Privacy regels

Klabou Advocaten
  • Specialisten in arbeidsrecht en verbintenissenrecht
  • Persoonlijk contact
  • Gedegen advies
  • Bevlogen advocaten
  • Financiële duidelijkheid
  • Rechtsbijstandabonnement
Wat klanten zeggen over Klabou advocaten
26 januari 2018

Of ik het rechtsbijstandsabonnement van onze bedrijfsadvocaat wil waarderen, was het verzoek… nou, vooruit. Wij maken nu ruim een jaar gebruik van het ‘Silver’ abonnement en zijn dik tevreden. Korte lijnen, deskundig advies, kosteloze check contracten.

Bericht Algemeen

Privacy regels

29 maart 2017

Er is geen ontkomen aan. Vanaf 25 mei 2018 is de Europese Algemene verordening gegevensbescherming (AVG) van toepassing. De privacy regels die hierin zijn geregeld, vervangen die huidige zoals die zijn vervat in de Nederlandse Wet Bescherming Persoonsgegevens.

Door invoering van de AVG krijgen organisaties meer verplichtingen en de verantwoordelijkheid om aan te tonen dat de privacy regels worden nageleefd. De Autoriteit Persoonsgegevens (AP) ziet erop toe dat de AVG wordt nageleefd. Zij heeft ook de bevoegdheid om sancties op te leggen tot maximaal 20 miljoen euro of 4% van de wereldwijde omzet als een organisatie zich niet aan de nieuwe privacywetgeving houdt.

Lichtelijk verontrustend is het dan ook dat nog geen 20% van de Nederlanders op de hoogte is van de AVG.[1] Laat staan heeft geïmplementeerd in de organisatie. Als dat ook voor u geldt, dan adviseren wij om hier zo snel mogelijk verandering in te brengen.

Stappenplan

Waar te beginnen? Momenteel worden er vanuit de website van de AP diverse richtsnoeren en handvatten gepubliceerd. Een handige ‘tool’, naar onze mening, is het 10-stappenplan die wij graag met u delen:

  1. Bewustwording. Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact is van de AVG op de huidige processen en welke aanpassingen er nodig zijn om aan de AVG te voldoen.
  2. Rechten van betrokken. Onder de AVG krijgen betrokken (de mensen van wie de persoonsgegevens worden verwerkt) meer en verbeterde privacyrechten. Denk hierbij bijvoorbeeld aan het recht op inzage, correctie en verwijdering. Deze rechten moeten ook daadwerkelijk kunnen worden uitgeoefend. Als dat niet of onvoldoende mogelijk is, dan kunnen bij de AP klachten worden ingediend. De AP is verplicht deze klachten te behandelen.
  3. Overzicht verwerkingen. Breng gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens er worden verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie die worden gedeeld. Onder de AVG bestaat en verantwoordingsplicht. Hierdoor moeten organisatie aantonen dat er in overeenstemming met de AVG wordt gehandeld. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.
  4. Data protection impect assessment (DPIA). Sommige organisaties zijn verplicht een DPIA uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te nemen om de risico’s te verkleinen. Er moet een DPIA worden uitgevoerd als de beoogde gegevensverwerking een hoog privacyrisico met zich meebrengt (bijvoorbeeld profilering).
  5. Privacy by design & Privacy by default. Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd, dat er niet meer gegevens worden verzameld dan noodzakelijk voor het doel en dat de gegevens niet langer worden bewaard dan nodig. Privacy by default houdt in dat er technische en organisatorische maatregelen moeten worden genomen om ervoor te zorgen dat er alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel. Denk hierbij bijvoorbeeld aan een website waarbij het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf staat aangevinkt.
  6. Functionaris voor de gegevensbescherming. Sommige organisaties zijn verplicht om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dit zijn overheidsinstanties, publieke organisaties en organisatie die vanuit hun kernactiviteiten op grote schaal individuel volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen, cameratoezicht en monitoring van iemands gezondheid. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die worden verwerkt en de duur dat mensen worden gevolgd.
  7. Meldplicht datalekken. Alle datalekken moeten worden gedocumenteerd zodat de AP kan controleren of aan de meldplicht is voldaan.
  8. Verwerkersovereenkomsten. Als de gegevensverwerking is uitbesteed aan een verwerker, dan dient te worden beoordeeld of de overeengekomen maatregelen in de bestaande contracten nog steeds toereikend zijn en of deze voldoen aan de eisen van de AVG.
  9. Leidende toezichthouder. Als uw organisatie vestigingen heeft in meerdere EU-lidstaten en de gegevensverwerkingen in meerdere lidstaten impact hebben, dan hoeft nog maar met één privacytoezichthouder zaken te worden gedaan. Dit wordt de leidende toezichthouder genoemd. De leidende toezichthouder is de toezichthouder in de lidstaat waarin de hoofdvestiging van de organisatie is gevestigd. Dat is in principe daar waar de centrale administratie van de organisatie zich bevindt, tenzij beslissingen over het doel en de middelen van de gegevensverwerking in een andere vestiging worden genomen.
  10. Toestemming. De AVG stelt strengere eisen aan toestemming die wordt gegeven door betrokkenen voor gegevensverwerking. Twee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. De manier waarop toestemming wordt gevraagd en geregistreerd is hierbij dus van belang. Nieuw bijvoorbeeld is dat er moet kunnen worden aangetoond dat er een geldige toestemming is verkregen. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming weer in te trekken.

[1] Onderzoek van KPMG

Over de auteur

Valérie de Fuyk-Bruyn

Advocaat sinds 2011

Valérie de Fuyk-Bruyn is Advocaat sinds 2011 en studeerde aan de Leiden
Valérie de Fuyk-Bruyn heeft ondernemingsrecht met een minor bedrijfswetenschappen gestudeerd aan de Universiteit Leiden en zich verdiept in het Franse ondernemingsrecht en Europees recht door een semester te studeren aan L’Université Panthéon-Assas in Parijs. Bij Klabou Advocaten legt zij zich voornamelijk toe op het contractenrecht. In 2016 heeft Valérie de Leergang Arbeidsrecht bij de Academie voor de Rechtspraktijk; een specialisatie-opleiding met VAAN-erkenning, afgerond. Valérie is lid van de Nederlandse Orde van Advocaten en de VAAN.
Neem contact op met
Valérie de Fuyk-Bruyn
bruyn@klabouadvocaten.nl 0515 42 63 66