Algemene verordening gegevensbescherming (AVG)

Een gids van Stripe over de wijzigingen in de Europese wet inzake privacy en gegevensbescherming

Inleiding

Laatst bijgewerkt op 25 september 2020 naar aanleiding van de uitspraak van het Hof van Jusititie van de Europese Unie in de zaak Schrems II.

Een overzicht van de nieuwe wet inzake privacy en gegevensbescherming die op 25 mei 2018 van kracht wordt, en een paar aanbevolen werkwijzen voor naleving van de AVG

De AVG vormt de belangrijkste wijziging in de privacywetgeving van de laatste decennia. Bedrijven doen hun uiterste best om deze ingrijpende wijzigingen in hun systemen en contracten te implementeren, en bedrijven die werken met een platform dat aan de privacybeginselen voldoet, hebben hierbij een voorsprong. Deze handleiding geeft onze gebruikers inzicht in de vérgaande gevolgen van de AVG. Je ontdekt welke kansen de AVG biedt om de gegevensverwerking te verbeteren en hoe je nu en in de toekomst voor naleving kunt zorgen.

De kleine lettertjes: Deze AVG-handleiding dient alleen ter informatie. Deze handleiding vormt geen juridisch advies. Neem contact op met je juridisch adviseur voor advies op maat over de mogelijke impact van de AVG op je bedrijf.

Wat is de AVG?

De Algemene verordening gegevensbescherming (AVG) is een nieuwe wet inzake privacy en gegevensbescherming die in heel de EU geldt. De wet is bedoeld voor een fijnmazige borging van de privacy in de systemen van een organisatie, genuanceerde afspraken over gegevensbescherming en een consumentvriendelijke, gedetailleerde methode voor inzage in de privacy- en gegevensbeschermingsprocedures van een organisatie.

De AVG komt in de plaats van het huidige juridische kader voor gegevensbescherming uit 1995 (bekend onder de naam "Richtlijn gegevensbescherming"). De Richtlijn gegevensbescherming moest worden omgezet naar nationale wetgeving in de EU-lidstaten, met fragmentatie van het landschap voor gegevensbescherming binnen de EU tot gevolg. De AVG is een EU-verordening die direct juridisch effect heeft in alle EU-lidstaten, en die niet in nationale wetgeving hoeft te worden omgezet om bindend te worden. Dit verbetert de consistentie en harmonieuze toepassing van de wet in de EU.

De AVG is ook geldig voor organisaties buiten de EU

Anders dan de Richtlijn gegevensbescherming, is de AVG relevant voor elk internationaal opererend bedrijf, niet alleen voor bedrijven die in de EU zijn gevestigd. De AVG geldt voor (i) organisaties die in de EU zijn gevestigd of (ii) organisaties die niet in de EU zijn gevestigd maar die gegevensverwerkingsactiviteiten uitvoeren die betrekking hebben op staatsburgers van de EU en die samenhangen met het aanbieden van goederen en diensten aan deze burgers of het toezien op hun gedrag.

Verwerking van persoonsgegevens is in het kader van de AVG een breed begrip

In de AVG wordt voorgeschreven hoe persoonsgegevens van staatsburgers van de EU door organisaties mogen worden verwerkt. "Persoonsgegevens" en "verwerking" zijn veelgebruikte begrippen in de regelgeving. Inzicht in de specifieke betekenis ervan in het kader van de AVG maakt het werkelijke bereik van deze verordening duidelijk:

  • Persoonsgegevens zijn gegevens over een specifieke of een identificeerbare persoon. Dit is een zeer breed concept omdat dit betrekking kan hebben op alle informatie die op zichzelf of in combinatie met andere stukjes informatie kan worden gebruikt om een persoon te identificeren. Bij persoonsgegevens gaat het niet alleen om iemands naam of e-mailadres. Het gaat ook om financiële gegevens en soms zelfs om een IP-adres. Bovendien geldt voor sommige categorieën persoonsgegevens door de gevoelige aard ervan een hoger niveau van gegevensbescherming. Bij deze categorieën gaat het om informatie over iemands raciale of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen, vakbondslidmaatschap, genetische gegevens, biometrische gegevens, medische gegevens, informatie over iemands seksuele gedrag of geaardheid en informatie uit het strafregister.

