073 720 02 00

In 10 stappen privacy proof

Bijgewerkt op Geen categorie

Al eerder informeerden wij u over de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG), die met ingang van 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangt.

Er zijn namelijk grote verschillen tussen de Wbp en de AVG. De AVG versterkt en breidt privacyrechten van mensen verder uit en zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. Tevens legt de AVG meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Er zal dus veel gedocumenteerd moeten worden. Ook zal er gebruik gemaakt moeten worden van protocollen om zo duidelijk mogelijk de gegevensstromen weer te kunnen geven.

Dat betekent dat in iedere organisatie veranderingen doorgevoerd moeten gaan worden want nagenoeg iedere organisatie verwerkt persoonsgegevens.

De Autoriteit Persoonsgegevens (AP) heeft een 10-stappenplan ontwikkeld om zo goed mogelijk te voldoen aan de nieuwe regelgeving. Wij zetten ze hier voor u op een rij.

Stap 1: bewustwording

Alle personen die bij gegevensverwerking betrokken zijn, moeten op de hoogte zijn van de nieuwe privacyregels. Ook moeten zij de impact van de AVG inschatten op de huidige diensten en goederen en bepalen welke aanpassingen nodig zijn om aan de AVG te voldoen. Wij kunnen hierin faciliteren door het geven van een inhouse seminar voor al uw medewerkers.

Stap 2: rechten van betrokkenen

Betrokkenen krijgen meer en verbeterde privacyrechten. U dient er voor te zorgen dat zij deze privacyrechten ook goed kunnen uitoefenen. Gebeurt dit niet, dan kunnen betrokkene bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

Stap 3: overzicht verwerkingen

Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is bijna altijd een verplicht onderdeel hiervan. Leg vast welke persoonsgegevens verwerkt worden, met welk doel dat gebeurt, waar deze gegevens vandaan komen en met wie ze worden gedeeld. In de documentatie moet ook per categorie vermeld zijn op basis van welke (wettelijke) grondslag deze gegevens worden verwerkt.

Stap 4: data protection impact assessment

Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Hierdoor worden privacyrisico’s van een gegevensverwerking in kaart gebracht om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Stap 5: privacy by design & privacy by default

In de AVG zijn de verplichte uitgangspunten privacy by design en privacy by default opgenomen. Het idee is om al in een vroeg stadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens af te dwingen. Dat houdt in dat er al bij de ontwikkeling van producten en diensten aandacht moet zijn voor privacy.

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Dat betekent bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u standaard alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.

Stap 6: functionaris voor de gegevensbescherming

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen, ook wel privacy officer genoemd. Overheidsinstanties en zorgorganisaties en bedrijven die op grote schaal persoonsgegevens verwerken moeten in ieder geval een FG aanstellen.

Stap 7: meldplicht datalekken

De meldplicht datalekken blijft onder de AVG bestaan. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de AP zodra zij een ernstig datalek hebben en in bijzondere gevallen het datalek ook moeten melden aan de betrokkenen. De AVG stelt echter strengere eisen aan registraties van de datalekken die zich in uw organisatie hebben voorgedaan. Alle datalekken moeten worden vastgelegd.

Stap 8: verwerkersovereenkomsten

U dient na te gaan of u gegevensverwerking uitbesteed aan een verwerker zoals aan een softwareleveranciers, website hosts of een salarisadministrateur. Met partijen waarmee u de gegevens van betrokkene uitwisselt, dient u namelijk een verwerkersovereenkomst te sluiten. De verwerkersovereenkomst moet onder meer afspraken aangaande vertrouwelijkheid, beveiligingsmaatregelen, datalekken, (eventuele) sub-bewerkers, audits en de rechten van betrokkenen bevatten.

Stap 9: leidende toezichthouder

Omdat de AVG een Europese verordening is geldt de wet voor alle landen die hierbij zijn aangesloten. Wanneer een organisatie vestigingen heeft in meerdere EU en/of EER-lidstaten, of als bepaalde gegevensverwerkingen in meerdere lidstaten impact hebben, dan heeft de organisatie onder de AVG nog maar met één privacy toezichthouder te maken. Dit wordt de leidende toezichthouder genoemd. U hebt dus niet in ieder EU en/of EER-land een andere autoriteit waaraan u verantwoording moet afleggen.

Stap 10: toestemming

De gegevensverwerking in een organisatie is soms gebaseerd op toestemming van de betrokkenen. De AVG stelt strengere eisen aan die toestemming. Uw organisatie moet kunnen aantonen dat zij geldige toestemming heeft gekregen om hun persoonsgegevens te verwerken. Overigens moet het net zo makkelijk zijn om de eerder gegeven toestemming weer in te trekken.

Tot slot: BOETES

Overtredingen van de AVG kunnen oplopen tot boetes van 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze boetes zijn aanzienlijk hoger dan de boetes uit de Wbp. Zorg dan ook dat alles op tijd en correct geregeld is, zodat de kans op een boete minimaal is.

Heeft u hierover nog vragen? Dan kunt u uiteraard contact met ons opnemen!

Vraag & antwoord

Veelgestelde vragen

Ja, dit is opgenomen in artikel 915 van de Wet franchise. Daaruit volgt dat de franchisenemer “binnen de grenzen van redelijkheid” de “nodige maatregelen” dient te treffen om te voorkomen dat hij onder invloed van onjuiste veronderstellingen overgaat tot het sluiten van de franchiseovereenkomst.

Nee, de Wet franchise kent die verplichting niet. Wel dient er een omvangrijk PID verstrekt te worden.

De Wet franchise is niet duidelijk op dit punt. Er wordt in de Wet franchise bij deze zogenaamde “multiple franchising” wel een uitzondering voor de stand-still periode gemaakt, maar niet voor het verstrekken van de PID zelf.


