• 03 Jan

    Lees hier alles over de nieuwe privacywet (Algemene verordening gegevensbescherming)

Inleiding

Per 25 mei 2018 gelden in de hele Europese Unie (EU) dezelfde privacyregels.

Vanaf deze datum is namelijk de Algemene verordening gegevensbescherming (AVG) van kracht. De AVG is een Europese verordening en heeft rechtstreekse werking. Dit betekent dat de regels uit deze verordening voor iedereen in Nederland gelden. De Nederlandse Wet bescherming persoonsgegevens (Wbp) geldt na invoering van de AVG niet meer.

In dit artikel geef ik kort samengevat weer wat de regels van de AVG inhouden en welke verplichtingen u als organisatie onder de AVG hebt.

De AVG kent veel regels met open normen. Daarom worden deze regels nog door de Nederlandse wetgever verder uitgewerkt in de Nederlandse Uitvoeringswet AVG. Het wetsvoorstel voor de Uitvoeringswet AVG (UAVG) is gepubliceerd op Rijksoverheid.nl.

De AVG is op 25 mei 2016 in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 daadwerkelijk van toepassing. Er is dus een overgangsperiode. Deze is bedoeld om organisaties en toezichthouders de kans te geven zich voor te bereiden op de nieuwe wet.

De AVG geldt voor álle organisaties die persoonsgegevens verwerken en geldt dus ook voor mkb’ers en zzp’ers die gegevens verwerken. Zoals bijvoorbeeld het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie.

De Autoriteit Persoonsgegevens (AP) houdt in Nederland toezicht op het gebruik van persoonsgegevens.

Wat verandert er met de komst van de AVG?

De AVG zorgt met name voor:
1) een versterking en uitbreiding van privacyrechten van personen;
2) meer verplichtingen voor organisaties;
3) dezelfde bevoegdheden voor alle Europese privacytoezichthouders.

Ik zal op ieder onderwerp kort ingaan.

1) Privacyrechten van personen

Mensen krijgen onder de AVG meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. De privacyrechten worden versterkt en uitgebreid.

De volgende rechten van personen zijn in de AVG aangescherpt:
het recht op informatie, het recht op inzage, het recht op correctie, het recht op gegevenswissing (recht op vergetelheid), het recht op beperking van de verwerking van persoonsgegevens en het recht om niet te worden onderworpen aan volledig geautomatiseerde besluiten (waaronder profilering).

Een nieuw recht in de AVG is het recht op dataportabiliteit (recht op overdraagbaarheid). Dit betekent dat een persoon de gegevens die een organisatie van hem of haar heeft gemakkelijk moeten kunnen opvragen en dat deze organisatie deze gegevens ook moet kunnen doorgeven aan een andere organisatie als deze persoon dat wil.

Een ander nieuw recht is het recht van personen om bij de AP klachten in te dienen over de manier waarop met hun gegevens wordt omgegaan. De AP is verplicht deze klachten te behandelen.

2) Verplichtingen organisaties

Organisaties die persoonsgegevens verwerken hebben op grond van de AVG meer verplichtingen. Er wordt meer nadruk gelegd op de verantwoordelijkheid die u als organisatie zelf heeft. U heeft dus een verantwoordingsplicht.

Voor organisaties gelden onder de AVG de volgende verplichtingen:
A) U dient in uw organisatie de nieuwe regels in te voeren en uw organisatie bewust te maken van de nieuwe privacyregels;
B) U dient zich voor te bereiden op verzoeken van personen die een beroep doen op een of meerdere van hun privacyrechten. U dient op deze verzoeken op tijd en op de juiste manier te reageren;
C) U dient zich zoals gezegd te verantwoorden (verantwoordingsplicht). Dit betekent dat u in een verwerkingsregister dient vast te leggen welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Ook moet u met documenten kunnen aantonen dat u de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen.

Organisaties met meer dan 250 medewerkers

Als uw organisatie meer dan 250 medewerkers heeft bent u altijd verplicht om een verwerkingsregister bij te houden.

