AVG wat moet je ermee?

door Manon Bastiaans
op 08 juli 2020

De AVG; je hebt er vast over gehoord. Wat is het en wat moet je er mee? De AVG, afkorting van Algemene Verordening Gegevensbescherming, voorkomt dat organisaties onnodig naar persoonsgegevens vragen. Alle grote en kleine organisaties, ondernemingen en zzp’ers binnen de EU zijn verplicht om deze AVG regels op te volgen. Om zo goed mogelijk gehoor te geven aan deze privacywet, helpt Cultuur Concreet je op weg.

Stap 1: Mag je persoonsgegevens verwerken?

Als initiatiefnemer mag je persoonsgegevens verwerken als dat noodzakelijk is voor het uitvoeren van je initiatief. Je moet er wel een goede reden voor hebben. Dit kan je aantonen door minimaal één van de AVG-benoemde ‘grondslagen’ te kiezen. De zes grondslagen worden uitvoerig beschreven op de site van de Autoriteit persoonsgegevens. Maar voor de meeste culturele ondernemers is de eerste grondslag het makkelijkst toepasbaar; toestemming vragen van de persoon om wie het gaat.

Als je één van de grondslagen gekozen hebt, is het verstandig om dat te vermelden in een privacyverklaring en privacybeleid, dat je bijvoorbeeld op je website zet. Voor meer informatie en veel gestelde vragen over de grondslagen, kijk je op de site van de Autoriteit persoonsgegevens.

Stap 2: Verantwoordingsplicht

Je moet kunnen aantonen welke maatregelen je hebt genomen om de persoonsgegevens te beschermen. De AVG heeft hier vijf verplichte maatregelen voor opgesteld.

Bijhouden van een verwerkingsregister
In een verwerkingsregister hou je bij welke informatie je over personen verwerkt. Denk aan de contactgegevens, met welke bedrijven je deze gegevens deelt of hoe lang je de gegevens bewaart. Welk type gegevens je moet verwerken hangt af van de grootte van je organisatie. Vragen over het verwerkingsregister worden op de website van de Autoriteit persoonsgegevens beantwoord.
Data Protection impact assessment (DPIA) uitvoeren
Dit is een moeilijk woord dat eigenlijk betekent dat je je als organisatie bewust moet zijn van de risico’s van het behouden van privacygevoelige informatie. Niet iedere organisatie hoeft een DPIA uit te voeren. Kijk op deze checklist of dit nodig is voor jouw organisatie. Als blijkt dat je een DPIA moet uitvoeren, kijk op de website van Autoriteit persoonsgegevens hoe je dit handig aanpakt.
Lijst met datalekken
Als er iets mis gaat met de privacy van gegevens, moet je dit bijhouden. Denk aan een USB stick met belangrijke informatie dat is kwijtgeraakt of een privacygevoelig bestand dat naar een verkeerd adres is gestuurd. Noteer dat voor als je door de Autoriteit persoonsgegevens gecontroleerd wordt.
Toestemming
Je moet kunnen aantonen dat je toestemming hebt van iemand, om hun gegevens bij te houden. Zorg dus dat je bij het eerste contact met iemand, hier direct naar vraagt.
Functionaris Gegevensbescherming (FG) aanstellen
Dit is iemand binnen de organisatie die toezicht houdt op het naleven van de AVG regels.

Kijk hier voor meer informatie, extra maatregelen die je kan treffen en veel gestelde vragen over de verantwoordingsplicht.

Stap 3: Recht van betrokkenen

Wanneer mensen willen controleren of jij hun gegevens netjes bewaard, moet je de volgende informatie kunnen geven;

Een kopie van de betreffende persoonsgegevens
Een beschrijving over wat je met die informatie doet

Verder heeft iedereen altijd het recht om uit jouw administratie gehaald te worden. Om te leren hoe je een kopie van persoonsgegevens opstelt, klik op deze link. Hier vind je ook een voorbeeldoverzicht.

Als je het goed wilt doen, kost de AVG behoorlijk wat tijd. Toch is het belangrijk én verplicht om deze regels op te volgen. Wil je testen of jouw organisatie aan de belangrijkste verplichtingen voldoet, gebruik dan de AVG-Regelhulp.