Lees meer

In de Wet franchise wordt dit niet specifiek benoemd. Je zou kunnen aannemen dat de fase voor verlenging niet als een voorfase kan worden beschouwd en de precontractuele informatieverplichting (waaronder het verstrekken van de PID) niet van toepassing is. De franchisenemer die al vijf jaar de betreffende locatie heeft geëxploiteerd kent de franchiseorganisatie en de kosten en opbrengsten van de exploitatie van zijn/haar vestiging.


Lees meer

Volgens de Wet Franchise moet de franchisegever alle informatie verstrekken waarvan de franchisegever moet begrijpen dat die van belang is voor de kandidaat. Aan de andere kant is het ook zo dat er ook een onderzoekplicht is van de kandidaat. Als de aspirant-franchisenemer zelf geen onderzoek doet is dat voor diens risico.


Lees meer

Nee, de wet is heel strikt in deze 4 weken en de rechtspraak gaat hier vooralsnog in mee. Dit kwam naar voren in het kort geding van de rechtbank Midden-Nederland d.d. 30 juni 2021. De rechter overwoog (onder meer) dat in artikel 7:913 en 7:914 BW besloten ligt dat er met het verstrekken van de precontractuele informatie door de franchisegever een aanbod wordt gedaan aan de beoogde franchisenemer om op basis van de bijgevoegde ontwerp franchiseovereenkomst een franchiseovereenkomst te sluiten. Het is vervolgens aan de beoogde franchisenemer om zich te beraden of hij dit wil of dat hij nog verder wil onderhandelen met de franchisegever. De franchisegever kan in deze termijn alleen maar afwachten. Het is de franchisenemer die aan zet is.

De stand-still periode duurt 4 weken. Dit is een verplichte bedenktijd voor het sluiten van de franchiseovereenkomst. Tijdens deze periode mogen er geen wijzigingen worden doorgevoerd ten nadele van de aspirant franchisenemer. Bedoeling van deze periode is dat de kandidaat alle gelegenheid heeft om alle informatie goed te bestuderen en ook om nader onderzoek te doen. Dit moet er voor zorgen dat een kandidaat goed nadenkt en in alle rust een weloverwogen beslissing kan nemen.

Dit document wordt aan het begin van de stand-still periode door de franchisegever overhandigd aan de kandidaat franchisenemer. De PID is een erg uitgebreid document. De PID bevat namelijk alle informatie bevat die tussen franchisegever en kandidaat is uitgewisseld. De franchisegever moet hier heel zorgvuldig mee omgaan. Het ontbreken van informatie kan aanleiding zijn tot claims van de franchisenemer. De PID moet alle informatie bevatten waarvan de franchisegever moet begrijpen dat die van belang kan zijn voor de aspirant franchisenemer.

Nee. Indien uw zaak op toevoegingsbasis behandeld kan worden, kunt u het beste contact opnemen met het Juridisch Loket. Zij helpen u bij het vinden van een advocaat die op deze basis werkt.

De gemiddelde werving en selectie fee in Nederland ligt tussen de 20% en 30% van het bruto jaarsalaris (inclusief vakantiegeld en overige emolumenten). De exacte hoogte is afhankelijk van de complexiteit van de zoekopdracht, de branche en de schaarste op de arbeidsmarkt.


Lees meer

Bent u op korte termijn op zoek naar juridische professionals voor een Interim opdracht of juist op basis van werving & selectie? Bij Snijders Interim bent u aan het juiste adres. Bij Snijders Interim Community zijn de beste juridische professionals uit de markt aangesloten. Of u nu op zoek bent naar een jurist, advocaat, Legal Counsel of bedrijfsjurist op junior, medior of senior level, wij staan u graag bij in uw zoektocht. Laat het ons weten en we komen graag bij u op bezoek om onze dienstverlening verder toe te lichten

Wie stelt moet bewijzen, dat is de hoofdregel van ons burgerlijk procesrecht. Maar wat nu als u een geschil heeft met een andere partij maar u uw stellingen niet (voldoende) kunt onderbouwen? U kunt dan een verzoek indienen tot het houden van een voorlopig getuigenverhoor met als doel het vergaren van extra informatie en bewijs.


Lees meer

Veel werkgevers stellen internet en e-mail aan werknemers ter beschikking. Werknemers gebruiken dat namelijk bij het verrichten van hun werkzaamheden. Soms gebruiken werknemers echter dat internet en die e-mail (tijdens werktijd) voor tal van andere activiteiten, variërend van het lezen van privé e-mail tot het bekijken van pornofilmpjes.


Lees meer

Regelmatig worden wij met de vraag geconfronteerd of een uitlener de door hem aan een ander ter beschikking gestelde werknemers, zoals uitzendkrachten of een gedetacheerde werknemers, kan verbieden om bij de inlener in dienst te treden of dat op een andere manier kan belemmeren. Wij geven antwoord.


Lees meer

Regelmatig stellen werkgevers vragen over de, sinds 1 januari 2015 geldende, aanzegverplichting. De meest gestelde vragen en de antwoorden daarop volgen hieronder.


Lees meer

Als u een geldvordering heeft op een wanbetaler, kunt u beslag laten leggen op een bankrekening. Dat kan door een advocaat te vragen om dit te doen. Alleen advocaten (en dus niet deurwaarders) mogen aan de rechtbank toestemming vragen om conservatoir beslag te leggen.


Lees meer
Lees alle FAQ's
Wij scoren gemiddeld een 8,9 op basis van 54 referenties
Wij scoren gemiddeld een 8,9 op basis van 54 referenties