Blog Post

De Algemene Verordening Gegevensbescherming (AVG); voorkom boetes tot wel 20 miljoen euro en reputat

Wat verandert er in een notendop?
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacy-rechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. Overtredingen van de AVG kunnen leiden tot boetes van wel 20 miljoen euro of 4% van de wereldwijde jaaromzet. De Autoriteit Persoonsgegevens heeft een "10-stappenplan" opgesteld die organisaties kunnen helpen in de voorbereiding op de nieuwe privacywetgeving. Zie onderstaande link: 

Nieuwe europese privacywetgeving/voorbereiding op de AVG 

Het is bijna 25 mei 2018. Heeft u hier al aan gedacht? 

Register-en documentatieplicht
Bedrijven hoeven hun verwerkingen onder de AVG niet langer te melden aan de Autoriteit Persoonsgegevens. Vanaf 25 mei 2018 geldt echter wel een register- en documentatieplicht. Dit betekent dat een overzicht van alle verwerkingen van persoonsgegevens intern moet worden bijgehouden en dat beheersmaatregelen voorhanden moeten zijn. Breng bijvoorbeeld in kaart welke afdeling van uw bedrijf persoonsgegevens verwerkt, voor welke processen en op wie de verwerking betrekking heeft (denk bijvoorbeeld aan uw HR –afdeling). 

Bewerkersafspraken
Maakt u gebruik van de diensten van een derde? En verwerkt die derde ten behoeve van uw onderneming persoonsgegevens? Maak in dat geval bindende bewerkers afspraken. Dat kan in de vorm van een bewerkersovereenkomst (onder de AVG: "verwerkersovereenkomst"), maar dat hoeft niet. De afspraken moeten in ieder geval wel aan specifieke voorwaarden voldoen. Zo dient het onderwerp en de duur van de verwerking, maar ook de aard en het doel, het soort persoonsgegevens en de rechten en verplichtingen van de bewerker duidelijk worden omschreven. Check dus (of laat checken) of u wel met al uw bewerkers bindende bewerkersafspraken heeft gemaakt, die bovendien voldoen aan de nieuwe regelgeving. 

Meldplicht datalekken
Het is van essentieel belang voor een goed "datalekbeleid" te zorgen. U dient immers nu al, indien data al dan niet opzettelijk verloren gaat, hiervan binnen 72 uur melding te maken bij de Autoriteit Persoonsgegevens. Het is vooral van belang al uw personeel hierop te wijzen, zodat in een voorkomend geval snel en adequaat melding wordt gemaakt. 

Privacy Impact Assessment (PIA) Indien er sprake is van een high risk-informatieverwerking, bent u verplicht een PIA uit te voeren; bijvoorbeeld als de verwerking kan leiden tot ernstig lichamelijk letsel of reputatieschade. De verwerking van gegevens brengt dan een hoog risico mee voor de rechten en vrijheden van personen. Het is echter sowieso ook in andere gevallen aan te raden een PIA te laten uitvoeren. Op die manier krijgt u immers (beter) zicht op mogelijke privacyrisico‘s. 

Aanstellen Functionaris Gegevensbescherming
Hoewel het onder de AVG niet verplicht is om altijd een Functionaris Gegevensbescherming aan te wijzen, kan het toch raadzaam zijn om dit wel te allen tijde te doen. Die functie kan overigens ook extern worden vervuld. Een Functionaris Gegevensbescherming kan u helpen bij het houden van toezicht op de naleving van de privacyregels, het inventariseren van gegevensverwerkingen en het bijhouden hiervan, het afhandelen van vragen en klachten van mensen binnen en buiten de organisatie en dergelijke. 

Conclusie
Er gaat veel veranderen vanaf 25 mei 2018 op het gebied van de privacywetgeving. Nog belangrijker echter is dat dat voor u als ondernemer grote gevolgen kan hebben met boetes tot wel 20 miljoen euro. De voorgestelde aandachtspunten kunnen u op weg helpen uitvoering te geven aan de nieuwe regelgeving.