Sinds 25 mei 2018 is de Europese privacy verordening een feit!

De EU voert sinds 25 mei 2018 de Europese verordening gegevensbescherming, hierna “AVG”,  uit voor alle lidstaten. Hiermee wordt op Europees niveau invulling gegeven aan de behoefte in het maatschappelijk verkeer om persoonsgegevens goed te beschermen.

Met de Wet Bescherming Persoonsgegevens en de wijzigingen daarop per 1 januari 2016 liep Nederland al vooruit op de AVG. U heeft, als het goed is, al een deel van de privacy-bepalingen ingevoerd binnen uw bedrijf. Heeft u dat nog niet gedaan, dan moet u nu echt aan de slag!

Voor wie geldt de privacyverordening?

Voor alle bedrijven in de lidstaten van de EU en meer specifiek voor:

1. Voor bedrijven die persoonsgegevens in de EU verwerken. Niet relevant is of de verwerking zelf ook plaatsvindt in de EU en of het een vestiging van een verantwoordelijke of een bewerker betreft;
2. De verwerking van persoonsgegevens van alle Europese betrokkenen, indien hun gegevens worden verwerkt door een bedrijf dat niet in de EU is gevestigd, maar de verwerking verband houdt met:

• het aanbieden van goederen of diensten aan die betrokkenen in de EU al dan niet tegen betaling
• het monitoren van hun gedrag, indien dat gedrag in de EU plaatsvindt.
• Voor bedrijven waarbij het recht van een Lidstaat van toepassing is op een niet in de EU gevestigd bedrijf.

Wat zijn de risico’s?

Het niet voldoen aan de AVG kan beboet worden met boetes die kunnen oplopen tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding.

Uiteraard wordt per geval gekeken naar de grootte van de onderneming, de aard van de overtreding en in welke mate het bedrijf aan de privacywetgeving voldoet.

Naast boetes ontstaat er nog andere schade voor bedrijven als zij onvoldoende privacy compliant zijn, zoals:

• Schade door claims van betrokkenen;
• Aansprakelijkstelling door derden;
• Reputatieschade en merkschade als gevolg van slechte berichtgeving;
• Concurrentienadeel.

Privacybewaking

Privacybewaking is van cruciaal belang en vereist dat u als ondernemer zowel interne als externe maatregelen neemt.

Interne maatregelen:

• een registerplicht: het bijhouden van de persoonsgegevens die worden verwerkt;
• het opstellen van een intern privacy beleid;
• het (zo nodig) uitvoeren van Privacy Impact Assessments[1];
• het toepassen van het principe van privacy by design: al bij het ontwerp dienen systemen zo ingericht te zijn dat alleen die persoonsgegevens worden verwerkt, die noodzakelijk zijn voor de uitvoering van de taak conform de tussen partijen afgesproken doelen;
• het toepassen van het principe van privacy by default: indien de taak door het bedrijf is volbracht, dienen zo min mogelijk gegevens te worden bewaard. Er dienen daarvoor vooraf reeds goede afspraken gemaakt te worden;
• een protocol datalekken, zodat adequaat en tijdig datalekken kunnen worden gemeld;
• het (zo nodig) aanstellen van een functionaris gegevensbescherming of een privacy officer;
• bewustwording bij uw medewerkers creëren zodat zij privacy de juiste prioriteit geven (datalekbeding opstellen, datalek bepalingen in het personeelshandboek etc.).  

Externe maatregelen:

• het documenteren en uitvoeren van de nieuwe rechten van betrokkenen. Deze rechten zijn: het recht op inzage, het recht op correctie en verwijdering en het recht op dataportabiliteit;
• het afsluiten van bewerkersovereenkomsten met uw bewerker of verantwoordelijke.

De cursief gedrukte onderdelen zijn in Nederland reeds vanaf 1 januari 2016 ingevoerd c.q. aanbevolen.

Heeft u behoefte aan meer informatie, dan kunt u contact opnemen met mw. mr. drs. Shyreen Panday via 06 222 648 23 of spanday@deraadgevers.nl. De Raadgevers biedt een breed scala aan diensten om uw onderneming AVG-compliant te krijgen en te houden.

[1] Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens preventief maatregelen te nemen om de risico’s te verkleinen.