{{messages[0][0]}}

Nieuwe privacywetgeving!



Er komt nieuwe privacywetgeving aan! Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (hierna: AVG) van toepassing zijn. Dat lijkt nog ver weg, maar het is verstandig hier nu op te anticiperen; anders ben je te laat. De AVG komt in de plaats van de Europese Privacyrichtlijn uit 1995 en de nationale regels die EU lidstaten op basis daarvan hebben ingevoerd (in NL: de Wet bescherming persoonsgegevens). De AVG is namelijk een verordening, dat wil zeggen dat deze rechtstreeks van toepassing zal zijn in de gehele EU; omzetting in nationale wetten is niet meer nodig. Door invoering van de AVG komen er een aantal belangrijke nieuwe verplichtingen bij voor organisaties die persoonsgegevens verzamelen. Waarschijnlijk dus ook voor jou.

Infographic Privacy Wetgeving
Klik op de infographic om de fullsize versie te downloaden.

Moet ik aan de regels uit de AVG voldoen dan?

Je hoeft alleen aan de nieuwe AVG te voldoen, als je onder het bereik valt. Check dus even of jij aan de voorwaarden voldoet:

  • Je verwerkt persoonsgegevens (in ons blog wordt uitgelegd wanneer dit het geval is);
  • En jouw bedrijf is gevestigd in de EU en/of je verzamelt persoonsgegevens van personen uit de EU.

Vanaf 25 mei 2018 moet je volledig aan de nieuwe AVG te voldoen. Tot die tijd heb je natuurlijk geen vrij spel: je moet je houden aan de huidige privacywetgeving. Met behulp van onze Privacycheck voor ondernemingen kun je controleren of jouw privacybeleid op dit moment goed is.

Nieuwe verplichtingen voor jou als ondernemer

Als je tot de conclusie bent gekomen dat jij onder de nieuwe AVG valt, wil je natuurlijk ook weten wát je dan precies moet doen. Hier staan de belangrijkste verplichtingen op een rij:

Meldplicht datalekken

In Nederland was het sinds begin 2016 al verplicht om datalekken te melden, maar door de nieuwe AVG gaat deze regel voor de hele EU gelden. Eigenlijk bestaat die melding uit twee aparte onderdelen, namelijk:

  1. Melding aan de Autoriteit Persoonsgegevens

Een datalek moet je zo snel mogelijk (binnen 72 uur) melden aan de toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens. Je hebt maar kort de tijd om een datalek te melden, dus zorg dat je hier een goed beleid voor hebt.

 

  1. Melding aan de betrokken persoon

Als de datalek waarschijnlijk een hoog risico vormt voor de privacy, dan moet je de lek ook melden aan de personen op wie de gelekte gegevens betrekking hebben.

Je hebt trouwens al snel te maken met een datalek. Ook als je een mail met persoonsgegevens naar de verkeerde persoon stuurt of als een poststuk niet aankomt, dan is het al een datalek die je moet melden!

Afspraken met de bewerker van persoonsgegevens

Net als onder de huidige wet, moet je ook onder de nieuwe AVG duidelijke afspraken maken met degene die voor jou de gegevens verwerkt. De makkelijkste en meest duidelijke manier om dit te doen is door een bewerkersovereenkomst op te stellen. Onder de huidige wet mag de bewerker op zijn beurt de verwerking weer uitbesteden aan een derde partij, zonder dat jij toestemming daarvoor geeft. Onder de nieuwe AVG mag dit niet meer. Check dus goed of jouw bewerker de verwerking heeft doorgespeeld, en maak zo nodig nieuwe afspraken.

Documentatieplicht

Je moet een administratie gaan bijhouden van al je verwerkingsactiviteiten. Die administratie moet je op verzoek kunnen overhandigen aan de toezichthouder (de Autoriteit Persoonsgegevens). Je moet onder andere registreren welke gegevens je verwerkt, met wel doel je dit doet, hoe lang je de gegevens bewaart en welke beveiligingsmaatregelen je hebt genomen. Zo kun je aantonen dat je de juiste maatregelen hebt genomen om je aan de wet te houden. Het is een hoop werk om dit allemaal op papier te zetten, dus begin hier zeker niet te laat mee.

Functionaris Gegevensbescherming

In een aantal gevallen wordt het verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. De FG houdt onder andere toezicht op het naleven van de privacyregels, informeert en adviseert over gegevensverwerking en is aanspreekpunt voor de toezichthouder.

In welke gevallen moet er een FG aangesteld worden?

