Algemene verordening gegevensbescherming (AVG)

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf deze datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). Hiermee is de Wet bescherming persoonsgegevens (Wbp) komen te vervallen.    

Wat zijn enkele veranderingen als gevolg van de AVG?

 • Transparantie en communicatie;
 • Organisaties hoeven verwerkingen van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens, maar hebben een documentatieplicht;
 • Organisaties kunnen verplicht zijn een privacy impact assessment (PIA) uit te voeren naar de risico’s van het verwerken van persoonsgegevens;
 • Organisaties kunnen verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen.

 Voor organisaties betekent dit extra verplichtingen:

 • De digitale overdracht moet beveiligd zijn bij het overdragen van persoonsgegevens aan een andere partij;
 • Het hebben van een  gegevensbeschermingsbeleid;
 • Verantwoordelijk voor de keten van bewerkers;
 • Documentatie van alle datalekken;
 • Raadpleging van de autoriteit persoonsgegevens;
 • Ondubbelzinnige toestemming verkrijgen van de betrokkene. Ondubbelzinnig betekent dat een vage afspraak niet voldoende is, de organisatie moet toestemming kunnen aantonen;
 • Het recht van vernietiging van informatie;
 • Het recht van bezwaar, vooral tegen profiling;
 • Recht op vergoeding en aansprakelijkheidsstelling.

 Wat levert de AVG mij als organisatie op?

Als de algemene verordening gegevensbescherming (AVG) van toepassing is, geldt er als uitgangspunt nog maar één privacywet in de hele Europese Unie (EU) in plaats van 28 verschillende nationale wetten.

Indien u in meerdere EU-lidstaten actief bent, kan de AVG de volgende (extra) voordelen bieden:

 • Meer rechtszekerheid door duidelijkheid over verantwoordelijkheden binnen de EU;
 • Een gelijk speelveld (level playing field) voor bedrijven binnen de EU;
 • Zaken doen met een toezichthouder. Van de toezichthouder wordt ook een actievere rol verwacht.

Let op! Nu de algemene verordening gegevensbescherming (AVG) van toepassing is (25 mei 2018), hoeft u uw gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP). Uw gegevensverwerkingen melden bij de AP is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet. U dient nog steeds datalekken melden bij de AP.

Wat is de relatie met de ISO/ IEC 27001 norm?

Bedrijven die conform deze norm gecertificeerd zijn, zullen via hoofdstuk A.18 moeten aantonen dat ze de geldende wet- en regelgeving naleven. Dit zal tijdens de audit ook door middel van controlevragen worden getoetst. Vanuit de AVG wordt geëist dat persoonsgegevens worden beschermd met passende technische en organisatorische maatregelen.

Compliant zijn, of worden aan de ISO/ IEC 27001 norm, helpt organisaties invulling te geven aan maatregelen voor het treffen van passende bescherming van persoonsgegevens.

Wat is de overgangsperiode tussen de Wbp en AVG?

Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas sinds 25 mei 2018 van toepassing.

Er was dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk in werking trad. Deze periode was nodig om organisaties en toezichthouders voor te bereiden op de AVG.

Wat kunt u doen om te weten waar u staat?

Middels een nulmeting worden relevante artikelen uit de verordening tegen het licht gehouden en is direct duidelijk waar uw organisatie privacy risico’s loopt. Kortom weet u waar u staat en wat u nog moet doen om aan de AVG-eisen te voldoen. QMS International beschikt over meerdere auditoren, die zowel kennis hebben van ISO/ IEC 27001 als van de AVG.

Heeft u interesse in een nul-meting omtrent de AVG? Neem dan vrijblijvend contact met ons op voor het bespreken van de mogelijkheden en/ of het aanvragen van een offerte.