Sinds 14 april 2016 is de Algemene Verordening Gegevensbescherming (AVG) aangenomen. Partijen die persoonsgegevens verwerken krijgen nu tot 25 mei 2018 de tijd om aan de (nieuwe) regels uit de AVG te voldoen. Bent u voorbereid op de veranderingen die dit met zich meebrengt omtrent gegevensbescherming? Advocaat Hidde Reitsma licht de grootste veranderingen toe en geeft aan waar u op moet letten.
Op dit moment hebben alle lidstaten van de Europese Unie (EU) een eigen privacywet die is gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is dit de Wet bescherming persoonsgegevens (Wbp). De AVG is een verordening en is – anders dan de richtlijn – rechtstreeks van toepassing in alle lidstaten van de EU. Vanaf 25 mei 2018 geldt dus nog maar één privacywet in de hele EU, in plaats van verschillende nationale wetten. Tot die datum geldt een overgangsperiode om te voldoen aan de nieuwe regels. De belangrijkste vragen en/of acties volgen hierna op een rij.
Het aanstellen van een functionaris gegevensbescherming is straks niet langer vrijblijvend, maar is in ieder geval verplicht voor organisaties die bij hun kernactiviteit bijzondere persoonsgegevens verwerken of die persoonsgegevens op grote schaal verwerken.
Als u meer dan 250 medewerkers heeft of als u gevoelige data verwerkt moet u een intern register aanleggen waarin de verschillende verwerkingen binnen uw organisatie worden bijgehouden inclusief het doel, grondslag en de genomen beveiligingsmaatregelen. Dit register vervangt de nu nog bestaande verplichting in de Wbp om verwerkingen te melden bij de toezichthouder.
De privacyverklaring moet veel meer en gedetailleerdere informatie bevatten dan nu verplicht is. Bovendien moet de verklaring in begrijpelijke taal worden geschreven.
In de bewerkersovereenkomsten met de dienstverleners moet meer geregeld worden dan nu is voorgeschreven, onder meer ten aanzien van het inschakelen van derden door de providers en de technische en organisatorische beveiligingsmaatregelen die de bewerker moet nemen.
In geval van bijzonder risicovol beoordeelde verwerkingen dient straks vooraf een “Privacy Impact Assessment” plaats te vinden en in bepaalde gevallen is hier zelfs voorafgaande toestemming voor nodig van de Autoriteit Persoonsgegevens.
Er komt een verdergaande verplichting om gegevens te wissen. Het gebruik van persoonsgegevens voor profilering wordt bovendien strikter gereguleerd, ook indien gegevens worden gedeeld met andere organisaties. Organisaties zijn daarnaast ook onder de AVG verplicht datalekken te melden aan de Autoriteit Persoonsgegevens en betrokkenen.
Het is belangrijk om uzelf tijdig voor te bereiden op de veranderingen. Met name nu ook de handhavingsmogelijkheden van de Autoriteit Persoonsgegevens onder de AVG zijn aangescherpt. Bij niet naleving kunnen er straks boetes worden opgelegd tot 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet. Deze boetes kunnen niet enkel worden opgelegd aan degene in wiens
opdracht
De overeenkomst waarbij iemand anders dan op grond van een arbeidsovereenkomst diensten verrichten voor een opdrachtgever.
» Meer over opdracht
opdracht de persoonsgegevens worden verwerkt, maar ook aan degene die in opdracht met de verwerking is belast.