Bereid uw bedrijf voor op de AVG privacywet van 2018.

Bereid uw bedrijf voor op de AVG privacywet van 2018.

Home » Nieuws » Bereid u voor op de nieuwe AVG privacywet

Per 25 mei 2018 zal de Algemene verordening gegevensbescherming (AVG) van toepassing zijn binnen de gehele Europese Unie (EU). Dat betekent dat er vanaf die datum één en dezelfde privacywetgeving geldt in de hele EU en haar lidstaten. Deze nieuwe wet zorgt er tevens voor dat de Wet bescherming persoonsgegevens (Wbp) vanaf dan niet meer geldig is. In dit artikel geeft Ligo, partner in legal advies, uitleg over de nieuwe privacywet en geven ze een globaal beeld van de aanstaande veranderingen.

Ligo maakt het voor ondernemers eenvoudig om ‘legal’ snel, makkelijk en betaalbaar te regelen. Wij bieden alle juridische diensten die u nodig hebt, tegen een fractie van de tijd, kosten en complexiteit van het traditionele systeem. Via de HR Appstore heeft u tijdelijk 3 maanden Ligo voor de prijs van 2. Meer informatie over Ligo.

Nieuwe privacywet: Wat en waarom?

Wat betekent de AVG voor u? Noodzakelijke technische aanpassingen, wijziging van uw privacy policy, verplichte registratie van bepaalde gegevens, betere beveiliging en in sommige gevallen de plicht om een functionaris Gegevensbescherming aan te stellen. De AVG in een notendop: burgers krijgen aanzienlijk meer zeggenschap over hun online gegevens en bedrijven moeten goed kunnen uitleggen wat zij met die gegevens doen. Één ding is zeker: privacybescherming is geen “soft law” meer en de boetes kunnen een bedreiging voor bedrijven gaan vormen.

Tijd zal leren of de krankzinnig hoge privacy eisen van de AVG niet de ondergang van de wet zullen betekenen. We adviseren u om in ieder geval deze wet niet licht op te vatten en te starten met het inventariseren van aanpassingen die u wellicht moet gaan doorvoeren. In deze blog bespreken wij de kernelementen van de AVG, zodat u een globaal beeld kunt vormen van de nieuwe wet en de risico’s die u loopt indien jouw bedrijf hier niet aan voldoet. Algemene informatie over de AVG vindt u op de site van de Autoriteit Persoonsgegevens.

Afbeelding van ordners met persoonsgegevens

Valt u onder de nieuwe regelgeving?

Met de komst van de AVG vallen u activiteiten veel sneller onder de AVG. Werkt u voor een bedrijf dat persoonsgegevens “verwerkt” (zie hieronder wat dit betekent) van burgers uit de Europese Unie óf werkt u voor een bedrijf dat persoonsgegevens verwerkt en gevestigd is in de Europese Unie? Dan is de AVG op u van toepassing.

Wat zijn “persoonsgegevens”?

De nieuwe regels zijn van toepassing op persoonsgegevens. Persoonsgegevens zijn alle gegevens aan de hand waarvan een persoon geïdentificeerd kan worden. Hierbij kun u denken aan naam en locatiegegevens, maar ook aan cookies en IP-adressen.

Wat wordt er bedoeld met “verwerken”?

Onder “verwerken” wordt in de AVG vrijwel alles verstaan wat u kunt doen met gegevens. Denk hierbij bijvoorbeeld aan het verzamelen, opslaan, vernietigen, doorzenden, opvragen en bewerken van dergelijke gegevens.

Hoe voldoet u aan de informatieverplichting op uw website?

Transparantie eisen waren er altijd al in de oude regelgeving. Wat nieuw is, is dat de AVG expliciet voorschrijft dat de gegevens verwerkt moeten worden op een manier die transparant is voor de bezoeker van de website.

In de privacy policy dient u de bezoekers dan ook in te lichten dat het mogelijk is om hun gegevens in te zien, aan te passen of te verwijderen (‘recht om vergeten te worden’). Aan de bezoekers moet bovendien worden uitgelegd hoe ze een dergelijk verzoek kunnen indienen en dit moeten ze op een gemakkelijke manier kunnen doen.

