De nieuwe privacywetgeving komt eraan

Vanaf 25 mei 2018 gelden er nieuwe privacyregels. Dan treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze wetgeving geldt niet alleen voor Nederland, maar voor de hele Europese Unie. De Engelse benaming is General Data Protection Regulation (Regulation (EU) 2016/679).

Waarom deze privacywetgeving?

Omdat we in de huidige tijd te maken hebben met snelle technologische ontwikkelingen en globalisering. Er worden steeds meer persoonsgegevens verzameld en gedeeld. Er bestaat behoefte om hierover op Europees niveau nadere afspraken te maken. In Nederland hebben we momenteel de Wet bescherming persoonsgegevens (Wbp). De AVG is in feite een aanscherping van de Wbp.

Wat betekent dit concreet?

De AVG bevat belangrijke bepalingen over de rechten en plichten met betrekking tot persoonsgegevens en privacy. Aan de ene kant krijgen betrokkenen van wie persoonsgegevens worden verwerkt meer rechten en aan de andere kant komen er verplichtingen voor degenen die deze persoonsgegevens verwerken. Het zijn vaak bedrijven en overheden die persoonsgegevens verwerken. In de AVG worden zij de verwerkingsverantwoordelijke genoemd. De persoon van wie persoonsgegevens worden verwerkt, wordt ook wel de betrokkene genoemd. Ook is het mogelijk dat ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens worden verwerkt. Deze persoon wordt ook wel verwerker genoemd.

De term verwerken van persoonsgegevens is veelomvattend en betekent het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens.

Wat is in de AVG geregeld?

De AVG bevat onder andere de volgende regels:

  • Als u persoonsgegevens verwerkt, moet u kunnen aantonen dat er toestemming is verkregen om die persoonsgegevens te verwerken. U dient persoonsgegevens bovendien rechtmatig te verwerken.
  • U dient een (elektronisch) register op te stellen, waarin u de verwerkingen van persoonsgegevens bijhoudt. Dit is het zogeheten verwerkingenregister.
  • U dient passende maatregelen te nemen om de persoonsgegevens die u verwerkt te beveiligen.
  • In sommige gevallen bent u verplicht een data protection impact assessment uit te voeren. Bijvoorbeeld als u systematisch (bijzondere) persoonsgegevens verwerkt.
  • De betrokkene van wie persoonsgegevens worden verwerkt krijgt bepaalde rechten zoals: het recht op informatie over zijn persoonsgegevens, recht op inzage van zijn persoonsgegevens, het recht op rectificatie en verwijdering van zijn persoonsgegevens, het recht op overdracht van zijn persoonsgegevens en diverse andere rechten.
  • Als er persoonsgegevens aan een verwerker ter beschikking worden gesteld, dient u een schriftelijke verwerkersovereenkomst met deze verwerker te sluiten. In de Wet bescherming persoonsgegevens wordt deze overeenkomst ook wel bewerkersovereenkomst
  • Datalekken, beveiligingslekken en inbreuken in verband met persoonsgegevens moet u uiterlijk binnen 72 uur na kennisneming melden aan de Autoriteit Persoonsgegevens. Een soortgelijke bepaling geldt al in Nederland sinds 1 januari 2016. U dient alle datalekken bovendien te registreren en in sommige gevallen zelfs te melden aan de betrokkene.
  • Onder omstandigheden bent u verplicht om een Functionaris voor de Gegevensbescherming in uw organisatie aan te wijzen. Deze persoon houdt toezicht op de naleving van de AVG.

Uiteraard is er veel meer in de AVG bepaald en bevat het voorgaande slechts een selectie.

Wat gebeurt er als u zich niet aan de AVG houdt?

Dan loopt u het risico op forse boetes. Deze boetes bedragen maximaal € 20.000.000,– (20 miljoen euro) of 4% van de totale wereldwijde omzet. Het is van belang om niet laconiek om te gaan met de AVG. 25 mei 2018 nadert met rasse schreden. Bereid u daarom goed voor!

Hoe bereidt u zich voor op de AVG?

Hieronder geef ik u een aantal praktische tips en adviezen:

  • Bewustwording. Zorg ervoor dat het personeel binnen uw onderneming op de hoogte is van de nieuwe privacyregels. Dit kan door middel van interne voorlichtingen en trainingen.
  • Beleid. Maak een intern privacy beleid voor uw organisatie. Op die manier weet u hoe u moet handelen als er bijvoorbeeld een datalek is, dat u moet melden aan de Autoriteit Persoonsgegevens.
  • Functionaris voor de Gegevensbescherming. Wijs iemand in uw organisatie aan die verantwoordelijk is voor en toezicht houdt op privacy aangelegenheden. Dit kan bijvoorbeeld een Functionaris voor de Gegevensbescherming zijn, die in samenwerking met uw ICT-afdeling privacyvraagstukken behandelt.
  • Bescherming en beveiliging. Zorg ervoor dat de persoonsgegevens die u verwerkt conform de AVG zijn beveiligd (privacy by design en privacy by default). Schakel bijvoorbeeld een ICT-bedrijf in dat u hierbij kan helpen.
  • Doel van verwerking. Zorg dat gegevens rechtmatig worden verwerkt en verwerk alleen persoonsgegevens die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
  • Verwerkingenregister. Maak een register waarin u vastlegt welke persoonsgegevens u verwerkt, benoem de verwerkingsdoeleinden en maak het register ‘AVG-proof’.
  • Verwerkersovereenkomst. Breng uw huidige bewerkersovereenkomsten nu al in overeenstemming met de AVG. Heeft u geen bewerkersovereenkomsten/verwerkersovereenkomsten? Zorg ervoor dat u deze heeft als er door een derde partij namens u persoonsgegevens worden verwerkt.
  • Internationaal. Check of u persoonsgegevens doorgeeft aan derde partijen buiten Europa. In dat geval kunnen aanvullende regels uit de AVG van toepassing zijn.

Yspeert advocaten helpt u graag bij het implementeren van de AVG. Wilt u een legal check van uw bestaande privacy overeenkomsten of heeft u behoefte aan nieuwe bewerkersovereenkomsten? Ook daarin staan we u graag bij.

Uw eerste aanspreekpunt:

Mart Dijkstra

Mart studeerde Nederlands recht aan de Rijksuniversiteit Groningen met de afstudeerrichtingen privaatrecht en strafrecht. Als advocaat werkte hij bij advocatenkantoren in het noorden van het land en in de Randstad. Daarnaast deed hij ervaring op in het internationale bedrijfsleven als bedrijfsjurist (Legal & Compliance counsel) bij Samsung Electronics. Mart is lid van de Vereniging Privacy Recht.

0512 334 124 +31 (0) 6 146 863 89 m.dijkstra@yspeert.nl