Privacy in 2018

Rotterdam, 01-12-2017

Vanaf eind mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG) voor alle Europese landen. (In het Engels: General Data Protection Regulation, GDPR).

In Nederland betekent dit, dat de Wet Bescherming Persoonsgegevens (WBP) niet meer van toepassing is vanaf dat moment. De uitgangspunten van de eerdere Europese richtlijn en de WBP blijven overigens nagenoeg geheel in tact. Maar door de introductie van de AVG vindt wel een aanscherping van de regelgeving plaats. De AVG gaat over de verwerking van persoonsgegevens in algemene zin. Denk aan de verwerking van gegevens van uw werknemers, leveranciers, klanten.

De belangrijkste veranderingen vanaf mei 2018 zijn de volgende:

  1. Verantwoordingsplicht.

U zult moeten kunnen aantonen dat u voldoet aan de AVG. Dit brengt een fors grotere administratieplicht met zich mee. Bij grote ondernemingen (meer dan 250 werknemers) wordt een verwerkingsregister verplicht gesteld. In dit register moeten alle vormen van verwerking van persoonsgegevens worden bijgehouden, met onder andere vermelding van het type gegevens, het doel waarvoor ze worden bijgehouden, wie toegang heeft tot de gegevens, hoe lang de gegevens bewaard worden et cetera.

Daarnaast kan er bij verwerking van bijzondere gegevens met een hoog privacy risico een verplichting bestaan om een privacy impact assessment te doen.

Tot slot dient u ook een logboek bij te houden van eventuele datalekken en voor zover de uitdrukkelijke instemming is verstrekt door de betrokkene (werknemer, klant, leverancier) dient u deze instemming duidelijk gedocumenteerd in een register voorhanden te hebben. 

  1. Rechten betrokkene.

 Onder het huidige privacy recht heeft een betrokkene al het recht om inzage te krijgen in de persoonsgegevens die over hem/haar verwerkt worden. Onder de AV G krijgen de betrokkenen ook het recht om hun persoonsgegevens over te laten dragen aan een derde partij. Denk bijvoorbeeld aan een werknemer die zijn gehele personeelsdossier wil ontvangen, of een consument die wil overstappen naar een andere energieleverancier. Een ander nieuw recht is het recht op vergetelheid (Right to be forgotten). Als een betrokkene de eerder gegeven toestemming voor het bewaren van zijn gegevens intrekt, of als er geen belang meer is voor u om zijn/haar gegevens te bewaren, dan kan de betrokkene vorderen dat zijn gegevens uit uw systemen worden verwijderd. 

  1. Aanscherping bewerkersovereenkomsten.

Wanneer u een deel van de persoonsgegevens door een bewerker (derde partij) laat verwerken dan dient u er zorg voor te dragen dat ook deze derde partij zich aan de AVG houdt. Daartoe zullen onder andere overeenkomsten met deze leveranciers moeten worden aangescherpt.

  1. Sancties

De bedoeling van de (Europese) wetgever is uiteraard dat u het nut van de bescherming van persoonsgegevens ziet en reeds daarom de AVG omarmt. Maar voor zover er niet al aanleiding is om uw organisatie aan te passen op de AV G uit de overtuiging van een goede bescherming van persoonsgegevens, zult u die noodzaak waarschijnlijk zeker zien nu er sprake is van fors zwaardere sancties. Onder de AV G kan worden besloten tot het opleggen van een boete tot maximaal € 20.000.000 of 4% van de wereldwijde omzet van uw onderneming.

Op de site van de Autoriteit Persoonsgegevens kunt u meer informatie vinden over de voorbereidingen die u dient te treffen om straks in lijn te handelen met de AV G. Onderschat vooral niet de tijd die gemoeid kan zijn met het aanpassen van uw werkwijze op de AVG.

Als u meer informatie wilt hebben over stappen die u kunt zetten (en moet zetten) om AVG-proof te worden, aarzel dan niet om contact op te nemen.

-

Bernard Bongaards in Algemeen.