  • Verwerking van persoonsgegevens is de belangrijkste activiteit waardoor de verplichtingen in het kader van de AVG van kracht worden. Onder verwerking wordt elke bewerking of reeks bewerkingen met betrekking tot persoonsgegevens verstaan, al dan niet uitgevoerd met behulp van automatische instrumenten, zoals het verzamelen, vastleggen, ordenen, indelen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Concreet betekent dit dat elk proces waarbij persoonsgegevens worden opgeslagen of opgevraagd als verwerking wordt beschouwd.

Belangrijke begrippen: verwerkingsverantwoordelijken en gegevensverwerkers

In de EU-wetgeving inzake gegevensbescherming zijn er twee typen entiteiten die persoonsgegevens kunnen verwerken: de verwerkingsverantwoordelijke en de gegevensverwerker.

De verwerkingsverantwoordelijke ("verantwoordelijke") is de entiteit die alleen of samen met anderen de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt. De gegevensverwerker ("verwerker") is de entiteit die de persoonsgegevens namens de verantwoordelijk verwerkt.

Het is belangrijk om te bepalen of de entiteit die persoonsgegevens voor elke gegevensverwerkingsactiviteit verwerkt, een verantwoordelijke of een verwerker is. Deze inventarisatie geeft een organisatie inzicht in de rechten en verplichtingen die uit de gegevensverwerkingactiviteiten voortvloeien.

Stripe voert bepaalde gegevensverwerkingsactiviteiten uit waarvoor het als verwerkingsverantwoordelijke optreedt, en andere waarvoor het als gegevensverwerker optreedt. Een goed voorbeeld van deze dubbele rol is de verwerking van creditcardtransacties door Stripe. Om een transactie mogelijk te maken moeten persoonsgegevens worden verwerkt, zoals de naam van de kaarthouder en het nummer, de vervaldatum en de CVC-code van de creditcard. De gegevens van de kaarthouder worden door de Stripe-gebruiker naar Stripe verzonden via de Stripe-API (of via een andere integratiemethode, zoals Stripe Elements). Stripe gebruikt de gegevens vervolgens om de transactie te voltooien binnen de systemen van de creditcardnetwerken, een functie die Stripe als gegevensverwerker uitvoert. Stripe gebruikt de gegevens echter ook om aan wettelijke verplichtingen te voldoen (zoals "ken-je-klant" en "bestrijding van witwassen") en in die rol is Stripe een verwerkingsverantwoordelijke.

Juridische grondslag voor verwerking van persoonsgegevens in de AVG

De volgende stap is vaststellen of een bepaalde verwerkingsactiviteit voldoet aan de AVG. In het kader van de AVG moet elke gegevensverwerkingsactiviteit die als verantwoordelijke of verwerker wordt uitgevoerd, een rechtsgrond hebben. De AVG kent in totaal zes rechtsgronden voor de verwerking van persoonsgegevens van staatsburgers van de EU (in de AVG worden staatsburgers van de EU "betrokkenen" genoemd). Deze zes rechtsgronden, in de volgorde van Artikel 6 (1) (a) tot (f) van de AVG, zijn:

  1. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

  2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

  3. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

  4. De verwerking is noodzakelijk om de vitale belangen van de betrokkene te beschermen;

  5. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag die aan de verwerkingsverantwoordelijke is opgedragen; of

  6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen.

Er zijn overeenkomsten tussen de verwerking die in het kader van de AVG is toegestaan en de lijst in de Richtlijn gegevensbescherming. Maar er zijn ook aanzienlijke verschillen.

Een veelbesproken wijziging in de AVG vergeleken met de Richtlijn gegevensbescherming, is de aanscherping van de toestemmingsvereisten (punt 1 in de bovenstaande lijst). De AVG kent diverse toestemmingsvereisten zoals (i) de toestemming moet verifieerbaar zijn, (ii) de vraag om toestemming moet duidelijk te onderscheiden zijn van andere aangelegenheden, en (iii) de betrokkenen moeten worden geïnformeerd over hun recht om de toestemming in te trekken. Het is ook van belang om in gedachten te houden dat een nog strengere toestemmingsvereiste ("uitdrukkelijke toestemming") geldt voor de verwerking van gevoelige gegevens.

Een ander belangrijk punt betreft "gerechtvaardigde belangen" (punt 6 in de bovenstaande lijst). Een organisatie die zich beroept op "gerechtvaardigde belangen" ter ondersteuning van de verwerking van persoonsgegevens, moet zich bewust zijn van de verplichting om een afwegingstoets uit te voeren met betrekking tot deze rechtsgrond. Om te voldoen aan het verantwoordingsbeginsel in het kader van de AVG moet een organisatie documenteren dat aan de afwegingstoets is voldaan; hierbij worden de aanpak en argumenten vastgelegd die zijn afgewogen voordat de conclusie werd getrokken dat aan de afwegingstoets is voldaan.

