Privacy first

Hebt u uw privacy-beleid op orde?

Privacy is momenteel een “hot item”. Ook voor uw organisatie geldt dat privacy-beleid onderdeel moet uitmaken van uw werkprocessen. Als deze niet op orde zijn kan de Autoriteit Persoonsgegevens hoge boetes (tot wel 4% van de jaaromzet) opleggen. Eind april 2016 is de Algemene Verordening Gegevensbescherming (AVG) aangenomen. Deze treedt op 25 mei 2018 in werking, ter vervanging van de geldende Wet bescherming persoonsgegevens (Wbp). Het is dus de hoogte tijd om van privacy werk te maken en er voor te zorgen dat u compliant bent met de huidige en toekomstige privacywetgeving. Wij zijn u graag van dienst.

De Europese Privacywet: zwaardere documentatieplicht

Net als onder de Wbp, is het ook onder de AVG een vereiste dat er aantoonbare toestemming is verleend voor de verwerking van iemands persoonsgegevens.  Wat met de komst van de AVG wel verandert, is de zwaardere documentatieplicht. Organisaties moeten kunnen aantonen dat zij de gegevens compliant verwerken. Als bijvoorbeeld de toestemming door een persoon schriftelijk wordt gegeven, bent u verplicht om dit verzoek in begrijpelijke taal en in een gemakkelijk toegankelijke en herkenbare vorm te presenteren. Het moet dus voor de verlener van toestemming duidelijk zijn voor welke aangelegenheid deze wordt gegeven. Maar dat is niet nieuw en zou u nu ook al goed voor elkaar moeten hebben.

Waar moet u, als ondernemer, zich in de komende anderhalf jaar dan wel op voorbereiden?

Aanstellen Data Protection Officer (DPO) verplicht voor grootschalige privacygevoelige verwerkers

Het meeste voorbereidende werk komt voort uit de verzwaarde documentatieverplichting. Onder de AVG moet in sommige gevallen verplicht een Data Protection Officer (DPO) worden aangesteld. Een DPO krijgt als taak om binnen de organisatie toe te zien op naleving van de AVG. Een DPO wordt verplicht voor:

  • Overheden
  • Organisaties die als kernactiviteit processen uitvoeren die naar hun aard, omvang of doelen grootschalige verwerking van persoonsgegevens vereisen
  • Organisaties die als kernactiviteit de grootschalige verwerking van bijzondere persoonsgegevens hebben.

Er zijn nog geen parameters vastgelegd waarmee u kunt inschatten of u onder “grootschalig” valt. Echter kunt u er vanuit gaan dat als uw organisatie actief is in publieke sectoren zoals de zorg, onderwijs of als u zich toelegt op extra privacygevoelige activiteiten zoals in de ICT of telecommunicatie, dat u verplicht een DPO verplicht moet aanstellen.

Inschatten gevolgen van verwerking persoonsgegevens: Privacy Impact Assessment (PIA)

U bent verplicht om, ingeval de verwerking van persoonsgegevens een hoog risico voor de betrokkene met zich meebrengt, voorafgaand aan de verwerking van persoonsgegevens onderzoek te doen naar de mogelijke risico’s van een verwerking. Dit onderzoek wordt aangeduid met de term PIA (Privacy Impact Assessment).  Ook moeten bedrijfsprocessen maatregelen bevatten ter bevordering van dataminimalisatie en veiligheid. Een meldplicht datalekken zoals wij deze nu al kennen, zal ook EU-breed worden ingevoerd. En hoe gaat u er mee om als de betrokkene de toestemming intrekt?

Uitbreiding definitie ‘bijzondere persoonsgegevens’

Ook zal uitbreiding plaatsvinden van wat onder bijzondere persoonsgegevens valt te verstaan. Onder de Wbp vielen bijvoorbeeld gezondheidsgegevens, gegevens omtrent etniciteit en strafrechtelijke gegevens. Met de AVG zullen ook biometrische gegevens (vingerafdruk, irisscan) als bijzondere persoonsgegevens worden aangemerkt. Verwerking en vastlegging mag alleen plaatshebben als er sprake is van een erkende grondslag voor verwerking.

EU-onderneming heeft vrije keuze nationale toezichthouder

Qua toezicht en handhaving is ook het een en ander vermeldenswaard. Nationale toezichthouders (in Nederland is dat de Autoriteit Persoonsgegevens: AP) zullen verantwoordelijk zijn voor toezicht en handhaving. Straks is het mogelijk om, als uw onderneming actief is in meerdere EU landen, er voor te kiezen om de toezichthouder in één specifieke lidstaat als uw toezichthouder aan te wijzen als ‘lead supervisory authority’. Dit kan voordelig voor u uitpakken, indien u bijvoorbeeld voor al uw betrokken organisaties dezelfde werkwijze er op na houdt.

Verhoging van de boetes

Het investeren in een DPO loont dus de moeite, omdat u zo hoge boetes en verscherpt toezicht door de landelijke Autoriteit Persoonsgegevens zou kunnen voorkomen. De boetes die kunnen worden opgelegd worden namelijk ook aangepast. Onder de AVG kunnen zoals u hierboven al hebt gelezen boetes oplopen tot 20 miljoen euro of gemaximaliseerd tot 4% van de jaaromzet.

Bewijsplicht ligt bij organisatie

Winnaars van de AVG zouden de burgers moeten worden. Moeten zij nu nog klagen bij de toezichthouder in het land van de verantwoordelijke (zo moest de Oostenrijker Max Schrems zijn klacht tegen Facebook indienen bij de toezichthouder in Ierland), straks mogen zij klagen bij de eigen nationale toezichthouder. Daarnaast moeten de ‘verwerkingsverantwoordelijken’ aantonen dat zij voldoen aan de AVG, waarvoor zoals gezegd een uitgebreide documentatieplicht geldt.

Yspeert en privacy

Komt privacy ook bij u op de eerste plaats? Dan kunnen wij op het gebied van privacy veel voor uw organisatie betekenen. Denkt u hierbij onder andere aan:

  1. in kaart brengen van datastromen en relevante bedrijfsprocessen;
  2. het vaststellen van privacy- & securitybeleid;
  3. opstellen en afnemen van Privacy Impact Assessments;
  4. het opstellen van goede schriftelijke afspraken met derdenpartijen zoals dataleveranciers;
  5. het beoordelen en opstellen van bewerkersovereenkomsten en
  6. het verrichten van DPO-diensten dan wel u over het aanstellen van een DPO te adviseren.

Heeft u naar aanleiding van dit blog vragen, neemt u dan gerust contact op met Hillie Lunter.

Uw eerste aanspreekpunt:

Hillie Lunter

Hillie Lunter (advocaat sinds 2005) wordt regelmatig benoemd als curator in faillissementen. Zij behaalde de post-academische opleiding Insolventierecht aan de Rijksuniversiteit Groningen en de specialisatieopleiding Vennootschaps – en Ondernemingsrecht bij Grotius. Hillie Lunter is vicevoorzitter van de Raad van Toezicht van de Stichting Maatschappelijke Onderneming Smallingerland (M.O.S.), lid van Friese Zaken en VNO NCW Noord, waar zij voorzitter is van de Noordgang Drachten Dokkum Oosterwolde. Ook is Hillie lid van Vereniging Privacy Recht.

0512 33 41 45 +31 (0) 6 349 255 56 h.lunter@yspeert.nl