ISMS Copilot
Ondersteunde frameworks

Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming (AVG/GDPR) is de uitgebreide privacy- en gegevensbeschermingswet van de EU die regelt hoe organisaties persoonsgegevens verzamelen, verwerken, opslaan en beschermen. De AVG is van kracht sinds 25 mei 2018 en is van toepassing op elke organisatie wereldwijd die persoonsgegevens van EU-ingezetenen verwerkt, waarbij strikte eisen en aanzienlijke boetes voor niet-naleving zijn vastgelegd.

ISMS Copilot beschikt over specifieke kennis van de AVG-vereisten. Je kunt vragen stellen over het raamwerk, beleidsregels genereren die in lijn zijn met de AVG-principes, en de naleving van gegevensverwerking beoordelen met behulp van de AI-assistent.

Wie moet voldoen aan de AVG?

De AVG is van toepassing op:

  • Organisaties gevestigd in de EU die persoonsgegevens verwerken, ongeacht waar de verwerking plaatsvindt

  • Organisaties buiten de EU die goederen of diensten aanbieden aan EU-ingezetenen of hun gedrag monitoren

  • Verwerkingsverantwoordelijken: Entiteiten die de doeleinden en middelen voor de verwerking van persoonsgegevens bepalen

  • Verwerkers: Entiteiten die persoonsgegevens verwerken namens verwerkingsverantwoordelijken (leveranciers, dienstverleners)

Persoonsgegevens omvatten alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon (namen, e-mailadressen, IP-adressen, locatiegegevens, online identificatoren, gezondheidsinformatie, etc.).

De AVG heeft een extraterritoriale reikwijdte. Zelfs als je organisatie buiten de EU is gevestigd, moet je voldoen aan de regels als je gegevens van EU-ingezetenen verwerkt.

Zeven kernprincipes

De AVG stelt zeven fundamentele principes voor gegevensbescherming vast:

  1. Rechtmatigheid, behoorlijkheid en transparantie: Verwerk gegevens legaal, eerlijk en transparant tegenover de betrokkenen

  2. Doelbinding: Verzamel gegevens alleen voor gespecificeerde, expliciete en legitieme doeleinden

  3. Minimale gegevensverwerking: Verzamel alleen gegevens die adequaat, relevant en beperkt zijn tot wat noodzakelijk is

  4. Juistheid: Zorg ervoor dat persoonsgegevens accuraat en up-to-date zijn

  5. Opslagbeperking: Bewaar gegevens in identificeerbare vorm niet langer dan strikt noodzakelijk

  6. Integriteit en vertrouwelijkheid: Beveilig gegevens tegen ongeoorloofde verwerking, verlies of schade

  7. Verantwoordingsplicht: Toon aan dat je voldoet aan de AVG-principes

Belangrijkste vereisten

Organisaties moeten verschillende verplichte capaciteiten implementeren:

  • Rechtsgrondslag voor verwerking: Stel wettelijke gronden vast (toestemming, overeenkomst, wettelijke verplichting, gerechtvaardigd belang, vitaal belang, publieke taak)

  • Privacyverklaringen: Zorg voor duidelijke, toegankelijke informatie over gegevensverwerking

  • Voldoen aan rechten van betrokkenen: Maak rechten op inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar mogelijk

  • Toestemmingsbeheer: Verkrijg en documenteer vrijwillige, specifieke, geïnformeerde en ondubbelzinnige toestemming wanneer vereist

  • Gegevensbeschermingseffectbeoordelingen (DPIA's): Voer beoordelingen uit voor verwerkingsactiviteiten met een hoog risico

  • Melding van datalekken: Meld inbreuken binnen 72 uur aan de toezichthoudende autoriteiten en breng getroffen personen op de hoogte indien vereist

  • Register van verwerkingsactiviteiten: Houd een uitgebreide documentatie bij van alle gegevensverwerking

  • Privacy door ontwerp en door standaardinstellingen: Implementeer waarborgen voor privacy vanaf het begin

  • Leveranciersbeheer: Sluit verwerkersovereenkomsten af met verwerkers en voer due diligence uit

Rechten van betrokkenen

De AVG verleent individuen uitgebreide rechten over hun persoonsgegevens:

  • Recht op informatie: Duidelijke informatie over gegevensverwerking

  • Recht op inzage: Bevestiging en kopieën van hun gegevens verkrijgen

  • Recht op rectificatie: Corrigeer onjuiste of onvolledige gegevens

  • Recht op vergetelheid: Verzoek om verwijdering onder bepaalde omstandigheden

  • Recht op beperking van de verwerking: Beperk hoe gegevens worden gebruikt

  • Recht op overdraagbaarheid van gegevens: Ontvang gegevens in een gestructureerd, gangbaar formaat

  • Recht van bezwaar: Maak bezwaar tegen verwerking op basis van gerechtvaardigde belangen of direct marketing

  • Rechten met betrekking tot geautomatiseerde besluitvorming: Bezwaar maken tegen uitsluitend geautomatiseerde besluiten met juridische of significante gevolgen

Organisaties moeten binnen één maand reageren op verzoeken van betrokkenen.