Rechten van personen in het kader van de AVG

Onder de Richtlijn gegevensbescherming werd aan personen bepaalde basisrechten verleend met betrekking tot hun persoonsgegevens. In het kader van de AVG gelden deze rechten nog steeds, met een aantal wijzigingen ter verduidelijking. In het onderstaande diagram worden de rechten van personen onder de Richtlijn gegevensbescherming en de AVG vergeleken.

Rechten van personen Richtlijn gegevensbescherming AVG
** Toegangsverzoeken van betrokkene** Personen hebben het recht om te weten of hun persoonsgegevens worden verwerkt, welke persoonsgegevens worden verwerkt en hoe dat gebeurt, en welke gegevensverwerkingsactiviteiten worden uitgevoerd. Dit recht is uitgebreid in het kader van de AVG. Bij een toegangsverzoek moet bijvoorbeeld extra informatie aan iemand worden verstrekt, waaronder informatie over de aanvullende gegevensbeschermingsrechten in het kader van de AVG die eerder niet bestonden, zoals het recht op gegevensoverdraagbaarheid.
Recht om bezwaar te maken Iemand mag bepaalde gegevensverwerkingsactiviteiten verbieden indien er sprake is van dwingende gerechtvaardigde redenen. Personen mogen ook bezwaar maken tegen de verwerking van hun persoonsgegevens ten behoeve van direct marketing . In de AVG is de reikwijdte van dit recht verbreed ten opzichte van de Richtlijn gegevensbescherming.
Recht op rectificatie en wissing Personen mogen verzoeken om aanvulling van onvolledige gegevens of correctie van onjuiste gegevens om te waarborgen dat de verwerking van persoonsgegevens conform toepasselijke gegevensbeschermingsbeginselen plaatsvindt. De AVG neemt feitelijk dezelfde positie in als de Richtlijn gegevensbescherming, maar sommige beschermingsprocedures zijn in het kader van de AVG verbeterd.
Recht op beperking van de verwerking Geen recht op beperking van de verwerking. De Richtlijn gegevensbescherming geeft personen echter het recht om hun persoonsgegevens te blokkeren als de verwerkingsactiviteiten niet conform de gegevensbeschermingsbeginselen worden uitgevoerd, bijvoorbeeld wanneer gegevens onvolledig of onjuist zijn. De AVG geeft personen het recht om in bepaalde omstandigheden te verzoeken om beperking van de verwerking van hun persoonsgegevens, inclusief situaties waarin de persoon de juistheid van de gegevens aanvecht.
Recht op wissen ("recht om te worden vergeten") Personen hebben het recht om hun persoonsgegeven te laten wissen als de verwerkingsactiviteiten niet conform de gegevensbeschermingsbeginselen worden uitgevoerd. Dit recht is daarom zeer beperkt. In de AVG is dit recht aanzienlijk uitgebreid. Het recht op wissen kan bijvoorbeeld worden uitgeoefend als persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor deze zijn verzameld, of wanneer de persoon zijn toestemming tot verwerking intrekt en er geen andere wettelijke basis bestaat om door te gaan met de verwerking.
Recht op gegevensoverdraagbaarheid In de Richtlijn gegevensbescherming wordt "gegevensoverdraagbaarheid" niet expliciet als recht van een betrokkene genoemd. In de wetgeving van de EU-lidstaten zijn mogelijk op nationaal niveau extra rechten ingevoerd die vergelijkbaar zijn met een recht op gegevensoverdraagbaarheid . Personen mogen verzoeken dat persoonsgegevens die door één bepaalde verwerkingsverantwoordelijke worden bewaard, beschikbaar worden gesteld aan henzelf of aan een andere verantwoordelijke.

Internationale gegevensuitwisselingen

Er is de laatste jaren heel wat te doen geweest over het internationale gegevensverkeer. Er is veel discussie geweest over dit onderwerp en er zijn nogal wat wetshervormingen doorgevoerd. Het is bovendien zo goed als zeker dat de wetgeving over het internationale gegevensverkeer zich in de komende jaren zal blijven ontwikkelen. In de huidige EU-wetgeving inzake gegevensbescherming moet aan bepaalde vereisten worden voldaan voordat persoonsgegevens van staatsburgers van de EU naar buiten de EU mogen worden overgedragen, tenzij de organisatie die de persoonsgegevens ontvangt, is gevestigd in een rechtsgebied dat op de toegestane lijst staat (zie hier voor rechtsgebieden die op de toegestane lijst staat).

