeerd worden over dataportabiliteit? En moeten verwerkers altijd de data aan hun klanten teruggeven? We hebben het voor je op een rijtje gezet.

Column Lotte de Bruijn: 'Privacy-paniek'

Eerst een waarschuwing. Dit wordt een column over de aankomende Europese privacywetgeving. Maar blijf doorlezen, want ik ga je niet bombarderen met ingewikkelde juridische terminologie. Ik ga je ook niet bang maken met verhalen over dreigende megaboetes. "Bedrijven in paniek...", kopte het Financieel Dagblad een tijdje terug. Ik denk dat er voor het gemiddelde ICT-bedrijf geen reden is voor paniek. Sterker nog, de nieuwe regels zouden de digitale transformatie wel eens kunnen bevorderen.

Avg: inhoudelijke afspraken boven juridisch proza

Op een bijeenkomst voor voornamelijk vertegenwoordigers uit de overheid over data governance en hoe je de Avg moet implementeren, viel juridisch adviseur Sylvia Huydecoper een aantal dingen op.
Autoriteit

De Avg uitgelegd deel 7: de Autoriteit Persoonsgegevens

In dit deel van de serie ‘De Avg uitgelegd’ gaan we in op de nieuwe rol van de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens. De toezichthouder krijgt bijvoorbeeld hogere boetebevoegdheden. Welke bevoegdheden zijn dit en wat zijn de gevolgen van de Europese samenwerking voor bedrijven? We hebben het voor je op een rijtje gezet.

De Avg: gewoon serious business

Bij het naderen van de implementatie-deadline van de Avg (25 mei 2018) verschijnen links en rechts paniekberichten dat bedrijven te weinig tijd hebben, hoge kosten moeten maken voor externe adviseurs en het allemaal te moeilijk vinden. "Begrijpelijk", geeft Sylvia Huydecoper, juridisch adviseur bij Nederland ICT aan, "privacywetgeving is ook ingewikkeld, zeker niet perfect en de digitalisering gaat zo snel dat het laten mee-ontwikkelen van privacy-beleid tijd en moeite kost. Maar laten we het ook niet overdrijven."
Privacy Impact Assessment

De Avg uitgelegd deel 6: Privacy Impact Assessment

In dit deel van de serie 'De Avg uitgelegd' gaan we in op wat een Privacy Impact Assessment is, wie en wanneer een PIA moet doen, wat de rol als verwerker is bij een PIA en hoe je een PIA aanpakt als verantwoordelijke.
De Avg uitgelegd deel 5: accountability en de documentatieplicht

De Avg uitgelegd deel 5: accountability en de documentatieplicht

Wanneer je persoonsgegevens verwerkt, zijn er onder de Avg nieuwe verplichtingen waaraan je moet voldoen. Deze verplichtingen zijn voor verwerkers van persoonsgegevens net even anders dan voor verwerkingsverantwoordelijken van persoonsgegevens. Wat moet je als bedrijf vastleggen wanneer je persoonsgegevens verwerkt? En op welke manier kun je dit het beste doen? We hebben het voor je op een rijtje gezet.
The right to be forgotten

De Avg uitgelegd deel 4: the right to be forgotten

Wanneer moeten persoonsgegevens verwijderd worden? Zijn er uitzonderingen? Wat is het verschil op dit gebied tussen de Avg en de Wet bescherming persoonsgegevens? Zijn er nog andere verplichtingen? We hebben het voor je op een rijtje gezet.
Privacy by design en privacy by default

De Avg uitgelegd deel 3: privacy by design en privacy by default

Wat wordt er precies verstaan onder privacy by design en privacy by default? Waarom zijn deze begrippen zo belangrijk? En hoe geef je er als organisatie invulling aan?
Functionaris voor de Gegevensbescherming

Nieuwe privacy-wetgeving: ruim 40% van de bedrijven denkt Functionaris voor de Gegevensbescherming nodig te hebben

Uit een analyse van de tot nu toe binnengekomen inzendingen van de quickscan blijkt dat 44% van de bedrijven waarschijnlijk een Functionaris voor de Gegevensbescherming nodig zal hebben.
Transparantie

De Avg uitgelegd deel 2: transparantie en het recht op informatie

Dit is het tweede artikel in de serie over de Algemene verordening gegevensbescherming (Avg). Waarom is transparantie zo belangrijk? Wat betekent dit voor je bedrijf? En wat moet er in een privacy-statement?
Quickscan Functionaris voor de Gegevensbescherming

Heeft jouw bedrijf een Functionaris voor de Gegevensbescherming nodig?

Met het doorlopen van de vragen in deze quickscan kun je beoordelen of jouw bedrijf in het kader van de Avg waarschijnlijk wel of niet een Functionaris voor de Gegevensbescherming nodig heeft.
Functionaris voor de Gegevensbescherming

Avg deel 1: Functionaris voor de Gegevensbescherming (FG, Data Protection Officer of DPO)

Dit is het eerste artikel in de serie over de Algemene verordening gegevensbescherming (Avg). Wat zijn de taken van een Functionaris voor de Gegevensbescherming (FG) en wat is zijn positie?

Vijf aandachtspunten bij de implementatie van de nieuwe privacywet

In 2018 treedt de nieuwe Europese privacywet in werking: de Algemene verordening gegevensbescherming (Avg). Waar moet de Nederlandse overheid op letten bij het uitvoeren van de Avg? We zetten 5 aandachtspunten op een rij.
"A digital train", van centralasian

10 vragen en antwoorden over de Wet bescherming persoonsgegevens en de meldplicht datalekken

Bij onze Helpdesk Juridisch komen regelmatig vragen binnen over het verwerken van persoonsgegevens. Wat moet je als ICT-leverancier geregeld hebben? We hebben tien basisvragen over de Wbp en de meldplicht datalekken voor je op een rij gezet.

Privacy Shield: de start van een dialoog

Vorige week werd Privacy Shield formeel van kracht. Bedrijven hebben een nieuw juridisch middel voor de overdracht van data tussen Europa en de VS. Toch is er nog kritiek op de inhoud en houdbaarheid van de overeenkomst. Een belangrijk aspect blijft daarbij onderbelicht: in tegenstelling tot haar voorganger Safe Harbor, ligt bij Privacy Shield de nadruk op het proces. En dat zou wel eens de sleutel tot het succes van de overeenkomst kunnen zijn.