  • Als de organisatie die persoonsgegevens verwerkt een publiek orgaan is, bijvoorbeeld een gemeente;
  • Als er regulier, systematisch en grootschalig persoonsgegevens verzameld worden, bijvoorbeeld door het controleren van e-mailverkeer binnen de organisatie;
  • Als er op grote schaal bijzondere persoonsgegevens worden verwerkt.

Het is natuurlijk ook mogelijk om vrijwillig een FG aan te stellen als je niet in bovenstaande categorieën valt. Dit kan extra zekerheid bieden voor een goede naleving van alle privacyregels. Zulke functionarissen zijn alleen wel schaars (en niet goedkoop). Gelukkig is het ook een optie om voor een groep van ondernemingen gezamenlijk één FG aan te stellen.

Privacy Impact Assessment

Soms zorgt een verwerking van persoonsgegevens voor een hoog risico voor de rechten en vrijheden (bijvoorbeeld privacy) van personen. Denk bijvoorbeeld aan het grootschalig verwerken van strafrechtelijke gegevens. In dit soort gevallen moet je een Privacy Impact Assessment (PIA) uitvoeren, in het Nederlands een ‘gegevensbeschermingseffectbeoordeling’ (leuk voor Scrabble). Met zo’n PIA krijg je goed in beeld wat de privacyrisico’s zijn en kun je die risico’s vervolgens zo klein mogelijk maken.

Meldplicht gegevensverwerking vervalt

Onder de huidige wet moet je een melding doen bij de Autoriteit Persoonsgegevens als je persoonsgegevens verwerkt (uitzonderingen daar gelaten). Doordat bedrijven nu zelf hun gegevensverwerking moeten documenteren, vervalt deze verplichting.

Rechten voor de betrokken personen

Met alleen deze verplichtingen ben je er nog niet. Er zijn namelijk ook nieuwe rechten bij gekomen voor de personen van wie jij persoonsgegevens verwerkt. Dit is ook belangrijk voor jou, want jij moet aan die rechten uitvoering gaan geven. We noemen de twee belangrijkste.

Het recht om vergeten te worden

Personen krijgen het recht om gegevens te laten wissen, en op die manier ‘vergeten te worden’. Er zijn verschillende situaties waarin de betrokken persoon hier recht op heeft. Bijvoorbeeld als hij zijn toestemming voor de verwerking intrekt en dit de enige grondslag was om de gegevens te verwerken. Of als de gegevens in eerste instantie al onrechtmatig zijn verwerkt. Als iemand een verzoek doet om zijn gegevens te laten wissen terwijl jij ze al openbaar hebt gemaakt, dan moet je ervoor zorgen dat alle kopieën van en links naar die gegevens ook gewist worden.

 

 

Dataportabiliteit

Een tweede belangrijk nieuw recht is het recht op dataportabiliteit. Dit betekent dat personen kunnen vragen om een kopie van de gegevens die van hun zijn verwerkt. Ook mag die persoon van jou eisen dat je, als dit technisch mogelijk is, de gegevens overdraagt naar een andere organisatie. Om aan deze eisen te voldoen moet je de verwerkte gegevens kunnen overdragen in een gestructureerde en leesbare vorm.

Informeer je personeel

Meestal zijn er binnen een organisatie verschillende personen die werken met de verkregen persoonsgegevens. Het is belangrijk dat al deze personen goed op de hoogte zijn van de regels en verplichtingen rondom privacy. Zorg dus voor een goed privacy bewustzijn bij je personeel; zo voelt iedereen zich verantwoordelijk om de regels na te leven. En: hoe meer mensen op de hoogte zijn, hoe kleiner de kans op fouten en sancties.

Zijn die sancties zo erg dan?

Ja, de sancties op overtreding van de AVG zijn niet mis. Onder de huidige privacywetgeving kunnen de boetes op overtreding oplopen tot €820.000,-. Vind je dat al hoog? Onder de nieuwe AVG ligt dit nog vele malen hoger. De boete kan namelijk, afhankelijk van welke verplichting je schendt, oplopen tot maar liefst €20.000.000,- of 4% van de totale wereldwijde jaaromzet! Een enorme stok achter de deur om alles dus netjes te regelen.

Begin op tijd met aanpassen!

Je hebt als onderneming tot 25 mei 2018 de tijd om ervoor te zorgen dat je aan de nieuwe verplichtingen uit de AVG voldoet. Verkijk je hier niet op; het kost veel tijd om je bedrijfsvoering op de nieuwe regels aan te passen en de boetes bij overtreding zijn hoog. Stel het dus niet uit!

Hulp nodig?

Bij vragen over het opstellen van de nodige documenten kun je altijd contact met ons opnemen.

MEER BERICHTEN