Per 25 mei 2018 komt de huidige Wet bescherming persoonsgegevens (‘Wbp’) te vervallen. Deze wordt vervangen door een Europese verordening: de Algemene Verordening Gegevensbescherming (‘AVG’), die rechtstreeks van toepassing is in alle EU-lidstaten . Maar wat betekent deze nieuwe wetgeving nu in een notendop?
De AVG in het kort
De AVG bepaalt op een strikter niveau dan de huidige Wbp hoe organisaties die persoonsgegevens verwerken dit moeten managen. Daarnaast krijgen betrokkenen van wie deze persoonsgegevens worden verwerkt, meer controle op, en inzicht in, de manier van verwerking. Wanneer je als organisatie ervoor hebt gezorgd dat je de bepalingen uit de huidige Wbp toepast, dan zal een aanpassing naar de AVG wel haalbaar zijn voor 25 mei 2018. Maar mocht je je hier nog op geen enkele manier in verdiept hebben, dan is het verstandig om deze aanpassing prioriteit te geven.
Flinke boete
De Autoriteit Persoonsgegevens heeft namelijk als toezichthouder een aantal bevoegdheden verkregen, al dan niet als uitbreiding van de bestaande, waarmee zij boetes kunnen opleggen tot EUR 20.000.000 of een maximum van 4% van de wereldwijde omzet. Minstens zo belangrijk: als bestuurder kun je ook aansprakelijk gesteld worden voor het schenden van de AVG en de schade. Dit wil je natuurlijk voorkomen en wij willen je hier graag mee helpen.
Wat kun je zelf doen?
Wat kun je zelf al aanpakken om een begin te maken? Allereerst raden wij je aan om de gegevensstromen in kaart te brengen. Dit doe je door te bepalen waar in de organisatie de persoonsgegevens binnen komen of de organisatie verlaten. Persoonsgegevens zijn niet alleen beperkt tot de contactgegevens van consumenten die je op je website verzamelt, ook indirecte persoonsgegevens zoals een IP adres tellen mee.
Daarnaast dien je als werkgever te beseffen dat ook persoonsgegevens van je werknemers binnen je organisatie vallen onder de verwerking van persoonsgegevens en dus de regels van de AVG. Zodra je een goed beeld hebt van de gegevensstromen is het mogelijk, eventueel met hulp van een functionaris gegevensbescherming of privacy specialist, om de risico’s in kaart te brengen. Dat wil zeggen: op welke punten van de verwerking van persoonsgegevens niet voldoet aan de AVG. Denk hierbij bijvoorbeeld aan of je voldoet aan de informatieverplichting jegens betrokkene door het hanteren van een privacyverklaring op je website, of dat je IT-afdeling de juiste beschermingsmaatregelen toepast per categorie persoonsgegevens, en of je een goed beleidsplan hebt met betrekking tot de meldplicht datalekken.
Meer weten?
De AVG geeft helaas geen strikte voorschriften van wat wel en niet mag, maar biedt je een lange lijst van handvatten die toepasbaar zijn op verschillende omstandigheden. Als organisatie moet je dus zelf onderzoeken of je voldoet aan bepaalde vereisten en moet je de AVG ook in je achterhoofd houden als je nieuwe producten of diensten wil lanceren.
The Law Factor staat je hierin graag bij, uiteraard ook voor een vrijblijvend eerste gesprek.
Heb je vragen over privacy of overeenkomsten in het licht van de AVG? Neem contact op met één van onze vestigingen.
28 maart 2018