Privacyrecht

Op 25 mei 2018 is in Europa de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. Daarmee zijn de regels rondom privacy behoorlijk aangescherpt. De AVG heeft gevolgen voor iedere onderneming en iedere organisatie. Tot de meest basale maatregelen behoren het hanteren van een privacyverklaring en het bijhouden van een verwerkingsregister, maar grote ondernemingen of bedrijven die extra gevoelige gegevens registreren dienen nog veel ingrijpender maatregelen te nemen. Schending van deze nieuwe regels kan leiden tot hoge boetes , nog los van de reputatieschade.

Hieronder volgt een beknopt overzicht van de meest in het oog springende verplichtingen uit de AVG:

  • Verwerkingsregister: U dient een verwerkingsregister bij te houden: een overzicht van alle persoonsgegevens die worden verzameld, inclusief het doel, wettelijke grondslag en bewaartermijnen. De autoriteit Persoonsgegevens, de instantie die toezicht houdt op de naleving van de AVG, kan dit register te allen tijde opvragen. Essentieel is dat dit register periodiek wordt geactualiseerd.
  • Verwerkersovereenkomst: Indien u de verwerking van persoonsgegevens uitbesteed dient u met die onderaannemer (de ‘verwerker’) een verwerkingsovereenkomst te sluiten. In die overeenkomst verplicht de verwerker zich tot het treffen van adequate beveiligingsmaatregelen, het verlenen van medewerking aan een verzoek tot inzage of rectificatie van persoonsgegevens en het meewerken aan audits.
  • Privacyverklaring: U dient alle personen van wie u persoonsgegevens verwerkt in eenvoudige en duidelijke taal te informeren over het doel waarvoor de gegevens worden verzameld en aan te geven welke derde partijen de gegevens eventueel zullen ontvangen. Verder dient u hen te wijzen op hun rechten. Zo hebben de betrokkenen onder andere recht op inzage, bezwaar en rectificatie.
  • Uitdrukkelijke toestemming: Het is verboden om ‘bijzondere’ persoonsgegevens te verwerken, zoals informatie betreffende ras of etnische afkomst, politieke opvattingen en religieuze overtuigingen. U mag deze gegevens echter wel verwerken na de uitdrukkelijke toestemming van de betrokkene. Aan dit toestemmingsvereiste worden echter strenge eisen gesteld: het moet gaan om een vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming.
  • Functionaris voor de gegevensbescherming: Indien u stelselmatig bijzondere persoonsgegevens verwerkt dient u een Functionaris voor de Gegevensbescherming aan te stellen. Dit is een functionaris die binnen de organisatie toeziet op naleving van de AVG.
  • Gegevensbeschermingseffectbeoordeling: Organisaties die gebruik maken van hoog-technologische toepassingen bij het verzamelen van persoonsgegevens dienen een gegevensbeschermingseffectbeoordeling (ook wel: privacy impact assessment) te doorlopen: dit is een uitgebreid privacy-onderzoek met als doel de zwakke plekken in kaart te brengen en de privacybescherming te verbeteren.
  • Meldplicht datalekken: Een datalek is een al dan niet opzettelijke inbreuk op persoonsgegevens. Niet alleen een hack en verlies of diefstal van gegevensdragers, zoals een usb-stick, maar ook een verkeerd geadresseerde e-mail is een datalek. Al naar gelang de te verwachten gevolgen dient u datalekken te melden bij de Autoriteit Persoonsgegevens en/of de betrokkene. Hoe dan ook bent u verplicht alle datalekken intern te documenteren.

Deze verplichtingen zijn niet vrijblijvend; op het overtreden van de AVG staan boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Onze specialisten kunnen in een eerste gesprek goed inschatten welke maatregelen u dient te nemen om aan de AVG te voldoen en boetes te voorkomen. Veelal kan dit pakket als een fixed fee worden aangeboden. Graag komen wij vrijblijvend bij u langs om in kaart te brengen welke aanpassingen nodig zijn om ook uw onderneming AVG-proof te maken.

De advocaten van

praktische inzichten

Bekijk alle artikelen