Privacyrecht

beveilig uw persoonsgegevens

Privacyrecht bij Klabou advocaten
  • Privacy check
  • Incompany workshop
  • Rechtbijstand abonnementen
  • Specialist in privacyrecht
Wat klanten zeggen over Klabou advocaten
10 maart 2018

In enkele steekwoorden: ‘Ik kan altijd bellen (zonder dat daar weer een factuur tegenover staat), sparringpartners, kundig, leuke mensen, mooi kantoor.

Privacyrecht: beveilig uw persoonsgegevens

Klabou Advocaten kan u terzijde staan bij het in kaart brengen van de verwerking van persoonsgegevens binnen uw bedrijf door een privacy check met u te doen. Daarnaast stellen wij graag met u een de benodigde juridische documenten op, waaronder de verwerkersovereenkomst en privacy statement. Heeft u behoefte aan een incompany workshop. Voor € 200,00 ex btw komen wij bij uw organisatie een workshop van 1,5 uur geven.

Algemene Verordening Gegevensbescherming

Het privacyrecht heeft betrekking op het verwerken van persoonsgegevens. Per 25 mei 2018 verandert er het nodige in de regelgeving; de huidige Wet Bescherming Persoonsgegevens (WBp) maakt plaats voor de Algemene Verordening Persoonsgegevens (AVG). De belangrijkste wijziging zit in de naleving van deze wet, de Autoriteit Persoonsgegevens (AP) heeft verregaande mogelijkheden om op de naleving van de verwerking na te zien, ook op aangeven van personen die vinden dat een bedrijf of haar/zijn werkgever de regels overtreedt.

De AVG biedt bedrijven en instellingen bij uitstek de mogelijkheid om een visitekaartje af te geven aan haar klanten/clienten/patienten/werknemers; met deugdelijk privacybeleid en een Privacy Statement laat u zien dat u de persoonsgegevens van uw klanten etc. serieus neemt. Dat schept vertrouwen.

I. Persoonsgegevens

Persoonsgegevens zijn alle gegevens die herleiden naar een bepaald persoon Voorbeelden: de contactgegevens van werknemers, een klant, patiënt, lead of prospect (potentiële klant), contactgegevens van een leverancier, medewerkers enz. Het is dus niet de informatie over een organisatie, vereniging of bedrijf. Gegevens die feitelijke informatie geven over een persoon zijn bijvoorbeeld iemands naam, geboortedatum of geslacht. We onderscheiden gewone en bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens die gevoelig zijn van aard, zoals iemand zijn politieke voorkeur, gegevens over gezondheid, of iemand lid is van een vakbond, BSN nummer. Met deze gegevens dient extra zorgvuldig te worden omgegaan.

Mag je persoonsgegevens verwerken?
Je mag persoonsgegevens alleen verwerken als er voldaan is aan een van de volgende grondslagen:
– Verkregen toestemming van de persoon;
– In verband met de uitvoering van een overeenkomst;
– in verband met het nakomen van een wettelijke verplichting;
– Ter bescherming van vitale belangen van een persoon;
– In verband met algemeen belang en uitvoering van openbaar gezag;
– Ter behartiging van gerechtvaardigde belangen.

Voor het verwerken van bijzondere persoonsgegevens gelden aanvullende eisen, waaronder (aanvullende) toestemming; de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van u of de betrokken persoon (dit op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht) etc.
Controleer altijd of u voldoet aan een van de aanvullende grondslagen.

Met welk doel gebruik je de persoonsgegevens?
Persoonsgegevens mag je alleen gebruiken voor het doel waarvoor je deze hebt verkregen. Je mag de persoonsgegevens die je voor het ene doel gekregen hebt, dus niet gebruiken voor een ander doel. Als je bijvoorbeeld een e-mailadres hebt gekregen voor het versturen van de algemene nieuwsbrief dan mag je deze niet gebruiken voor (digitale) direct marketing. Je hebt daarvoor immers geen toestemming gevraagd en gekregen. Kortom, inventariseer welke persoonsgegevens je gebruikt, met welk doel en of je ze ook voor dat doel gekregen hebt.

II. Verwerkersovereenkomst

Als organisatie mag je persoonsgegevens nooit doorgeven aan een andere partij als je met die partij geen zogeheten verwerkersovereenkomst hebt. Zo’n overeenkomst regelt wat de ander met de gegevens mag doen én ook vooral wat niet. Je mag trouwens de gegevens met derden alleen delen als dit noodzakelijk is voor uitvoering van de doeleinden waarvoor je deze hebt verkregen. Voorbeeld: het doorgeven van NAW-gegevens aan je accountant in verband met de loonadministratie. Het komt natuurlijk ook veel voor dat een derde partij zelf al voorwaarden heeft over hoe zij omgaan met persoonsgegevens. Controleer deze goed, aan de hand van bijvoorbeeld je eigen verwerkersovereenkomst.

