De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening, die vanaf 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangt. Internationaal staat de AVG ook wel bekend als de ‘General Data Protection Regulation’ (GDPR). De AVG is strenger dan de Wbp: burgers krijgen meer en stevigere privacyrechten, organisaties vooral meer verplichtingen. Houden organisaties zich niet aan de AVG? Dan mag de Autoriteit Persoonsgegevens hoge boetes opleggen, tot wel twintig miljoen euro of 4% van de wereldwijde jaaromzet.
Voor 25 mei 2018 moet iedere organisatie in ieder geval zorgen dat de volgende documenten in orde zijn:
Vrijwel alle organisaties verzamelen persoonsgegevens. Denkt u daarbij aan namen, adressen en telefoonnummers van klanten, bezoekers en/of medewerkers. En aan email- of IP-adressen (via cookies op de website). Bijna alles wat u met die gegevens doet, zoals het opslaan, gebruiken of bewerken ervan, wordt onder de AVG ‘verwerken’ genoemd.
Als u persoonsgegevens verwerkt, bent u volgens de AVG verplicht om dat aan degene van wie u de gegevens verwerkt (in de AVG ‘betrokkene’ genoemd) te laten weten. Dat doet u met een een privacyverklaring.
Een privacyverklaring is een document waarin u aan de betrokkene uitlegt welke persoonsgegevens u verzamelt, wat u met die gegevens doet en hoe u ze beveiligt. De specifieke inhoud van uw privacyverklaring hangt af van welk type persoonsgegevens uw organisatie verzamelt en hoe u ze verwerkt. Bepaalde gegevens zijn nu eenmaal gevoeliger dan andere, waardoor u ook strengere waarborgen moet inbouwen. Wat iedere organisatie er in ieder geval in moet opnemen leest u hier.
Heeft u uw gegevensverwerking (gedeeltelijk) uitbesteed aan externe verwerkers, zoals ICT-leveranciers of een salarisadministrateur? Dan is het belangrijk dat de contracten die u met hen heeft afgesloten voldoen aan de AVG.
Op dit moment heeft u waarschijnlijk bewerkersovereenkomsten met hen gesloten. Deze contracten zijn gebaseerd op de Wbp. Onder de AVG heten bewerkersovereenkomsten voortaan verwerkersovereenkomsten. De AVG is op een aantal punten strenger dan de Wbp. Op grond van de Wbp mag de bewerker bijvoorbeeld de verwerking ook weer uitbesteden aan een derde partij, zonder dat u daarvoor toestemming hoeft te geven. Onder de AVG mag dat niet meer.
Laat uw bewerkerscontracten dus door één van onze advocaten beoordelen en waar nodig aanpassen.
Er is sprake van een datalek als persoonsgegevens in handen vallen van derden die eigenlijk geen toegang tot die gegevens zouden mogen hebben. Daarvoor is het niet nodig dat die persoonsgegevens gehackt of gestolen zijn. Ook een verkeerd geadresseerde e-mail met klantgegevens of een verloren usb-stick is een datalek. De AVG is ook op het gebied van datalekken strenger dan de huidige Meldplicht Datalekken.
Onder de AVG bent u verplicht om bepaalde datalekken zo snel mogelijk (liefst binnen 72 uur) te melden aan de toezichthouder. Ook zult u onder omstandigheden de betrokkenen over een datalek moeten informeren. Het is dus belangrijk dat u een protocol datalekken opstelt en in uw organisatie implementeert. Daarnaast moet u in uw verwerkersovereenkomsten goede afspraken maken, voor het geval zich een datalek bij een verwerker voordoet.
U moet bovendien een register bijhouden van alle datalekken die zich bij u voordoen. Dit geldt ook voor datalekken die u niet hoeft te melden bij de toezichthouder.
Verwerkt u persoonsgegevens? Dan moet u, als de Autoriteit Persoonsgegevens daarom vraagt, kunnen aantonen dat u aan de AVG voldoet. Dit wordt ook wel de ‘verantwoordingsplicht’ genoemd. Vrijwel alle organisaties zijn daarbij op grond van de AVG verplicht om een register verwerkingsactiviteiten aan te leggen. Een register verwerkingsactiviteiten is een register van alle gegevensverwerkingen die binnen uw organisatie, of onder uw verantwoordelijkheid plaatsvinden. U mag zelf weten hoe u het register vormgeeft. U kunt op internet verschillende modellen vinden, maar ook een Excel-sheet voldoet. De Autoriteit Persoonsgegevens mag het register opvragen. U bent dan verplicht om inzage te geven. Welke organisaties verplicht zijn om zo’n register aan te legen en wat daar in moet staan leest u hier.
Heeft u vragen over de AVG, of advies nodig over deze documenten? Schravenmade Advocaten helpt u graag verder.
Het arbeidsrecht is voortdurend in ontwikkeling. Wetgeving verandert continu, rechtspraak en literatuur geven steeds weer een andere kijk op de zaken.