Bijzondere categorieën en internationale doorgifte

Bijzondere categorieën gegevens (gevoelige gegevens zoals gezondheid, ras, religie, biometrie) vereisen aanvullende waarborgen en expliciete toestemming of een andere specifieke rechtsgrondslag.

Internationale doorgifte van gegevens buiten de EU/EER vereist:

  • Een adequaatheidsbesluit van de Europese Commissie, OF

  • Passende waarborgen (Standard Contractual Clauses, Binding Corporate Rules), OF

  • Specifieke afwijkingen voor uitzonderlijke situaties

Functionarissen voor Gegevensbescherming (FG's)

Organisaties moeten een FG (DPO) aanstellen als zij:

  • Een overheidsinstantie zijn

  • Op grote schaal stelselmatig toezicht houden

  • Op grote schaal bijzondere categorieën gegevens verwerken

De FG adviseert over naleving, houdt toezicht op gegevensbeschermingsactiviteiten en dient als contactpunt voor toezichthoudende autoriteiten.

Sancties

De AVG legt administratieve boetes in verschillende categorieën op:

  • Lagere categorie (tot €10 miljoen of 2% van de wereldwijde jaaromzet): Overtredingen van verplichtingen van verwerkers, FG-vereisten of verplichtingen van certificeringsorganen

  • Hogere categorie (tot €20 miljoen of 4% van de wereldwijde jaaromzet): Overtredingen van kernprincipes, rechten van betrokkenen, regels voor internationale doorgifte of het niet opvolgen van bevelen van de toezichthouder

Boetes worden bepaald op basis van ernst, duur, opzet, verzachtende maatregelen en samenwerking met autoriteiten.

Hoe ISMS Copilot helpt

ISMS Copilot biedt uitgebreide ondersteuning voor AVG-naleving:

  • Begeleiding per raamwerk: Stel vragen over specifieke AVG-artikelen, principes of rechten van betrokkenen

  • Beleid genereren: Creëer privacybeleid, bewaartermijnbeleid en procedures voor rechten van betrokkenen die klaar zijn voor een audit

  • Gap-analyse: Upload bestaande privacydocumentatie om tekortkomingen ten opzichte van de AVG-vereisten te identificeren

  • DPIA-sjablonen: Genereer raamwerken voor gegevensbeschermingseffectbeoordelingen voor verwerkingen met een hoog risico

  • Verwerkingsregisters: Maak Artikel 30-registers van verwerkingsactiviteiten (RoPA) aan

  • Leveranciersovereenkomsten: Ontwikkel AVG-conforme verwerkersovereenkomsten

  • Planning van respons op datalekken: Maak incidentrespons-plannen met AVG-meldingstermijnen

  • Werkruimte-organisatie: Beheer AVG-projecten gescheiden van andere compliance-initiatieven

De AI heeft directe kennis van de structuur en vereisten van de AVG, dus je kunt verwijzen naar specifieke artikelen of rechten in je prompts.

Probeer te vragen: "Genereer een procedure voor het reageren op een inzageverzoek (DSAR)" of "Maak een AVG-conforme privacyverklaring voor een SaaS-applicatie"

Aan de slag

Om te beginnen met AVG-naleving in ISMS Copilot:

  1. Maak een speciale werkruimte aan voor AVG-naleving

  2. Vraag de AI om u te helpen bij het identificeren van uw rechtsgrondslag voor verwerkingsactiviteiten

  3. Genereer fundamentele beleidsregels (privacybeleid, gegevensbewaring, rechten van betrokkenen)

  4. Maak Artikel 30-registers van verwerkingsactiviteiten aan voor je organisatie

  5. Upload bestaande privacydocumentatie voor een gap-analyse

  6. Ontwikkel een DPIA-raamwerk voor verwerkingsactiviteiten met een hoog risico

  7. Stel verwerkersovereenkomsten op die in lijn zijn met de artikelen 28-29

Gerelateerde bronnen

  • Officiële tekst van de AVG: EUR-Lex

  • Richtlijnen en aanbevelingen van de European Data Protection Board (EDPB)

  • Begeleiding van de nationale toezichthouder (Autoriteit Persoonsgegevens) in uw rechtsgebied

Was dit nuttig?