Worden de gegevens (ook) buiten de EU verwerkt? Dan dient dit verplicht in uw privacy policy te staan.. De bezoeker moet in dat geval worden geïnformeerd hoe het buiten de EU gevestigde bedrijf ervoor zorgt dat het aan de eisen van de AVG voldoet.

Verder dient u de bezoekers in uw privacy policy te informeren dat ze een klacht kunnen indienen tegen u bij de toezichthouder. Stelt u daarnaast interesseprofielen op? In dat geval dient u dit ook te vermelden en vervolgens ook dat u deze op verzoek van de bezoeker kunt verwijderen.

Let er verder op dat vereist zal zijn dat u de informatie die u verstrekt in nog gemakkelijkere en begrijpelijkere taal moet formuleren. Grote lappen tekst vol juridisch jargon zijn dan ook uit den boze, naast het feit dat dit uiteraard zeer niet gebruiksonvriendelijk is.

Per wanneer treden de nieuwe regels in werking?

Per 25 mei 2018 treden de nieuwe regels in werking en dient uw bedrijf AVG-proof te zijn. Dit lijkt nog ver, maar, zoals eerder gezegd, is het inventariseren van de noodzakelijke aanpassingen en het daadwerkelijk doorvoeren ervan een bijzonder tijdrovend en complex proces. Het is goed mogelijk dat naar aanleiding van de nieuwe vereisten uw onderneming vergaande aanpassingen moet doorvoeren in, bijvoorbeeld, de IT- of beveiligingssystemen.

Wie houdt toezicht op de naleving van de nieuwe wet?

Het is de Autoriteit Persoonsgegevens die toezicht houdt op de naleving van de AVG samen met een Europees Comité. Verder onderzoekt deze instantie de tips die binnenkomen en deelt het eventuele boetes uit aan overtreders van de wet.

Moet u een functionaris Gegevensbescherming aanstellen?

Wordt de gegevensverwerking verricht door een overheidsinstantie of overheidsorgaan? Of heeft uw bedrijf als kernactiviteit het verwerken van “bijzondere gegevens” (lees hieronder wat dit precies inhoudt)? Of volgt uw bedrijf op grote schaal personen om vervolgens deze gegevens te verwerken (bijvoorbeeld middels monitoring)? Dan dient u een onafhankelijke Functionaris Gegevensbescherming aan te stellen. Een tip: Stel deze persoon tijdig aan, zodat die u ook kan helpen bij het AVG-proof maken van uw onderneming!

Wie kunt u aanstellen tot functionaris Gegevensbescherming?

Een functionaris Gegevensbescherming moet goede kennis hebben van de privacywetgeving. Indien niemand binnen uw bedrijf hier kennis van heeft, kunt u iemand aanstellen en op cursus sturen. Voor een schamele € 1.950,- kunt u een tiendaagse cursus tot functionaris Gegevensbescherming regelen. Deze persoon zal verantwoordelijkheid dragen u te helpen aan de regelgeving te voldoen, als contactpunt fungeren tussen u en de toezichthoudende instantie en ervoor zorgdragen dat uw bedrijf voldoet aan de privacywetten.

Wat zijn “bijzondere personengegevens”?

Het is verboden om bijzondere persoonsgegevens te verwerken. Dit zijn persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond. Verder zijn dit genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Deze gegevens mogen alleen verwerkt worden onder bepaalde voorwaarden. Is dit van belang voor uw onderneming? Lees dan sectie 7 van dit rapport.

Maakt u al gebruik van bewerkersovereenkomsten?

U bent verplicht om een bewerkersovereenkomst (na ingang AVG: verwerkersovereenkomst) te sluiten wanneer er sprake is van een andere partij die de door u opgeslagen persoonsgegevens verwerkt. De belangrijkste verandering hier is dat u toestemming nodig heeft van de persoon wiens gegevens betrokken worden bij de diensten die u uitbesteedt aan de verwerker. Laat u dit na? Dan kunt u aansprakelijk worden gesteld.