In het kader van de AVG is het beheer van internationale gegevensuitwisselingen een hele uitdaging omdat de wetgeving zich blijft ontwikkelen en er slechts een handjevol gegevensuitwisselingsmechanismen beschikbaar zijn. Maar ook al is het een uitdaging, toch moeten organisaties in de pas blijven lopen met de ontwikkelingen omdat wettige uitwisseling van persoonsgegevens de ruggengraat van elk technologisch bedrijf vormt.

We hanteren het Privacy Shield niet meer als mechanisme voor gegevensuitwisselingen omdat het Hof van Justitie van de Europese Unie de Privacy Shield-overeenkomsten tussen de EU en de VS en tussen Zwitserland en de VS op 16 juli 2020 in de zaak Schrems II ongeldig heeft verklaard. We blijven werken volgens de uitgangspunten van de Privacy Shield-overeenkomst omdat deze nog steeds bescherming kunnen bieden aan de privacy van gebruikers. Daarom blijven we in beleidsregels en overeenkomsten verwijzen naar de Privacy Shield-overeenkomst.

Meer algemeen heeft Stripe nalevingsmaatregelen voor internationale gegevensuitwisselingen geïmplementeerd die gelden in alle wereldwijde entiteiten van Stripe die de persoonsgegevens van staatsburgers van de EU verwerken. Deze maatregelen zijn gebaseerd op de modelcontractbepalingen van de EU.

Zoals gezegd, is het zeer waarschijnlijk dat de wetgeving over het internationale gegevensverkeer zich in de toekomst blijft ontwikkelen. Daarom houden we de wettelijke ontwikkelingen rondom nalevingsmaatregelen voor internationale gegevensuitwisseling nauwlettend in de gaten, en stellen we alles in het werk om de wettige internationale uitwisseling van persoonsgegevens van betrokkenen in de EU te waarborgen. Dit betekent ook dat we zo veel mogelijk redundanties in ons programma voor naleving van gegevensuitwisseling hebben ingebouwd, en van plan zijn om dit uit te breiden met de instrumenten die in het kader van de AVG voor Stripe beschikbaar zijn.

Niet-naleving

De meest aangehaalde consequentie van niet-naleving van de AVG is de maximumboete die kan worden opgelegd aan organisaties die niet aan de vereisten voldoen. De maximumboete die kan worden opgelegd is 4% van de wereldwijde omzet of 20 miljoen euro, als dit laatste bedrag hoger is. Voor sommige andere overtredingen geldt een maximumboete van 2% van de wereldwijde omzet of 10 miljoen euro, als dit laatste bedrag hoger is.

Minder vaak genoemd worden de bevoegdheden van de toezichthoudende autoriteiten onder Artikel 58 van de AVG. Toezichthoudende autoriteiten mogen bijvoorbeeld corrigerende maatregelen opleggen, zoals een tijdelijke of definitieve beperking van de gegevensverwerkingsactiviteiten, met inbegrip van een volledig verwerkingsverbod, of de opschorting van gegevensstromen naar een ontvanger in een derde land gelasten.

Stripe en de AVG

Bij Stripe vormen privacy, gegevensbescherming en gegevensbeveiliging de kern van alles wat we doen. We leggen de lat in het domein van de gegevensbescherming en privacy voor onszelf voortdurend hoger, en zien de AVG als een kans voor de hele sector om de handen ineen te slaan en beter te presteren.

Stripe is al in 2016 begonnen met het nemen van maatregelen voor naleving van de AVG, en we stellen alles in het werk om te waarborgen dat onze services op de ingangsdatum van 25 mei 2018 voldoen aan de AVG.

Naleving van de AVG kent tal van aspecten. Zo werken we onze documentatie en overeenkomsten bij om deze af te stemmen op de vereisten van de AVG. Ook nemen we onze interne beleidsregels en procedures onder de loep om naleving van de AVG te waarborgen.

De meeste factoren die betrekking hebben op AVG-naleving, vinden plaats "onder de motorkap" van een organisatie, omdat ze betrekking hebben op aanpassing van de manier waarop een organisatie persoonsgegevens verwerkt. Hier volgen een paar stappen die platforms zoals Stripe voor hun gebruikers (en voor zichzelf) nemen, vooruitlopend op de AVG:

  • Een analyse uitvoeren om vast te stellen waar de kloof ligt tussen de vereisten die worden opgelegd door de Richtlijn gegevensbescherming en door de AVG, voor zover van toepassing op de bedrijfsvoering van de organisatie.

