Nieuws

Nieuwe wet zorgt voor strengere regels Privacy per mei 2018

25 september 2017

Met de komst van de Algemene verordening Persoonsgegevens (AVG) in mei 2018 gaat er op het gebied van privacy wet- en regelgeving het nodige veranderen. Logisch, want het beschermen van privacy binnen organisaties en bedrijven wordt steeds belangrijker. Deze wetswijziging kan echter hele vervelende gevolgen hebben. De boetes kunnen namelijk snel oplopen tot een aanzienlijk gedeelte van uw jaaromzet. Alle reden voor een nadere uitleg ...
 
Torenhoge boetes
In 2012 werd de AVG al aangekondigd door de Europese Commissie . Op grond van deze AVG kan de (Europese) toezichthouder boetes opleggen tot maximaal € 20 miljoen of maximaal 4 procent van de wereldwijde jaaromzet van de desbetreffende overtreder.
 
Volop aandacht
De AVG is vanaf 25 mei 2018 van kracht. Binnen ons netwerk hebben wij verschillende bedrijven gevraagd of zij op de hoogte waren van deze belangrijke wijziging. Het resultaat was helder en duidelijk: niemand was op de hoogte. Terwijl de consequenties echt zorgelijk zijn. Uit aanvullend onderzoek blijkt dat bij een groot aantal bedrijven de verantwoordelijkheid voor privacy niet is geregeld binnen de organisatie. Kortom: voor zowel kleine als grotere bedrijven is het allerbelangrijkst om in dit jaar volop aandacht te besteden aan de AVG.
 
Bedreiging of kans?
Klinkt dit als uitdaging of bedreiging? Draai het eens om en maak daarmee het verschil. Een kwestie van vooruitkijken, ondernemen, innoveren en privacy.
Terug naar de essentie. Want wat staat er nu te gebeuren? De Nederlandse Wbp wordt vervangen door de Europese privacyverordening ‘Algemene Verordening Gegevensbescherming’ (AVG). Heel Europa moet straks voldoen aan dezelfde privacy regels. En dat zorgt voor voordelen, maar ook voor een aanzienlijk pakket van veranderingen.
 
Nieuwe regelgeving
De nieuwe regelgeving heeft betrekking op het data-subject (de persoon) en/of de data-controller of processor (organisatie) die in Europa woonachtig/gevestigd zijn. Daar vallen ook de opslag en bewerkingen van persoonlijke gegevens van EU-burgers buiten Europa onder.
 
Wat betekent dit nu voor u? Onderstaan enkele duidelijke richtlijnen.
 
Nieuwe privacy verklaring op je website
Er moet veel meer informatie aan betrokkenen worden verstrekt dan onder de huidige privacy wet- en regelgeving het geval is. We zijn al bekend met het recht op verzet, inzage en rectificatie, maar onder de AVG volgt nu daarnaast het recht om vergeten te worden. Een betrokkene heeft dus altijd het recht om bezwaar te maken tegen de verwerking van zijn of haar gegevens voor direct marketingdoeleinden. Maakt de betrokkene bezwaar, dan mogen die gegevens niet meer worden verwerkt. De wijze waarop bezwaar gemaakt kan worden, moet duidelijk toegelicht worden in een privacyverklaring. Daarnaast moet de privacyverklaring bijvoorbeeld ook informatie bevatten over de wettelijke grondslag, bewaartermijnen, eventuele uitwisseling met landen buiten de EU, het klachtrecht van betrokkene bij de AP en mogelijke geautomatiseerde besluitvorming en profilering. Bovendien moet dit alles in eenvoudige en duidelijke taal geschreven zijn.
 
Stel verwerkersovereenkomsten op
Als je samenwerkt met een externe partij voor de verwerking van persoonsgegevens, moet de huidige verplichte bewerkersovereenkomst overgezet worden in een verwerkersovereenkomst.

Privacy producten en diensten
Bij de ontwikkeling van producten en diensten wordt privacy heel belangrijk. Dat kan bijvoorbeeld door technieken zoals pseudonimisering of door alleen noodzakelijke persoonsgegevens te verwerken. Ook voor de toegankelijkheid tot de gegevens geldt deze noodzakelijkheidseis. Zelfs de standaardinstellingen van producten en diensten moeten privacyvriendelijk zijn. Privacy-proof ontwikkelen en instellen ... daar kunt u straks niet meer omheen.
 
Meldplicht datalekken
De meldplicht voor datalekken valt al onder de Nederlandse wetgeving. Deze meldplicht wordt ook opgenomen in de AVG. Gaat er bijvoorbeeld per ongeluk of opzettelijk data verloren? Dan moet dit binnen een periode van 72 uur worden gemeld aan de toezichthouder. Bij een hoog risico dienen bovendien de betrokken personen geïnformeerd te worden.
 
Privacy officer
De Privacy officer wordt voor verplicht voor overheidsinstanties en organisaties die stelselmatig op grote schaal personen observeren (bijvoorbeeld: camerabewaking) of die op grote schaal bijzondere persoonsgegevens verwerken (zoals medische of strafrechtelijke gegevens).. De Privacy officer controleert de omgang met persoonsgegevens binnen een organisatie en kijkt of de organisatie voldoet aan de wet en regelgeving. Dat doet hij of zij onafhankelijk en deskundig. Bovendien moeten de contactgegevens bekend zijn bij de AP.
 
Een Privacy Impact Assessment (PIA)
Het (grootschalig) verwerken van persoonsgegevens gaat altijd met risico’s gepaard. Zeker wanneer er nieuwe technologieën worden toegepast. Bij dit soort activiteiten is dan ook een Privacy Impact Assessment (PIA) verplicht gesteld. Hierin wordt vastgesteld
waarom, op welke manier en hoelang er persoonsgegevens verwerkt worden. Soms is het zelfs verplicht om de PIA met betrokkenen te bespreken.
 
Verplicht register
Voor organisaties met minder dan 250 medewerkers is een register niet verplicht. Dat is het wel als er risico’s voor de betrokkenen zijn of als de verwerking stelselmatig plaatsvindt. De toezichthouder controleert vervolgens het register waarin schriftelijk of elektronisch alle activiteiten rondom de verwerking van persoonsgegevens is bijgehouden.
 
Snel in actie
Als organisatie of bedrijf is het belangrijk om alle genoemde activiteiten zo spoedig mogelijk door te voeren. En dat vraagt natuurlijk om inzet, betrokkenheid en de juiste expertise. Wij kunnen u vanzelfsprekend uitvoerig informeren en adviseren over de exacte details en te nemen stappen omtrent deze vernieuwende wetgeving. Bovendien organiseren wij op donderdag 16 november 2017 om 16:00 uur een interactief seminar met als onderwerp "De uitdagingen van de nieuwe privacywetgeving". Aanmelden kan via hmeuwese@snijders-advocaten.nl


Hilde Meuwese / Jesper van der Biezen
Snijders Advocaten
 

Nieuwe wet zorgt voor strengere regels Privacy per mei 2018

Nieuws - Archief