Waar moet u verder nog rekening mee houden?

  • Register van verwerkingen: U dient alle verwerkingen van persoonsgegevens die u verricht bij te houden in een register.
  • Privacy by design: Gegevensbescherming ‘bij ontwerp’ betekent dat u in een zo vroeg mogelijk stadium, zoals bijvoorbeeld al bij het ontwerpen van uw (ICT-) producten en diensten, al verhoogde privacy-maatregelen moet nemen. Denk bijvoorbeeld aan het maken van de afweging of voor een bepaalde dienst gewoon met geanonimiseerde gegevens kan worden gewerkt in plaats van persoonsgegevens.
  • Datalekken: Heeft u een datalek? Op grond van de nieuwe regelgeving dient u dit (i) intern goed te registreren, (ii) de personen om wie het gaat snel hierover in te lichten, en (iii) binnen 72 uur het voorval te melden aan de Autoriteit Persoonsgegevens. Hier kunt u datalekken melden.
  • Databeveiliging: De databeveiligingseisen worden aangescherpt. Elke onderneming dient bijvoorbeeld een beveiligingsbeleid op te stellen waarin wordt uitgestippeld hoe er gehandeld dient te worden ingeval van verlies van persoonsgegevens of onrechtmatige verwerking.
  • Indirecte gegevens: Heeft u gegevens verwerkt die niet rechtstreeks door een bezoeker van uw website zelf aan u zijn verstrekt? Dan dient u deze persoon binnen een maand duidelijk te maken via welke bron u aan de persoonsgegevens komt en om welke persoonsgegevens het gaat. De AVG stelt dat dit binnen een maand dient te gebeuren.
  • Recht op dataportabiliteit: Personen moeten hun persoonlijke gegevens die u verwerkt kunnen downloaden in een voor hen begrijpelijk formaat voor hun eigen administratie (bijvoorbeeld) of om ze over te kunnen zetten naar een andere organisatie (ja, deze wet gaat vér!). Alle belangrijke elementen van dataportabiliteit kunt u hier vinden.
  • Privacy Impact Assessments (PIA): De AVG spreekt over het uitvoeren van periodieke PIAs. Met PIAs kan een verwerker controleren of een dienst of product daadwerkelijk privacy-proof is en wordt u als verwerker in staat gesteld vervolgens de privacy-risico’s die uw websitebezoekers lopen te beperken. Een goed moment hiervoor is bijvoorbeeld wanneer de privacy-risico’s van een nieuw project in kaart dienen te worden gebracht. De Autoriteit Persoonsgegevens (AP) legt hier alle situaties uit waarbij PIAs verplicht zijn.

Klopt het dat boetes kunnen oplopen tot wel 4% van de jaaromzet?

Houdt uw bedrijf zich niet aan de nieuwe regels? De sancties zijn niet niks. Boetes kunnen oplopen tot 20 miljoen euro of tot 4% van de jaaromzet!

Aan de hand van verschillende factoren, zoals mate van verantwoordelijkheid, het bestaan van eerdere schending van de regels en de aard, ernst en duur van een inbreuk wordt een “passende” straf vastgesteld. Hierbij kunt u denken aan schadeloosstelling, het afdragen van verkregen winsten, een berisping, een verbod op verwerking van gegevens, strafrechtelijke sancties of de bovengenoemde administratieve boetes.

We adviseren u om de AVG niet te onderschatten, omdat de hoge boetes een enorme impact kunnen hebben op uw bedrijf. Het gaat om vele nieuwe regels en onze privacy specialisten kunnen u goed adviseren om een compleet plaatje te krijgen over wat het betekent voor jouw onderneming.

Dit artikel staat gepost op het blog van Ligo op 20 september 2017.

Thuiswinkel Zakelijk gecertificeerd Betaal met iDeal in de HR Appstore Betaal met creditcard Betalen met Visa

Home » Nieuws » Bereid u voor op de nieuwe AVG privacywet

Share This