Stappenplan AVG – privacy regels

Civiel recht bij Klabou Advocaten
  • Afspraak is afspraak
  • Voorkom problemen in de toekomst
  • Specialisten in civiel recht
  • Jarenlange ervaring
  • Adviseren & bijstaan
Wat klanten zeggen over Klabou advocaten
22 maart 2018

Kort geleden waren wij helaas genoodzaakt een werknemer te ontslaan. Wij hebben de begeleiding door Klabou Advocaten in deze ontslagprocedure als professioneel en prettig ervaren. Gelukkig konden we met een vaststellingsovereenkomst de zaak afwikkelen.

Bericht Privacyrecht

Stappenplan AVG – privacy regels

18 februari 2018

Er is geen ontkomen aan. Vanaf 25 mei 2018 is de Europese Algemene verordening gegevensbescherming (AVG) van toepassing. De privacy regels die hierin zijn geregeld, vervangen die huidige zoals die zijn vervat in de Nederlandse Wet Bescherming Persoonsgegevens.

Door invoering van de AVG krijgen organisaties meer verplichtingen en de verantwoordelijkheid om aan te tonen dat de privacy regels worden nageleefd. De Autoriteit Persoonsgegevens (AP) ziet erop toe dat de AVG wordt nageleefd. Zij heeft ook de bevoegdheid om sancties op te leggen tot maximaal 20 miljoen euro of 4% van de wereldwijde omzet als een organisatie zich niet aan de nieuwe privacywetgeving houdt.

Lichtelijk verontrustend is het dan ook dat nog geen 20% van de Nederlanders op de hoogte is van de AVG.[1] Laat staan heeft geïmplementeerd in de organisatie. Als dat ook voor u geldt, dan adviseren wij om hier zo snel mogelijk verandering in te brengen.

Stappenplan

Waar te beginnen? Momenteel worden er vanuit de website van de AP diverse richtsnoeren en handvatten gepubliceerd. Een handige ‘tool’, naar onze mening, is het 10-stappenplan die wij graag met u delen:

Bewustwording

Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact is van de AVG op de huidige processen en welke aanpassingen er nodig zijn om aan de AVG te voldoen.
Rechten van betrokken. Onder de AVG krijgen betrokken (de mensen van wie de persoonsgegevens worden verwerkt) meer en verbeterde privacyrechten. Denk hierbij bijvoorbeeld aan het recht op inzage, correctie en verwijdering. Deze rechten moeten ook daadwerkelijk kunnen worden uitgeoefend. Als dat niet of onvoldoende mogelijk is, dan kunnen bij de AP klachten worden ingediend. De AP is verplicht deze klachten te behandelen.

Overzicht verwerkingen


Breng gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens er worden verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie die worden gedeeld. Onder de AVG bestaat en verantwoordingsplicht. Hierdoor moeten organisatie aantonen dat er in overeenstemming met de AVG wordt gehandeld. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.

Data protection impect assessment (DPIA)

Sommige organisaties zijn verplicht een DPIA uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te nemen om de risico’s te verkleinen. Er moet een DPIA worden uitgevoerd als de beoogde gegevensverwerking een hoog privacyrisico met zich meebrengt (bijvoorbeeld profilering).

Privacy by design & Privacy by default

Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd, dat er niet meer gegevens worden verzameld dan noodzakelijk voor het doel en dat de gegevens niet langer worden bewaard dan nodig. Privacy by default houdt in dat er technische en organisatorische maatregelen moeten worden genomen om ervoor te zorgen dat er alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel. Denk hierbij bijvoorbeeld aan een website waarbij het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf staat aangevinkt.

Functionaris voor de gegevensbescherming

Sommige organisaties zijn verplicht om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dit zijn overheidsinstanties, publieke organisaties en organisatie die vanuit hun kernactiviteiten op grote schaal individuel volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen, cameratoezicht en monitoring van iemands gezondheid. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die worden verwerkt en de duur dat mensen worden gevolgd.

Meldplicht datalekken

Alle datalekken moeten worden gedocumenteerd zodat de AP kan controleren of aan de meldplicht is voldaan.

Verwerkersovereenkomsten

Als de gegevensverwerking is uitbesteed aan een verwerker, dan dient te worden beoordeeld of de overeengekomen maatregelen in de bestaande contracten nog steeds toereikend zijn en of deze voldoen aan de eisen van de AVG.

Leidende toezichthouder

Als uw organisatie vestigingen heeft in meerdere EU-lidstaten en de gegevensverwerkingen in meerdere lidstaten impact hebben, dan hoeft nog maar met één privacytoezichthouder zaken te worden gedaan. Dit wordt de leidende toezichthouder genoemd. De leidende toezichthouder is de toezichthouder in de lidstaat waarin de hoofdvestiging van de organisatie is gevestigd. Dat is in principe daar waar de centrale administratie van de organisatie zich bevindt, tenzij beslissingen over het doel en de middelen van de gegevensverwerking in een andere vestiging worden genomen.

Toestemming

De AVG stelt strengere eisen aan toestemming die wordt gegeven door betrokkenen voor gegevensverwerking. Twee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. De manier waarop toestemming wordt gevraagd en geregistreerd is hierbij dus van belang. Nieuw bijvoorbeeld is dat er moet kunnen worden aangetoond dat er een geldige toestemming is verkregen. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming weer in te trekken.

Over de auteur

Ole Klabou

Advocaat sinds 1992

Ole Klabou is Advocaat sinds 1992 en studeerde aan de Universiteit van Amsterdam
Ole Klabou is advocaat vanaf 1992. Hij studeerde Nederlands recht aan de Universiteit van Amsterdam. Na werkzaam te zijn geweest als advocaat in Haarlem opende hij begin 1997 zijn eigen advocatenkantoor. Ole heeft zich gespecialiseerd op het gebied van arbeidsrecht. Ole is lid van de Nederlandse Orde van Advocaten en tevens lid van de Vereniging van Arbeidsrecht Advocaten Noord Nederland (VAANN). Ole heeft zich gespecialiseerd op het gebied van arbeidsrecht. Daarnaast doet hij civiele zaken. Ole is tevens in de functie van Vertrouwenspersoon werkzaam voor de Nederlandse Orde van Advocaten.
Neem contact op met
Ole Klabou
klabou@klabouadvocaten.nl (0515) 42 63 66