Waarmee kunnen we u helpen?

-

Algemene Verordening Gegevensbescherming | per 25 mei 2018 | de belangrijkste gevolgen op een rij

U zult het vast al een aantal keer voorbij hebben zien komen: op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Vanaf deze datum zullen organisaties moeten voldoen aan de AVG, een Europese verordening die is gericht om de privacy van betrokkenen te waarborgen. Concreet betekent dit veel nieuwe verplichtingen voor bedrijven. De Autoriteit Persoonsgegevens ziet toe op de naleving van deze verplichtingen en kan boetes opleggen tot maximaal € 20 miljoen of 4% van de totale wereldwijde jaaromzet.

In deze nieuwsbrief leest u meer over de belangrijkste gevolgen van de AVG en aan welke verplichtingen uw organisatie mogelijk binnen afzienbare tijd moet voldoen.

Versterking en uitbreiding van de rechten van betrokkenen

Onder het regime van de AVG worden de bestaande privacy-rechten van betrokkenen versterkt en daarnaast krijgen zij nieuwe rechten. Betrokkenen hebben onder meer recht op inzage, correctie, verwijdering en overdraagbaarheid van hun gegevens. Zodra een betrokkene u verzoekt om de uitoefening van één van deze rechten, dient u daartoe direct medewerking te verlenen.

Verantwoordingsplicht

De AVG legt meer verantwoordelijkheid bij de verwerker van de persoonsgegevens. U hebt daarom een verantwoordingsplicht. Dit houdt in dat u desgevraagd moet kunnen aantonen dat u zowel in technische, als organisatorische zin aan de verplichtingen van de AVG voldoet.

Register van gegevensverwerkingen

Een onderdeel van de hierboven genoemde verantwoordingsplicht is dat u een register van alle gegevensverwerkingen moet bijhouden. Uit dit register moet onder andere blijken wat voor soort persoonsgegevens u precies verwerkt, hoe lang deze bewaard worden, hoe de gegevens beveiligd worden en wat de doeleinden zijn waarvoor zij verwerkt worden. Werkt u vaak samen met buitenlandse partijen? Dan gelden nog een aantal aanvullende eisen.

Toestemming van de betrokkene

Indien u persoonsgegevens verwerkt op basis van toestemming van de betrokkene, moet deze toestemming aan bepaalde vereisten voldoen. Zo moet het voor de betrokkene onder andere duidelijk zijn voor welke verwerking van zijn persoonsgegevens hij toestemming geeft en moet de vereiste toestemming ook ondubbelzinnig gegeven worden. U moet kunnen aantonen dat u de vereiste toestemming heeft verkregen.

Privacy by design en privacy by default

Privacy by design houdt in dat u bij de ontwikkeling van nieuwe producten of diensten al in het ontwerp rekening houdt met de privacy van betrokkenen en de bescherming daarvan. Privacy by default betekent onder andere dat u moet kunnen aantonen dat u standaard niet meer persoonsgegevens verwerkt dan noodzakelijk is en deze ook niet langer dan noodzakelijk bewaart.

Verwerkingsovereenkomst

Wanneer er een andere partij is die persoonsgegevens voor u verwerkt, dan bent u verplicht een verwerkingsovereenkomst te sluiten. Wanneer u onder de Wet Bescherming Persoonsgegevens al een bewerkingsovereenkomst heeft gesloten, dan moeten hier mogelijk aanpassingen aan worden gedaan om te voldoen aan de AVG.

Functionaris voor gegevensbescherming

In sommige gevallen kunt u verplicht zijn een functionaris voor gegevensbescherming in te stellen. Een functionaris voor de gegevensbescherming is onder andere verplicht wanneer u op grote schaal bijzondere persoonsgegevens verwerkt of wanneer u als kernactiviteit op grote schaal personen volgt door bijvoorbeeld profilering of cameratoezicht.

Data Protection Impact Assessment (DPIA)

Voorafgaande aan mogelijk risicovolle gegevensverwerkingen kunt u verplicht zijn een Data Protection Impact Assessment te doen. Risicovolle gegevensverwerkingen zijn bijvoorbeeld grootschalige verwerkingen van bijzondere persoonsgegevens of het stelselmatig monitoren van openbare ruimtes.

Meldplicht datalekken

Deelt u per ongeluk het klantenbestand per e-mail? Stuurt u een e-mail met persoonlijke gegevens per abuis naar een verkeerd (e-mail)adres? Of is er een USB-stick zoek in uw organisatie? Dan kan er sprake zijn van een zogenaamd datalek. Alle datalekken die hebben plaatsgevonden binnen uw organisatie dient u te documenteren. In sommige gevallen bent u tevens verplicht het lek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens.


Belangrijk:
·   Op 25 mei 2018 treedt de AVG in werking
·   De bepalingen van de AVG zien veelal (ook) op
(kleine) MKB-bedrijven
·   Overtredingen worden bestraft met hoge boetes


Contact

Nieuwsgierig naar waar uw organisatie staat ten opzichte van de aankomende regelgeving? Neem vrijblijvend contact op met het AVG-team van Benthem Gratama Advocaten om uw organisatie goed in en door te lichten, zodat u na 25 mei 2018 niet voor onaangename verrassingen komt te staan.

Team AVG:
Marjet Dikkeschei
Philine Elzerman
Martijn Kerkdijk
Adriaan van Rinsum

U gebruikt een verouderde browser van Internet Explorer die niet meer wordt ondersteund. Voor optimale prestaties raden wij u aan om een nieuwere browser te downloaden. Hiervoor verwijzen wij u door naar:

browsehappy.com sluiten