U hebt er vast al veel over gehoord, misschien heeft u zich ook al een beetje ingelezen. Hoe dan ook weet u dat er vanaf 25 mei 2018 het een en ander gaat veranderen betreffende de privacywetgeving. Om precies te zijn zal de Algemene Verordening Gegevensbescherming (AVG), de Wet bescherming persoonsgegevens (Wbp) gaan vervangen. Vanaf die datum zal de privacywetgeving in Europa in beginsel gelijk zijn.
In essentie heeft de AVG tot doel privacygevoelige informatie van natuurlijke personen een consistent en hoog beschermingsniveau te bieden. Hierdoor krijgen enerzijds ondernemingen meer verplichtingen ten aanzien van het verwerken van persoonsgegevens. Anderzijds is het daardoor noodzakelijk dat toezichthouders meer bevoegdheden krijgen. Dit artikel zal ingaan op de, naar mijn mening, belangrijkste verplichtingen die uit de verordening gaan gelden voor ondernemers.
VERANTWOORDINGSPLICHT AVG
De grootste verandering voor uw onderneming, groot of klein, is dat u beter moet kunnen verantwoorden dat u (uw onderneming) aan de nieuwe wet voldoet. Uw onderneming wordt in de verordening dan ook “verwerkingsverantwoordelijke” genoemd. Deze verantwoordingsplicht uit zich in een aantal te nemen maatregelen waarvan ik de belangrijkste hieronder zal toelichten.
TOESTEMMING
Ook onder de Wbp bent u verplicht toestemming aan de betrokkene te vragen alvorens u tot gegevensverwerking overgaat. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van de betrokkene hebt gekregen om hun persoonsgegevens te verwerken. Bovendien moet het voor de betrokkene net zo eenvoudig zijn om hun toestemming in te trekken of te wijzigen als om die te verstrekken.
Let op: voor bepaalde categorieën data gelden aparte voorwaarden, bijvoorbeeld bij toestemming van kinderen onder de 16 jaar oud of bij het verzamelen van bijzondere data waaronder gegevens over politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid of seksuele gerichtheid.
ZORGVULDIGE DOCUMENTATIE
De AVG regelt dat u als verwerkingsverantwoordelijke moet zorgdragen voor een zorgvuldig gedocumenteerd register van de verwerkingsactiviteiten. Hierin dient u onder andere vast te leggen wat uw verwerkingsdoelen zijn, aan wie u de gegevens zal verstrekken en binnen welke termijn de gegevens gewist zullen worden. Ook geeft u in dit register, indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die u treft.
Denk bij zorgvuldige documentatie ook bijvoorbeeld aan het AVG-proof maken van uw privacyverklaring.
VERWERKERSOVEREENKOMST(EN)
Wellicht gaat er al een spreekwoordelijk lampje bij u branden. Onder de Wbp is er namelijk een vergelijkbare overeenkomst verplicht, zij het onder de naam bewerkersovereenkomst. Indien u (delen) van uw gegevensverwerking uitbesteedt, gaat u in de zin van de AVG werken met een verwerker. Met hen legt u onder andere in een overeenkomst vast dat de verwerker medewerking verleent bij bijvoorbeeld het melden van datalekken en het uitvoeren van een gegevensbeschermingseffectbeoordeling. Evenals dat de verwerker na afloop van de verwerkingsdiensten de persoonsgegevens wist of terugbezorgt en bestaande kopieën verwijdert.
Onder de Wbp kon een bewerker zijn aansprakelijkheid (grotendeels) uitsluiten. De AVG bepaalt echter dat de verwerker rechtstreeks kan worden aangesproken voor schades (civielrechtelijk) en boetes (via toezichthouder). Zowel als verwerkingsverantwoordelijke en als verwerker is het dus belangrijk om ervoor te zorgen dat uw overeenkomsten AVG-proof zijn. Twijfelt u hierover? Neem dan contact met ons op.
FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING
In sommige gevallen is het noodzakelijk een functionaris voor de gegevensbescherming (FG) aan te stellen. Naast dat overheden en publieke organisaties een FG dienen aan te stellen, gaat deze verplichting ook gelden voor ondernemingen die vanuit hun kernactiviteiten regelmatig en stelselmatig individuen observeren (bijvoorbeeld indien uw onderneming zicht richt op cameratoezicht of monitoring van iemands gezondheid via wearables). Deze verplichting gaat ook gelden voor ondernemingen die op grote schaal bijzondere persoonsgegevens verwerken. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid of seksuele gerichtheid.
EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Vooralsnog is dat in Nederland niet het geval (hierdoor is het mogelijk dat de privacywetgeving in Europa niet helemaal gelijk zal zijn).
GEGEVENSBESCHERMINGSEFFECTBEOORDELING
Onder de AVG kunnen ondernemingen verplicht zijn een zogenaamde gegevensbeschermingseffectbeoordeling uit te voeren. Dat is een hulpmiddel om bij verwerkingen, die een hoog risico kunnen inhouden voor de rechten en vrijheden van natuurlijke personen, de risico´s in kaart te brengen om vervolgens eventuele maatregelen te nemen. In de verordening wordt omschreven dat hierbij vooralsnog vooral gedacht wordt aan verwerking middels nieuwe technologieën.
MELDPLICHT DATALEKKEN
Gaat er ondanks uw zorgvuldige gegevensbescherming toch iets mis? Kunnen hierdoor persoonsgegevens in de handen van derden vallen die hier eigenlijk geen toegang tot mogen hebben? Bijvoorbeeld door het verlies van een gegevensdrager (USB-stick / laptop / mobiele telefoon enz.) of door een brand, dient u dit (net als onder de Wbp overigens) te melden aan de betreffende autoriteit, in Nederland de autoriteit persoonsgegevens.
Zal het lek naar alle waarschijnlijkheid een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkene(n)? Dan dient u dit onmiddellijk, in duidelijke en eenvoudige taal, aan de betrokkene(n) mede te delen (uitzonderingen laat ik hier buiten beschouwing).
Ik hoop dat het voor u nu duidelijker is welke stappen er binnen uw onderneming nog genomen dienen te worden om ervoor te zorgen dat uw onderneming, zo goed als in uw geval mogelijk is, te voldoen aan de nieuwe AVG. Mocht u in bepaalde documentatie nog moeten voorzien, of vraag u zich af of bepaalde zaken voor u van toepassing zijn, neem dan contact op.