III. Privacy Policy

Om aan de wet te voldoen heb je privacy beleid nodig, dat je vastlegt in een Privacy Statement. In overeenkomsten waarin persoonsgegevens worden verwerkt verwijs je naar deze privacy statement. Een privacy statement kan worden opgesteld voor intern gebruik (hoe gaan wij binnen de organisatie met vertrouwelijke gegevens om) maar ook voor extern gebruik.

Wat wordt er zoal vastgelegd in een privacy statement:
• inzagerecht;
• recht op rectificatie;
• recht op vergetelheid;
• recht op beperking van verwerking;
• recht op kennisgevingsplicht;
• recht op overdraagbaarheid van gegevens;
• recht van bezwaar.
Het is van belang personen op de hoogte te stellen van de privacy statement. De gemakkelijkste manier is door de privacy policy van je organisatie op de website te zetten en in al je documenten en e-mails daarnaar te verwijzen.

IV. Datalek

Van een datalek is sprake als er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Van een datalek is alleen sprake als er persoonsgegevens zijn gelekt.

Voorbeelden zijn:
• Verlies van een USB-stick met daarop persoonsgegevens;
• Er is een laptop gestolen met daarop persoonsgegevens.
• Er is door een hacker ingebroken in een databestand of systeem (met daarop persoonsgegevens).
• Er is een mailing verstuurd met alle e-mailadressen in de Aan of CC in plaats van BCC.
• Uit een tas zijn papieren gestolen met daarop persoonsgegevens.
• Door een crash van een harddisk of door brand zijn persoonsgegevens verloren gegaan en er is geen back-up.
In bepaalde gevallen ben je verplicht melding te doen van een datalek bij de Autoriteit Persoonsgegevens. Ook kan het zo zijn dat je de betrokkenen moet informeren over het datalek. Dit zijn de personen van wie je gegevens verwerkt. Meld je een datalek niet terwijl je dit volgens de wet wel had moeten doen? Dan kan de Autoriteit Persoonsgegevens je een (flinke) boete geven.
Ook is het belangrijk dat je alle datalekken vastlegt. Met deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of je aan de meldplicht hebt voldaan.

V. Bestuurdersaansprakelijkheid

Onder de AVG heeft elk bedrijf, elke organisatie en instelling een eigen verantwoordelijkheid met betrekking tot de verwerking van persoonsgegevens en het naleven daarvan. U als eigenaar/directeur/bestuurder wordt daarop aangekeken; u dient verantwoordelijkheid te nemen en te zorgen dat de AVG tijdig wordt geïmplementeerd in uw organisatie en, nadat daarvan sprake is, wordt nageleefd. Het naleven van de AVG is een continue proces. Het hebben van privacy beleid dat wordt vastgelegd in een privacy statement ontslaat u niet van de verplichting om zorg te dragen voor controle op de verwerking van persoonsgegevens binnen uw organisatie. De Autoriteit Persoonsgegevens (AP) controleert. Dat kan zij op eigen initiatief doen maar ook op aangeven van een derde, wiens persoonsgegevens onrechtmatig zijn verwerkt. De autoriteit persoonsgegevens kan boetes opleggen die er niet om liegen, van maximaal 4% van de jaaromzet of € 20.000,00.

Kunt u zich als eigenaar/directeur/bestuurder disculperen c.q. verschuilen achter de aansprakelijkheid van de organisatie? Nee, niet helemaal. Indien er sprake is van opzet of grove nalatigheid van uw kant, dan kunt u ter verantwoording worden geroepen en persoonlijk aansprakelijk worden gesteld. Denk aan het voorkomen van een groot datalek waar niets mee wordt gedaan. In dat geval bent u (bestuurders)aansprakelijk.

Artikelen over Privacyrecht

Privacyrecht

Stappenplan AVG – privacy regels

Er is geen ontkomen aan. Vanaf 25 mei 2018 is de Europese Algemene verordening gegevensbescherming (AVG) van toepassing. De privacy regels die hierin zijn geregeld, vervangen die huidige zoals die zij...

Privacyrecht

Legal alert: privacy wetgeving

Bescherming van de privacy is een hot topic! De Europese Commissie en het Europees Parlement zijn tot de conclusie gekomen dat de huidige wetgeving niet langer aansluit op de digitale wereld van tegen...