De privacywetgeving verandert!

Geplaatst op:30 november 2017

In 2018 verandert de privacywetgeving ingrijpend. Vanaf 25 mei 2018 wordt namelijk de Algemene Verordening Gegevensbescherming (AVG) van kracht. Met deze nieuwe Europese privacywetgeving krijgen burgers meer rechten en organisaties meer verplichtingen. Voldoen zij niet aan die verplichtingen? Dan wachten mogelijk hoge boetes. Op dit moment zijn veel bedrijven nog onvoldoende voorbereid op de AVG. Wat kunt u doen?

Wat is de AVG?

De AVG is een Europese verordening, die vanaf 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) zal vervangen. De AVG staat internationaal ook wel bekend als de General Data Protection Regulation(GDPR) en is strenger dan de Wbp. Zo krijgen burgers meer en stevigere privacyrechten. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen én de verantwoordelijkheid om aan te tonen dat zij zich aan de AVG houden.
Omdat vrijwel iedere organisatie tegenwoordig persoonsgegevens verwerkt, krijgt ook vrijwel iedere organisatie te maken met de AVG.

Hoge boetes

De Autoriteit Persoonsgegevens wordt vanaf 25 mei 2018 belast met het toezicht op de naleving van de AVG. Zij krijgen meer bevoegdheden dan onder de Wbp. Houden organisaties zich niet aan de AVG? Dan mag de Autoriteit Persoonsgegevens hoge boetes opleggen, tot wel twintig miljoen euro of 4% van de wereldwijde jaaromzet.

Wat kunt u doen?

Gelet op het voorgaande is het belangrijk om uw organisatie op tijd compliant te maken. En hoewel dit een serieuze inspanning vergt, heeft u ook nog wel even de tijd. Als u nog geen actie had ondernomen is het wel belangrijk om op korte termijn de volgende stappen te nemen.

Wijs een verantwoordelijke aan

Onder de AVG zijn sommige organisaties verplicht om een functionaris voor de gegevensverwerking (FG) aan te stellen. Het is belangrijk om na te gaan of dat voor u het geval is. Maar ook als dat niet zo is, is het belangrijk dat u één of meer medewerkers binnen uw organisatie aanwijst als verantwoordelijke(n) voor privacy compliance. Deze medewerkers moeten zich goed op de hoogte (laten) stellen van de nieuwe privacyregels en kunnen zich vervolgens bezig houden met de hiernavolgende stappen. Houdt u er rekening mee dat deze werkzaamheden, zeker in het begin, veel tijd kosten.

Breng in kaart welke gegevens u verwerkt

Door de ruime formulering van de AVG vallen straks meer gegevens dan nu onder het begrip persoonsgegevens. Om compliant te kunnen worden is het dus belangrijk dat u het volgende in kaart brengt:

  • Welke persoonsgegevens verwerken wij?
  • Op basis van welke wettelijke grondslag?
  • Met welk doel verwerken wij de gegevens?
  • Waar komen de gegevens vandaan?
  • Met wie delen wij de gegevens?
  • Hoe gevoelig zijn de gegevens?
  • Welke risicos lopen wij daarbij?

Denkt u daarbij niet alleen aan uw primaire processen, maar ook aan de verwerking van personeelsgegevens (salarisadministratie) én aan de verwerking van gegevens die u van websitebezoekers verzamelt.

Laat uw contracten beoordelen en aanpassen

Heeft u uw gegevensverwerking (gedeeltelijk) uitbesteed aan verwerkers, zoals ICT-leveranciers of een salarisadministrateur? Dan is het belangrijk dat de contracten die u met hen heeft afgesloten voldoen aan de AVG. Laat u die contracten dus door een advocaat van Schravenmade Advocaten beoordelen en, waar nodig, aanpassen.

Pas uw privacybeleid aan op de AVG

Onder de AVG krijgen burgers meer en stevigere privacyrechten. Het is daarom noodzakelijk dat u uw privacybeleid op de volgende punten afstemt op de AVG:

Beschrijf hoe uw organisatie omgaat met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default. Dit houdt in dat uw organisatie er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens worden beschermd en dat u alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het doel dat u wilt bereiken.
Bepaal hoe lang u persoonsgegevens bewaart en beschrijf hoe u ervoor zorgt dat ze tijdig worden verwijderd.
Zorg ervoor dat de manier waarop u toestemming vraagt, krijgt en registreert voor de verwerking van persoonsgegevens voldoet aan de eisen van de AVG. U heeft voor sommige gegevensverwerkingen straks namelijk expliciet toestemming nodig van de betrokkenen.
Stel een protocol datalekken op en houd een register bij van de datalekken. 

Zorg voor een proces om op verzoeken van burgers te reageren

De personen van wie u persoonsgegevens verwerkt krijgen straks meer en verbeterde rechten. Zo hebben zij straks niet alleen recht op inzage in hun gegevens en recht op correctie en verwijdering, maar ook het recht op dataportabiliteit. Hierbij moet u ervoor zorgen dat de persoon de gegevens die u heeft verzameld op zijn of haar verzoek krijgt en kan doorgeven aan een andere organisatie. Het is belangrijk dat u daarvoor processen heeft klaar liggen.

Heeft u hulp of advies nodig?

Op internet is inmiddels veel informatie over de AVG te vinden. Ook de Autoriteit Persoonsgegevens heeft de nodige informatie beschikbaar gesteld. Wij kunnen ons echter voorstellen dat het u na het lezen van die informatie duizelt en u zich afvraagt wat nu precies op uw organisatie van toepassing is.

Neemt u dan gerust contact met ons op. Schravenmade Advocaten adviseert u graag over de AVG en uw privacybeleid. Ook zijn wij u graag van dienst bij het beoordelen en - eventueel - aanpassen van uw ICT-contracten.

Elke werkdag bereikbaar
Stel uw vraag

E-mail specifieke vragen
info@Schravenmade.nl
Bel ons voor al uw vragen: 
0346-55 47 03

Contactinformatie

Bisonspoor 1218
3605 KZ Maarssen
Tel: 0346-55 47 03
Fax: 0346-56 07 64
Info@Schravenmade.nl

Schrijf u in voor onze tweewekelijkse nieuwsbrief

advocaat utrecht high trust
envelopephone-handset
Share This
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram