Op 25 mei 2016 is de Algemene Verordening Gegevensbescherming (hierna: AVG) in werking getreden. Organisaties en bedrijven hebben tot 25 mei 2018 de tijd om zich "AVG-proof" te maken. Vanaf die datum geldt dezelfde privacywetgeving in de hele EU en de Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Er verandert heel wat en u als ondernemer loopt de nodige risico‘s. In onderstaande blog geef ik kort uitleg over de AVG en licht ik kort enkele aandachtspunten toe om uw onderneming nog voor 25 mei 2018 "AVG-proof" te maken en zo torenhoge boetes en reputatieschade te voorkomen.
Wat verandert er in een notendop?
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacy-rechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. Overtredingen van de AVG kunnen leiden tot boetes van wel 20 miljoen euro of 4% van de wereldwijde jaaromzet. De Autoriteit Persoonsgegevens heeft een "10-stappenplan" opgesteld die organisaties kunnen helpen in de voorbereiding op de nieuwe privacywetgeving. Zie onderstaande link:
Nieuwe europese privacywetgeving/voorbereiding op de AVG
Het is bijna 25 mei 2018. Heeft u hier al aan gedacht?
Register-en documentatieplicht
Bedrijven hoeven hun verwerkingen onder de AVG niet langer te melden aan de Autoriteit Persoonsgegevens. Vanaf 25 mei 2018 geldt echter wel een register- en documentatieplicht. Dit betekent dat een overzicht van alle verwerkingen van persoonsgegevens intern moet worden bijgehouden en dat beheersmaatregelen voorhanden moeten zijn. Breng bijvoorbeeld in kaart welke afdeling van uw bedrijf persoonsgegevens verwerkt, voor welke processen en op wie de verwerking betrekking heeft (denk bijvoorbeeld aan uw HR –afdeling).
Bewerkersafspraken
Maakt u gebruik van de diensten van een derde? En verwerkt die derde ten behoeve van uw onderneming persoonsgegevens? Maak in dat geval bindende bewerkers afspraken. Dat kan in de vorm van een bewerkersovereenkomst (onder de AVG: "verwerkersovereenkomst"), maar dat hoeft niet. De afspraken moeten in ieder geval wel aan specifieke voorwaarden voldoen. Zo dient het onderwerp en de duur van de verwerking, maar ook de aard en het doel, het soort persoonsgegevens en de rechten en verplichtingen van de bewerker duidelijk worden omschreven. Check dus (of laat checken) of u wel met al uw bewerkers bindende bewerkersafspraken heeft gemaakt, die bovendien voldoen aan de nieuwe regelgeving.
Meldplicht datalekken
Het is van essentieel belang voor een goed "datalekbeleid" te zorgen. U dient immers nu al, indien data al dan niet opzettelijk verloren gaat, hiervan binnen 72 uur melding te maken bij de Autoriteit Persoonsgegevens. Het is vooral van belang al uw personeel hierop te wijzen, zodat in een voorkomend geval snel en adequaat melding wordt gemaakt.
Privacy Impact Assessment (PIA) Indien er sprake is van een high risk-informatieverwerking, bent u verplicht een PIA uit te voeren; bijvoorbeeld als de verwerking kan leiden tot ernstig lichamelijk letsel of reputatieschade. De verwerking van gegevens brengt dan een hoog risico mee voor de rechten en vrijheden van personen. Het is echter sowieso ook in andere gevallen aan te raden een PIA te laten uitvoeren. Op die manier krijgt u immers (beter) zicht op mogelijke privacyrisico‘s.
Aanstellen Functionaris Gegevensbescherming
Hoewel het onder de AVG niet verplicht is om altijd een Functionaris Gegevensbescherming aan te wijzen, kan het toch raadzaam zijn om dit wel te allen tijde te doen. Die functie kan overigens ook extern worden vervuld. Een Functionaris Gegevensbescherming kan u helpen bij het houden van toezicht op de naleving van de privacyregels, het inventariseren van gegevensverwerkingen en het bijhouden hiervan, het afhandelen van vragen en klachten van mensen binnen en buiten de organisatie en dergelijke.
Conclusie
Er gaat veel veranderen vanaf 25 mei 2018 op het gebied van de privacywetgeving. Nog belangrijker echter is dat dat voor u als ondernemer grote gevolgen kan hebben met boetes tot wel 20 miljoen euro. De voorgestelde aandachtspunten kunnen u op weg helpen uitvoering te geven aan de nieuwe regelgeving.
Blijf op de hoogte van de recente ontwikkelingen. Indien u vragen over deze blogs heeft, kunt u mij steeds vrijblijvend contacteren.
Het Hof Arnhem-Leeuwarden heeft onlangs geoordeeld dat Ziggo geen gegevens van downloaders hoeft te verstrekken a...
Werkgevers worden wakker geschud; een verplicht einde van "slapende dienstverbanden". De Hoge Raad heef...
Het arbeidsrecht onder de huidige Wet werk en zekerheid (Wwz) - die pas per 2015 in werking is getreden - knelt v...
De Algemene Verordening Gegegevensbescherming (AVG) is inmiddels bijna een jaar geleden in werking getreden. Sind...
De Algemene Verordening Gegegevensbescherming (AVG) is inmiddels bijna een jaar geleden in werking getreden. Sind...
Het antwoord op deze vraag was sinds de invoering van de Wet werk en zekerheid (Wwz) onzeker. Uit een recent arrest v...
Op 25 mei 2016 is de Algemene Verordening Gegevensbescherming (hierna: AVG) in werking getreden. Organisaties en bedr...
Sinds de invoering van de Wet werk en zekerheid (Wwz) heeft de zogenaamde billijke vergoeding haar intrede gedaan in ...
Het arbeidsrecht onder de huidige Wet werk en zekerheid (Wwz) - die pas per 2015 in werking is getreden - knelt volge...