Privacy

AVG Achtergrond en beleid

Het Europees Parlement en de Europese Raad hebben op 27 april 2016 officieel ingestemd met de Algemene Verordening Gegevensbescherming (hierna: ‘AVG’). De AVG is op          25 mei 2016 in werking getreden en heeft directe werking. Dat wil zeggen dat deze Europese Verordening niet meer in onze nationale wetgeving geïmplementeerd hoeft te worden. Vanaf 25 mei 2018 dienen alle publieke en private organisaties aan deze nieuwe wetgeving te voldoen.

De Wet bescherming persoonsgegevens is per 25 mei 2018 vervangen door de AVG. De Autoriteit Persoonsgegevens (voorheen College bescherming persoonsgegevens) is de toezichthouder in Nederland. Overtreedt een organisatie de AVG dan kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen of 10 miljoen euro of een maximum van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

De nieuwe wetgeving moet zorgen voor een harmonisatie van de huidige privacyregelgeving in alle lidstaten van Europa en verbetering van de privacy(bescherming) van de burgers.De Wet bescherming persoonsgegevens (2000) werd vastgesteld toen het internet nog in de kinderschoenen stond. Bij de AVG gaat het vooral om het beschermen van persoonsgegevens in de digitale wereld. Volgens de AVG zijn persoonsgegevens ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ofwel de betrokkene’. De Europese Unie wil met deze AVG het vertrouwen bij burgers en consumenten in de verwerking van persoonsgegevens door de overheid en bedrijven vergroten. 

Wat betekent dit voor uw bedrijf?

Als uw bedrijf persoonsgegevens verwerkt hebt u de rol van Verwerkingsverantwoordelijke (‘een natuurlijke persoon of rechtspersoon die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’). Laat u deze persoonsgegevens verwerken door een ander bedrijf dan dient u met de Verwerker (‘een natuurlijke persoon of rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’) afspraken te maken en deze schriftelijk vastleggen in een Verwerkersovereenkomst. Echter in sommige gevallen kunt u als bedrijf beide rollen hebben.

Bij het verwerken van persoonsgegevens dient u continu de vraag te stellen of het noodzakelijk is dat u die persoonsgegevens verwerkt. Daarbij is het belangrijk om het doel en de middelen vast te stellen. Een organisatie dient transparant te zijn en informatie te delen welke persoonsgegevens er worden verwerkt. Dit kan door het opstellen van een Privacy statement. Daarnaast dient er een Verwerkingsregister te worden opgesteld.

 

Het verwerken van bijzondere persoonsgegevens (gegevens over iemands gezondheid, godsdienst, levensovertuiging, ras, politieke gezindheid, seksuele leven, lidmaatschap, vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag) is in beginsel verboden. Dergelijke persoonsgegevens mogen verwerkt worden indien u bijvoorbeeld toestemming heeft van de betrokkene dan wel er een wettelijke grondslag aanwezig is.

De mogelijk te nemen stappen om uw bedrijf AVG proof te maken/houden en het opstellen van het juiste beleid:

Stap 1 Bewustwording
Ziet u als directie de noodzaak in om uw bedrijf AVG proof te maken en is uw personeel op de hoogte van de nieuwe privacywetgeving en handelen ze hiernaar?

Stap 2 AVG-grondslagen en gegevensverwerkingen
Heeft u het recht om persoonsgegevens te verwerken, wat is de grondslag? Welke persoonsgegevens (ook bijzondere en/of strafrechtelijke persoonsgegevens) verwerkt u als bedrijf?

Stap 3 Doeleinden en bewaartermijnen 

Met welk doel bewaart u persoonsgegevens en houdt u daarbij de wettelijke bewaartermijn aan?

Stap 4 Functionaris Gegevensbescherming

Dient u een Functionaris Gegevensbescherming in uw bedrijf aan te stellen? 

Stap 5 Data protection impact assessment (DPIA) 

Bent u verplicht om risico’s bij de verwerking van persoonsgegevens middels een data protection impact assessment in kaart te brengen?

Stap 6 Privacy by design & default 

Werkt u bij het ontwikkelen van producten en/of diensten met persoonsgegevens en verwerkt u alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken, volgens de AVG-uitgangspunten van privacy by design en privacy by default? 

Stap 7 Register van verwerkingsactiviteiten 

Heeft u een verwerkingsregister opgesteld? 

Stap 8 Beveiliging 

Heeft u de juiste technische en organisatorische beveiligingsmaatregelen getroffen om persoonsgegevens te beveiligen in uw bedrijf? 

Stap 9 Meldplicht datalekken 

Heeft u een procedure meldplicht datalekken en houdt u een register datalekken bij?

Stap 10 Verwerkersovereenkomsten 

Heeft u Verwerkersovereenkomsten gesloten met partijen die persoonsgegevens voor u verwerken? 

Stap 11 Informatieplicht/Transparantie (Privacy beleid en Privacy statement)
Voldoet u aan uw informatieplicht/bent u transparant en heeft u daarbij het juiste beleid opgesteld? Bijvoorbeeld in uw personeelshandboek/bedrijfsreglement en middels een Privacy statement op de website?

Stap 12 Privacy rechten 

Is uw bedrijf klaar voor de (nieuwe) privacy rechten van betrokkenen? Recht op: a) inzage; b) rectificatie en aanvulling; c) vergetelheid; d) dataportabiliteit; e) beperking van de verwerking; f) bepaalde rechten met betrekking tot geautomatiseerde besluitvorming en profilering en g) recht van bezweer.

Wij kunnen u onder andere ondersteunen bij:

  • Het opstellen of beoordelen van een Verwerkingsregister;
  • Het opstellen of beoordelen van een Privacy statement;
  • Het opstellen of beoordelen van Privacy beleid voor personeel, onder andere Personeelshandboek en arbeidsovereenkomsten (addendum);
  • Het opstellen en beoordelen van een procedure meldplicht datalekken en register datalekken;
  • Het opstellen of beoordelen van Verwerkersovereenkomsten;
  • Ondersteuning bij bewustwording onder personeel (awareness);
  • Beoordelen of u verplicht bent een Functionaris Gegevensbescherming te benoemen (of in te huren);
  • Beoordelen of u verplicht bent een Data Protection Impact Assessement (DPIA) uit te voeren;
  • Voorwaarden gebruik cameratoezicht;
  • Toestemming vragen bij online marketing/e-commerce.

Inhuren Functionaris Gegevensbescherming

Bij Juridisch Adviesbureau Laarbeek kunt u een Functionaris Gegevensbescherming (Certified Data Protection Officer) inhuren.

Mr. Erwin Daverveld heeft de opleiding bij IIR opleidingen te Amsterdam afgerond en is officieel Certified Data Protection Officer (CDPO). Hij is lid van het Nederlands Genootschap van Functionarissen Gegevensbescherming (NGFG).

KvK Brabant 17081811

BTW nummer: NL8024.82.600.B01

Sluit Menu