De AVG: Bent u voorbereid?

Over minder dan een maand is het 25 mei: dan wordt de Algemene Verordening Gegevensbescherming van kracht. Valegis Advocaten legt u uit wat er verandert en wat er moet gebeuren.

Wat verandert er?

Om te beginnen verandert er ook heel veel niet. We leggen uit wat we daarmee bedoelen: door alle media-aandacht voor de AVG (ook wel GDPR: General Data Protection Regulation) zou bijna worden vergeten dat er al lang privacywetgeving is, in de vorm van de Wet bescherming persoonsgegevens (Wbp), een wet die gebaseerd is op een Europese richtlijn. De AVG bouwt voort op die richtlijn en neemt daardoor het grootste deel gewoon over. Ook de meldplicht datalekken, die veel in het nieuws is, bestaat inmiddels al sinds 2016 en is dus strikt genomen geen verandering.

Dan enkele échte veranderingen: een belangrijk doel van de AVG is het geven van meer controle aan burgers (in de wetgeving aangeduid als ‘betrokkenen’) over hun eigen persoonsgegevens. In dat kader krijgen betrokkenen er een aantal rechten bij, wat dus ook meer verplichtingen voor ondernemingen inhoudt. Zo zullen betrokkenen onder meer een uitgebreider recht krijgen op inzage in hun persoonsgegevens en het ontvangen van een kopie daarvan, krijgen zij het recht op overdracht van hun persoonsgegevens (dataportabiliteit) en het (niet onbegrensde) recht om ‘vergeten te worden’. Betrokkenen moeten bovendien tijdig op deze rechten worden gewezen (bijvoorbeeld door middel van een privacystatement op de website).Carolien Brederije

Verder moeten ondernemingen die persoonsgegevens verwerken kunnen aantonen dat zij dat conform de geldende wetgeving doen: er geldt een zogenaamde verantwoordingsplicht.

Ook zullen sommige organisaties een functionaris gegevensbescherming (ook wel privacy officer) moeten aanstellen en voor bepaalde verwerkingen van persoonsgegevens moet mogelijk een gegevensbeschermingseffectbeoordeling (of data protection impact assessment) worden uitgevoerd.

Ten slotte de meest spraakmakende verandering: de boetes die op grond van de AVG kunnen worden opgelegd, zullen significant hoger worden. Onder de Wbp was de maximale boete ‘slechts’ € 820.000 (of 10% van de jaaromzet), terwijl onder de AVG een boete van €20 miljoen (of 4% van de wereldwijde jaaromzet) kan worden opgelegd. Of die boete ook werkelijk opgelegd wordt en of deze dan ook zo hoog zal zijn zal afhangen van de omstandigheden (een organisatie als Facebook zal meer risico lopen op een hoge boete dan de lokale korfbalvereniging).

Wat moet er gebeuren?

Organisaties zullen in ieder geval een intern privacybeleid moeten opstellen, waaraan iedereen zich houdt en waaruit bijvoorbeeld volgt wat er gedaan moet worden in geval van een datalek en hoe verzoeken van betrokkenen met betrekking tot de eerdergenoemde rechten moeten worden afgehandeld.

In het kader van de zogenaamde verantwoordingsplicht moeten organisaties een verwerkingsregister gaan bijhouden waaruit blijkt wat er gedaan wordt met persoonsgegevens. Dat verwerkingsregister moeten zij desgevraagd aan de Autoriteit Persoonsgegevens (de toezichthouder) kunnen laten zien.

Zie dit als ondernemer ook als een kans; het opstellen van een verwerkingsregister is direct een goed moment om de verwerking van persoonsgegevens binnen uw organisatie eens onder de loep te nemen: stelt u zich indringend de vraag wat u eigenlijk doet met welke persoonsgegevens van welke betrokkenen, hoe lang u die bewaart en met wie u die mogelijk deelt en of dat eigenlijk wel allemaal toegestaan en/of nodig is.Daphne Jerphanion

Ga bovendien na of u een functionaris gegevensbescherming moet hebben en of u een gegevensbeschermingseffectbeoordeling moet uitvoeren. Als uw organisatie gebruik maakt van zogenaamde verwerkers (dat zijn personen (niet-ondergeschikten) of bedrijven die in opdracht van de organisatie persoonsgegevens verwerken, bijvoorbeeld de externe salarisadministrateur), dan moet u daar een verwerkersovereenkomst mee sluiten.

Valegis Advocaten helpt u graag bij al deze zaken en bij andere vragen die naar aanleiding hiervan mochten opkomen. Neemt u gerust contact met ons op. Kijkt u ook eens op onze website of schrijf u in voor onze nieuwsbrieven zodat u up to date blijft.

Namens team privacyrecht van Valegis Advocaten
Carolien Brederije
Daphne Jerphanion

Adres:
Pr. Beatrixlaan 582, 2595 BM Den Haag
Purperhoedenveem 9, 1019 HE Amsterdam

E-mail:
c.brederije@valegis.com
d.jerphanion@valegis.com

Telefoon:
Den Haag: +31 (0)70 319 60 40
Amsterdam: +31 (0)20 723 36 33

Websites:
www.valegis.com / www.advocaatprivacy.nl

Onze partners