Organisaties met minder dan 250 medewerkers

Als uw organisatie minder dan 250 medewerkers heeft, dan moet u over een verwerkingsregister beschikken wanneer u persoonsgegevens verwerkt:

  • die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of;
  • waarvan de verwerking niet incidenteel is en/of;
  • die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

De meeste organisaties met minder dan 250 medewerkers verwerken persoonsgegevens op meer dan incidentele basis en zullen dus toch een verwerkingsregister bij moeten houden.

Als u verplicht bent om een verwerkingsregister op te stellen, dan moet u dit register kunnen verstrekken wanneer de Autoriteit Persoonsgegevens u daar om vraagt.
D) U dient een data protection inpact assessment (DPIA) uit te voeren als een gegevensverwerking een hoog privacyrisico heeft. Met dit data protection impact assessment maakt u een analyse van de privacyrisico’s. Aan de hand daarvan kunt u vervolgens maatregelen nemen om de risico’s te verkleinen;
E) U dient bij de verwerking van persoonsgegevens “privacy by design” en “privacy by default” toe te passen.
Privacy bij design betekent dat u al bij het ontwerpen van producten en diensten er voor zorgt dat persoonsgegevens goed worden beschermd.
Privacy bij default betekent dat u ervoor dient te zorgen dat u alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
F) Bepaalde organisaties dienen een functionaris voor de gegevensbescherming (FG) aan te stellen.
Ten eerste zijn overheidsinstanties en publieke organisaties verplicht om een FG aan te stellen. Ten tweede moeten organisaties die als kernactiviteit op grote schaal individuen volgen een FG hebben (Bijvoorbeeld beveiligingsbedrijven).Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden;
U kunt de FG ook bij een externe partij inhuren die deze taken op zich neemt.
G) U dient te voldoen aan de meldplicht datalekken. Op basis van de huidige wet is er sinds 1 januari 2016 al een meldplicht datalekken. De AVG stelt echter strengere eisen aan de registratie van de datalekken in uw organisatie.
H) U dient een bewerkersovereenkomst te hebben als u bepaalde gegevensverwerkingen heeft uitbesteed aan een bewerker. U dient te beoordelen of uw huidige bewerkersovereenkomsten nog voldoen aan de vereisten van de AVG.
I) Voor bepaalde gegevensverwerkingen heeft u van de personen van wie u de gegevens verwerkt toestemming nodig. Onder de AVG moet u kunnen aantonen dat u geldige toestemming heeft gekregen om persoonsgegevens van een bepaalde persoon te verwerken. Verder moet u kunnen aantonen dat het voor personen net zo makkelijk is om de toestemming in te trekken als om die te geven.

3) Bevoegdheden Europese privacytoezichthouders
Als een organisatie na 25 mei 2018 de AVG overtreedt, dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.

Boete van maximaal 10 miljoen euro
Als een organisatie één van de verplichtingen onder de AVG niet nakomt (bijvoorbeeld de documentatieplicht), dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, als dat bedrag hoger uitkomt.

Boete van maximaal 20 miljoen euro
Als een organisatie één van de beginselen of grondslagen van de AVG overtreedt of in strijd handelt met één van de privacyrechten van personen van wie de organisatie gegevens verwerkt, dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, als dat bedrag hoger uitkomt.

Tenslotte
De komst van de Algemene verordening gegevensbescherming vergt van iedere organisatie een behoorlijke voorbereiding om straks te kunnen voldoen aan de nieuwe privacyregels.

Nexa Velo advocaten kan u verder adviseren over de AVG en kan u helpen bij het invoeren van de regels in uw organisatie. Neem daarvoor contact op met Iman Boot (Tel. 06-53115723 of iboot@nexavelo.nl).
Iman Boot, advocaat

VERTEL VERDER

ONTVANG DE NIEUWSBRIEF

Als het gaat om juridische advisering bij ICT zaken heb ik NexaVelo leren kennen als een advocatenkantoor met korte lijnen en to the point advies tegen een scherpe prijsstelling. ...

Ad Linssen, CFO XS2TheWorld B.V. Meer testimonials