Is uw bedrijf al AVG oké?

Onze huidige wetgeving omtrent privacy, de Wet bescherming persoonsgegevens (Wbp), stamt uit de tijd van de laatste eeuwwisseling (1 september 2001) en is een uitwerking van de Europese richtlijn bescherming persoonsgegevens uit 1995.

Sinds die tijd is onze maatschappij sterk gedigitaliseerd en is er meer behoefte ontstaan aan betere privacywetgeving.

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. In de hele Europese Unie, dus ook in Nederland, geldt vanaf die datum dezelfde privacywetgeving en de Wbp komt dan te vervallen. Hieronder volgt een korte toelichting op deze nieuwe privacywetgeving.

AVG

Met de komst van de AVG worden de privacy rechten van burgers versterkt en uitgebreid. Naast de al bestaande rechten op onder andere informatie, inzage en wijzigen van de eigen persoonsgegevens, worden de rechten uitgebreid met een recht om vergeten te worden* en het recht op dataportabiliteit*. De AVG brengt daarnaast allerlei (deels nieuwe) verplichtingen voor het bedrijfsleven.

*Het recht om vergeten te worden

Personen hebben nu ook al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen, maar dat wordt uitgebreid. Zij kunnen straks ook eisen dat de organisatie die hun persoonsgegevens heeft verzameld, de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

*Recht op dataportabiliteit

Het recht op dataportabiliteit houdt in dat mensen het recht hebben om hun persoonsgegevens in een standaardbestand te ontvangen, zodat zij hun gegevens makkelijk kunnen overdragen aan een andere organisatie voor dezelfde doeleinden. Er kan zelfs geëist worden dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, voor zover dat mogelijk is.

Wat betekent de AVG nu voor uw bedrijf?

Naast het waarborgen van de privacy rechten van degene wiens persoonsgegevens worden verzameld, roept de AVG tal van verplichtingen in het leven voor bedrijven. Een aantal hiervan zal nader worden toegelicht.

Zo dient er een zogeheten verwerkingsregister te worden aangelegd. In dit register beschrijft de organisatie onder andere alle informatie over de persoonsgegevens die worden verwerkt, voor welke doeleinden deze gegevens worden bewaard en voor hoelang de gegevens worden opgeslagen.

Als er andere partijen worden ingeschakeld om persoonsgegevens voor te verwerken, moet een bedrijf met deze organisaties een zogeheten verwerkersovereenkomst afsluiten. Met een verwerkersovereenkomst wordt uitgesloten dat de andere partij de persoonsgegevens voor eigen doeleinden mag verwerken. Er mogen enkel verwerkers worden ingeschakeld die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen.

In een zogeheten privacy statement staan niet alleen alle belangrijke gegevens van de organisatie, maar ook informatie over de verwerking van persoonsgegevens en de rechten van degene wiens persoonsgegevens worden verwerkt. Een privacy statement moet transparant, begrijpelijk en makkelijk toegankelijk zijn.

De AVG vereist daarnaast dat een organisatie passende technische en organisatorische maatregelen neemt om de beveiliging van persoonsgegevens te kunnen waarborgen. Het beveiligingsniveau moet hierbij zijn afgestemd op de risico’s die de gegevensverwerking met zich meebrengt.

Zo kunnen organisaties worden verplicht een zogeheten Data Protection Impact Assessment ook wel DPIA uit te voeren. Hiermee worden privacy risico’s in een vroegtijdig stadium op een gestructureerde en heldere manier in kaart gebracht. Dit is overigens verplicht als een gegevensverwerking een hoog privacy risico oplevert binnen de organisatie. Denk hierbij aan een organisatie die op grote schaal persoonsgegevens verwerkt.

Wanneer organisaties aan bepaalde criteria voldoen kunnen zij worden verplicht om een functionaris aan te wijzen voor de gegevensbescherming. Deze Data Protection Officer moet informatie verzamelen over gegevensverwerkingen binnen de organisatie, de verwerkingen analyseren en beoordelen of deze aan de AVG voldoen. Daarnaast houdt de Data Protection Officer zich bezig met informeren, adviseren en het doen van aanbevelingen aan de organisatie waar het gaat om naleving van de AVG..

Boetes

In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving van de AVG. Onder de Wbp konden er al boetes worden opgelegd maar de AVG maakt het voor de AP mogelijk hogere boetes op te leggen. De boetes kunnen oplopen tot een maximum van  € 20.000.000,- of 4% van de wereldwijde jaaromzet per incident.

Daarnaast hebben mensen zelf het recht een klacht in te dienen bij de toezichthouder. Ook kunnen zij rechtstreeks een rechtszaak starten tegen de organisatie in kwestie.

AVG oké?

Wilt u weten of uw bedrijf AVG oké is? Laat ons kantoor uw bedrijfsvoering inventariseren en nagaan of deze voldoet aan de eisen die worden gesteld door de AVG. We adviseren u welke veranderingen er eventueel nodig zijn om aan de vereisten aangaande de AVG te kunnen voldoen en helpen u met onder andere het opstellen van een privacy statement en verwerkersovereenkomsten.

Uiteraard kunnen aanverwante documenten die te maken kunnen hebben met de AVG, bijvoorbeeld algemene voorwaarden/leveringsvoorwaarden/contracten in het algemeen, door ons getoetst worden om na te gaan of er geen strijdigheden zijn met betrekking tot de AVG.

U kunt voor verdere informatie contact opnemen met mevrouw mr. T.L.V. de Jong of de heer mr. P.E.M. Schol.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.