  • Interne tools, procedures en beleidsregels controleren en waar nodig aanpassen.

  • De methoden voor gegevenstoewijzing en gegevensinventarisatie herzien en waar nodig aanpassen om te voldoen aan de verplichtingen voor het bewaren van gegevens in het kader van de AVG.

  • Een specifieke analyse uitvoeren om vast te stellen wat er ontbreekt in de instrumenten voor privacy en gegevensbescherming om te voldoen aan de vereisten van de gegevensbeschermingseffectbeoordeling.

  • De methode voor internationale gegevensuitwisselingen bijwerken.

  • Contracten bijwerken met de verplichtingen van Artikel 28 van de AVG omdat deze betrekking hebben op de contractpartners van het bedrijf.

  • De relaties met leveranciers nalopen en waar nodig herzien om ervoor te zorgen dat deze derden persoonsgegevens op een wettige manier ontvangen en verwerken.

  • Het programma voor naleving van de privacy bijwerken met voortdurende bijscholing van medewerkers om de wijzigingen op te nemen die voor de AVG moeten worden geïmplementeerd.

Het verantwoordingsbeginsel

Stripe-gebruikers moeten advies inwinnen bij juridische professionals om inzicht te krijgen in de volledige reikwijdte van hun nalevingsverplichtingen in het kader van de AVG. Als vuistregel geldt dat als de organisatie in de EU is gevestigd of persoonsgegevens van staatsburgers van de EU verwerkt, de AVG van toepassing is.

Een van de belangrijkste beginselen van AVG waarop je moet letten, is het verantwoordingsbeginsel. In het verantwoordingsbeginsel wordt aangegeven dat de verwerkingsverantwoordelijke moet kunnen aantonen dat zijn verwerkingsactiviteiten in overeenstemming zijn met de gegevensbeschermingsbeginselen die in de AVG zijn opgenomen. De eenvoudigste manier om dit aan te tonen is door je aanpak voor AVG-naleving te documenteren en te communiceren.

Bij Stripe is de naleving het resultaat van een gezamenlijke inspanning van veel mensen in onze organisatie, onder andere medewerkers van User Operations, Sales, Engineering, Security en Legal. Volgens onze ervaring zijn overkoepelende samenwerkingsverbanden en gemakkelijk leesbare documentatie ongelooflijk nuttig voor de algehele procedure voor AVG-naleving.

Een AVG-controlelijst voor je bedrijf

Met nog maar een paar weken te gaan tot 25 mei 2018 krijgen kleine en middelgrote bedrijven met specifieke uitdagingen te maken om orde op zaken te stellen voor de AVG. Met dat in gedachten hebben we voor onze gebruikers een controlelijst opgesteld met een aantal belangrijke elementen van het AVG-nalevingsprogramma.

Zorg dat de neuzen dezelfde kant op wijzen: Kom bij elkaar met je technische en juridische medewerkers en personeel van de klantenservice en informeer elkaar over de AVG en wat de impact ervan op de organisatie is.

Breng duidelijk in kaart wat er gebeurt met persoonsgegevens in je organisatie: Met een gegevensinventarisatie kun je erachter komen hoe persoonsgegevens in je systemen worden opgeslagen en verwerkt. De volgende vragen kunnen daarbij van pas komen:

  • Welke categorieën persoonsgegevens verwerk je? (bijvoorbeeld financiële informatie, medische gegevens, marketinggerelateerde informatie, enzovoort)
  • Voor welke categorieën personen verwerk je persoonsgegevens? (bijvoorbeeld kaarthouders, kinderen, patiënten, enzovoort)
  • Waarom verwerk je deze informatie?
  • Hoe en waarom heb je deze informatie verzameld?
  • Hoe worden deze gegevens beveiligd?
  • Zijn er derden die deze informatie ontvangen? Zo ja, worden deze ontvangers dan genoemd in het privacybeleid of in andere meldingen? Weet je wie deze derden zijn? Hoe lang bewaar je informatie over personen?

Rechtsgronden toewijzen: Bekijk de eerder genoemde zes rechtsgronden. Koppel elke verwerkingsactiviteit in de gegevensinventarisatie aan een rechtsgrond. Hierdoor ontstaat een toewijzing van rechtsgronden.

