Vanaf 25 mei 2018 is de Europese privacy verordening een feit!

De EU voert vanaf 25 mei 2018 de Europese verordening gegevensbescherming, hierna “AVG”,  in voor alle lidstaten. Hiermee wordt op Europees niveau invulling gegeven aan de behoefte in het maatschappelijk verkeer om persoonsgegevens goed te beschermen.

Met de Wet Bescherming Persoonsgegevens en de wijzigingen daarop per 1 januari 2016 liep Nederland al vooruit op de AVG. U heeft, als het goed is, al een deel van de privacy-bepalingen ingevoerd binnen uw bedrijf. Heeft u dat nog niet gedaan, dan moet u nu echt aan de slag!

Voor wie geldt de privacyverordening?

Voor alle bedrijven in de lidstaten van de EU en meer specifiek voor:

  1. Voor bedrijven die persoonsgegevens in de EU verwerken. Niet relevant is of de verwerking zelf ook plaatsvindt in de EU en of het een vestiging van een verantwoordelijke of een bewerker betreft;
  2. De verwerking van persoonsgegevens van alle Europese betrokkenen, indien hun gegevens worden verwerkt door een bedrijf dat niet in de EU is gevestigd, maar de verwerking verband houdt met:
  • het aanbieden van goederen of diensten aan die betrokkenen in de EU al dan niet tegen betaling
  • het monitoren van hun gedrag, indien dat gedrag in de EU plaatsvindt.
  • Voor bedrijven waarbij het recht van een Lidstaat van toepassing is op een niet in de EU gevestigd bedrijf.

Wat zijn de risico’s?

Het niet voldoen aan de AVG kan beboet worden met boetes die kunnen oplopen tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding.

Uiteraard zal per geval gekeken worden naar de grootte van de onderneming, de aard van de overtreding en in welke mate het bedrijf aan de privacywetgeving voldoet.

Bovendien, daar waar de bewerkersovereenkomst thans verplicht is maar er geen boete op staat, zal het onder de AVG niet afsluiten van een bewerkersovereenkomst een boete van maximaal € 10 miljoen opleveren.

Naast boetes ontstaat er nog andere schade voor bedrijven als zij onvoldoende privacy compliant zijn, zoals:

  • Schade door claims van betrokkenen;
  • Aansprakelijkstelling door derden;
  • Reputatieschade en merkschade als gevolg van slechte berichtgeving;
  • Concurrentienadeel.

Privacybewaking

Privacybewaking is van cruciaal belang en vereist dat u als ondernemer zowel interne als externe maatregelen neemt.

Interne maatregelen:

  • een registerplicht: het bijhouden van de persoonsgegevens die worden verwerkt;
  • het opstellen van een intern privacy beleid;
  • het (zo nodig) uitvoeren van Privacy Impact Assessments[1];
  • het toepassen van het principe van privacy by design: al bij het ontwerp dienen systemen zo ingericht te zijn dat alleen die persoonsgegevens worden verwerkt, die noodzakelijk zijn voor de uitvoering van de taak conform de tussen partijen afgesproken doelen;
  • het toepassen van het principe van privacy by default: indien de taak door het bedrijf is volbracht, dienen zo min mogelijk gegevens te worden bewaard. Er dienen daarvoor vooraf reeds goede afspraken gemaakt te worden;
  • een protocol datalekken, zodat adequaat en tijdig datalekken kunnen worden gemeld;
  • het (zo nodig) aanstellen van een functionaris gegevensbescherming of een privacy officer;
  • bewustwording bij uw medewerkers creëren zodat zij privacy de juiste prioriteit geven (datalekbeding opstellen, datalek bepalingen in het personeelshandboek etc.).  

Externe maatregelen:

  • het documenteren en uitvoeren van de nieuwe rechten van betrokkenen. Deze rechten zijn: het recht op inzage, het recht op correctie en verwijdering en het recht op dataportabiliteit;
  • het afsluiten van bewerkersovereenkomsten met uw bewerker of verantwoordelijke.

De cursief gedrukte onderdelen zijn in Nederland reeds vanaf 1 januari 2016 ingevoerd c.q. aanbevolen.

Met de juiste maatregelen kunt u binnen afzienbare tijd AVG compliant zijn. Daarover zal de Raadgevers een workshop AVG organiseren in oktober 2017. Houdt u de specifieke data en de aanmeldingsmogelijkheden via onze nieuwsbrief in de gaten.

Heeft u eerder behoefte aan meer informatie dan kunt u contact opnemen met

Shyreen Panday
Senior jurist
06 222 648 23
spanday@deraadgevers.nl

[1] Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens preventief maatregelen te nemen om de risico’s te verkleinen.

Start typing and press Enter to search