artikel

Nieuwe privacywet: zo zit het, dit moet je

carrière & mensen 1301

Alle ondernemingen moeten per 25 mei hun privacybeleid hebben aangepast. Het gaat om alle ondernemingen in Europa. Er staan zware boetes op overtredingen van de nieuwe Algemene Verordening Gegevensbescherming. Amy de Vlieger, advocaat bij Vallenduuk Advocaten legt uit hoe het zit.

Nieuwe privacywet: zo zit het, dit moet je

Wat houdt de privacywetgeving in?

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing.

Kort gezegd legt de AVG regels op in verband met het ‘verwerken’ van ‘persoonsgegevens’. Een verwerking is elke bewerking, of geheel aan bewerkingen met betrekking tot persoonsgegevens. Hierbij kan onder meer gedacht worden aan het verzamelen, opslaan, gebruiken, wijzigen of het doorgeven van persoonsgegevens. Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde, of identificeerbare natuurlijk persoon. Het gaat met andere woorden over gegevens die zelfstandig, dan wel in samenhang met andere gegevens, direct dan wel indirect, herleidbaar zijn tot een natuurlijk persoon.” Voorgaande ziet niet alleen op de interne relaties, maar ook op externe relaties.

Wat moet ik als bedrijf doen?

Een gegevensverwerking dient legitiem te zijn. Maar wanneer is dit het geval? De Verordening stelt dat de verwerking van persoonsgegevens aan een aantal beginselen moet voldoen. Eén van die beginselen is dat persoonsgegevens verwerkt moeten worden op een wijze “die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is”. Een ander voorbeeld is dat de persoonsgegevens enkel “voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden” mogen worden verwerkt.

In het geval waarin de Verordening niet wordt nageleefd, kan de autoriteit verschillende sancties opleggen

Een verwerkingsdoeleinde is enkel gerechtvaardigd indien deze is gebaseerd op één van de grondslagen uit de Verordening. Van de ondernemer wordt voorts verwacht dat hij passende technische en organisatorische maatregelen treft. De ondernemer dient niet alleen maatregelen te treffen, maar ook aan te kunnen tonen dat hij deze heeft getroffen. Zo stelt de Verordening bijvoorbeeld dat in het geval waarin een verwerking ‘niet incidenteel is’ een onderneming een registerplicht met betrekking tot de verwerkingsactiviteiten toekomt.

 

Algemene Verordening Gegevensbescherming in Europa

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dit betekent dat vanaf die datum binnen de Europese Unie in beginsel dezelfde privacyregelgeving geldt. In beginsel, want alle lidstaten hebben op een aantal terreinen bevoegdheden gekregen om op nationaal niveau aan enkele algemene Europese regels nadere invulling te geven. Zo is in Nederland door de Tweede Kamer de Uitvoeringswet Algemene Verordening Gegevensbescherming aangenomen. Op dit moment ligt het wetsvoorstel bij de Eerste Kamer. De Wet Bescherming Persoonsgegevens komt door deze nieuwe regelgeving te vervallen.

 

Om intern aan de privacyregelgeving te voldoen, dienen werkgevers zorgvuldig om te gaan met de persoonsgegevens van hun eigen werknemers, en de privacyverplichtingen ten aanzien van hun personeel in acht te nemen. Eén van de verplichtingen die daarbij een rol spelen, is het informeren van de werknemers over wat er met hun persoonsgegevens gebeurt. Dit kan bijvoorbeeld in een intern privacy statement worden vastgelegd. Ook kan gedacht worden aan een uitbreiding van de arbeidsovereenkomst en een eventueel personeelshandboek.

Daarnaast kunnen de persoonsgegevens van werknemers terechtkomen bij derden, denk bijvoorbeeld aan een salarisadministrateur. Ook daar kleven verplichtingen aan, zoals het opstellen van een verwerkersovereenkomst tussen de werkgever en de salarisadministrateur.

Een onderneming dient er bewust van te zijn dat deze wellicht ook de vervoersovereenkomst en/of algemene voorwaarden moet aanpassen. Ook dient een onderneming de betrokkenen, dat zijn degenen van wie de gegevens worden verwerkt, te informeren over het feit dat hun persoonsgegevens worden verwerkt en wat hun rechten hierin zijn. Dit kan bijvoorbeeld in een online (extern) privacyreglement worden vastgelegd. Een bedrijf dient zich er bovendien van bewust te zijn dat deze regelgeving niet alleen voor haar Nederlandse vestiging, maar mogelijk dus ook voor haar buitenlandse vestiging geldt.

 

privacy

 

Hoe weet ik of alles op orde is?

Hoe exact invulling aan de Verordening en de Uitvoeringswet moet worden gegeven, zal de toekomst moeten uitwijzen. Een 100% AVG-proof garantie kan naar mijn mening dan ook niet worden afgegeven. Niet in de laatste plaats omdat de onderneming zelf ook veel verantwoordelijkheden draagt met betrekking tot de nieuwe regelgeving. Ik ben van mening dat een onderneming eerst een op maat gemaakt advies moet krijgen over de status op dit moment en de eventueel te nemen stappen. Zodat een onderneming, op het moment dat de Autoriteit Persoonsgegevens bij haar op de stoep staat, kan aantonen conform de nieuwe regelgeving de nodige maatregelen te hebben getroffen.

Wat gebeurt er als ik niets doe?

In het geval waarin de Verordening niet wordt nageleefd, kan de autoriteit verschillende sancties opleggen. Voorbeelden van sancties zijn het opleggen van administratieve boetes, een last onder dwangsom, waarschuwingen en herstelsancties.

 

Verantwoordingsplicht

De Algemene Verordening Gegevensbescherming (AVG) legt aan ondernemingen een “verantwoordingsplicht” op. Deze verantwoordingsplicht houdt in, dat ondernemingen moeten aantonen dat zij voldoen aan de privacyregels wanneer de Autoriteit Persoonsgegevens daar om vraagt. Van ondernemingen wordt verwacht dat zij, in de aanloop naar 25 mei 2018, de processen in hun bedrijf die verband houden met het verwerken van persoonsgegevens, inventariseren en waar nodig aanpassen. Ondernemingen zullen over het algemeen hun verwerkingsactiviteiten en datalekken moeten bijhouden in een register.

 

 

Denk niet te licht over deze sancties. Zo kunnen overtredingen die, kort gezegd, zien op de (verantwoordings)plichten van de onderneming beboet worden met maximaal 10 miljoen euro of 2% van de wereldwijde omzet. Overtredingen van bepalingen over bijvoorbeeld rechtsgrondslagen, rechten van betrokkenen etc., kunnen zelfs worden beboet met een maximum van 20 miljoen euro of 4% van de wereldwijze omzet.”

Kan ik uitstel aanvragen?

Vanaf 25 mei 2018 geldt de AVG. Vanaf die datum kan de Autoriteit Persoonsgegevens officieel ook tot handhaving overgaan. Het is echter de vraag of zij hiertoe direct zullen overgaan. Formeel hebben ze deze bevoegdheid echter wel.

 

Reageer op dit artikel