Zorg dat je weet hoe je moet voldoen aan het verzoek van een persoon die zijn rechten uitoefent:

  • Zorg dat je de informatie uit de gegevensinventarisatie kunt gebruiken om te reageren op het toegangsverzoek van een betrokkene.
  • Zorg dat je op grond van de gegevensinventarisatie weet waar persoonsgegevens voorkomen in je systeem (en waar er door andere systemen naar wordt verwezen) zodat je kunt voldoen aan verzoeken om intrekken, wijzigen en wissen.
  • Zorg dat je weet welke bestandsindelingen in je systemen worden gebruikt, en bedenk hoe je gaat reageren op verzoeken om gegevensoverdraagbaarheid.

Reactie op gegevensschendingen en incidenten: Wanneer je met collega’s praat over de technische/beveiligingsaspecten van de organisatie, zorg dan dat je het plan voor reactie op incidenten kent. Doe een paar simulatie-oefeningen zodat iedereen die bij een reactie op een incident is betrokken, weet hoe er bij een beveiligingsincident moet worden gehandeld. Idealiter is dit team een goed geoliede machine, klaar om het plan uit te voeren zodra dat nodig is.

Er zijn nog veel meer elementen die aan deze controlelijst kunnen worden toegevoegd. Stel samen met interne experts en externe adviseurs een lijst op die precies op de behoeften is afgestemd. Als je bijvoorbeeld gegevensbeschermingseffectbeoordelingen moet uitvoeren, benoem je een functionaris voor gegevensbescherming, beheer en controleer je de werkwijzen van je bedrijf voor marketing en andere communicatie en neem je procedures voor leveranciersbeheer en aanbestedingen onder de loep, om maar een paar voorbeelden te noemen.

Door je gegevensverwerkingsactiviteiten in kaart te brengen beschik je over een solide basis, en dat is een groot voordeel voor alle vragen over AVG-naleving die je tegenkomt.

Hieronder vind je een paar aanvullende bronnen die we hebben geraadpleegd en handig vonden. We hopen dat ze ook voor jou handig zijn.

Aanvullende bronnen

Er zijn nogal wat plaatsen waar de AVG wordt genoemd, maar het is moeilijk om goede bronnen bij te houden die online beschikbaar zijn. Hier zijn een paar bronnen die we hebben geraadpleegd om op de hoogte te blijven van de ontwikkelingen met betrekking tot de AVG:

  • Alles begint met de tekst van de verordening: De volledige tekst van de AVG staat hier en een koppeling naar de Richtlijn gegevensbescherming vind je hier.

  • De toezichthoudende autoriteit: Er is een toezichthoudende autoriteit in elke EU-lidstaat, en velen hebben handige richtlijnen over de implementatie van de AVG gepubliceerd. Een lijst met toezichthoudende autoriteiten vind je hier.

  • Groep gegevensbescherming artikel 29 (WP29), binnenkort Europees Comité voor gegevensbescherming (EDPB): De WP29 is een adviesorgaan dat bestaat uit vertegenwoordigers van de toezichthoudende autoriteiten in elke EU-lidstaat, de Europese Toezichthouder voor gegevensbescherming en de Europese Commissie. Met ingang van 25 mei 2018 wordt de WP29 de EDPB. De EDPB bestaat uit het hoofd van de toezichthoudende autoriteit van elke EU-lidstaat en de Europese Toezichthouder voor gegevensbescherming.

    De WP29 heeft talloze richtlijnen en adviezen uitgebracht en heeft diverse onderwerpen voor overleg geopend. In de meest recente richtlijnen en adviezen ligt de focus op de beste methode voor implementatie van elementen van de AVG in de nalevingsstructuur van een organisatie. De WP29 Newsroom vind je hier.

    Op de oude website van WP29 stonden tal van aanvullende bronnen die met de nieuwe lay-out van de website nu helaas niet meer eenvoudig toegankelijk zijn. De gearchiveerde website met aanvullend materiaal is hier beschikbaar.

  • Sommige toezichthoudende autoriteiten, advocatenkantoren, privacy-organisaties zoals de IAPP en tal van andere organisaties, NGO’s en bedrijven organiseren evenementen over de AVG. Zeer waarschijnlijk hebben andere organisaties vragen over implementatie van de AVG die vergelijkbaar zijn met die van jou. Dit is een geweldige kans om met anderen in contact te komen en samen vragen over de AVG op te lossen.

Terug naar whitepapers
You’re viewing our website for Poland, but it looks like you’re in the United States.