Ondernemers let op: strengere privacy-eisen in 2018

1 april 2018 11:47

Vanaf 25 mei 2018 moeten alle organisaties voldoen aan de Europese Algemene verordening gegevensbescherming (AVG). Boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. De nieuwe wet breidt privacyrechten van burgers uit en legt extra verplichtingen op aan organisaties die persoonsgegevens verwerken. En dat zal in de praktijk te merken zijn.

Bij de meeste bedrijven komen er dagelijks gevoelige persoonsgegevens van klanten en relaties terecht in de computer van medewerkers, in de vorm van burgerservicenummers (BSN), adresgegevens, salarisgegevens, maar bijvoorbeeld ook in de vorm van medische gegevens.

Wil je een lening of hypotheek aangaan dan word je financiële situatie doorgelicht. Hoe is het betaalgedrag van de student die een smartphone wil kopen? Wat is het inkomen van de aanvrager van een leasecontract? Betaalde het echtpaar in het verleden de huur? Je kunt er snel achter komen, want de handel in dit type persoonsgegevens is groeiende. Onderzoek van het weekblad de Groene Amsterdammer toont aan dat enkele grote databedrijven in het bezit zijn van betaalgegevens van meer dan 10 miljoen Nederlanders (bijna iedere volwassene dus!).

Ze zijn te koop voor een ieder die ervoor wil betalen. Het officiële Bureau Kredietregistratie (BKR) dat, als vanouds, schulden registreert is daarmee al ver voorbij gestreefd. Het lijkt efficiënt, maar het is in strijd met de privacywetgeving. Neem Transportbedrijf Nippon Express. Dit bedrijf maakte scans van de identiteitsdocumenten van vrachtwagenchauffeurs die goederen kwamen laden en verwerkte deze gegevens in het eigen computersysteem voor onbepaalde tijd. Dat is niet toegestaan, zeker niet als er (online) geen extra beveiliging is om identiteitsfraude tegen te gaan. De Autoriteit Persoonsgegevens eiste dan ook beëindiging van de overtreding op straffe van een last onder dwangsom. Nippon Express koos eieren voor zijn geld en veranderde het systeem volgens de aanwijzingen van de AP. Door deze affaire stond het bedrijf wel in het openbaar als overtreder bekend: met naam en toenaam. Niet bepaald prettig voor een bedrijf met een goede reputatie! Verstandig dus om als bedrijf na te gaan of je voldoet aan de strengere privacy-eisen van de AVG.

Ik noem er een paar: 

1. Onder de AVG heeft u een verantwoordingsplicht. U moet kunnen aantonen dat uw organisatie in control is op het gebied van privacy b.v. door middel van een register van verwerkingsactiviteiten.

2. Organisaties die grootschalig met data werken zijn verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen en een data protection impact assessment (DPIA) uit te voeren. Dat geldt ook als u werkt met bijzondere persoonsgegevens. (etniciteit, seksuele voorkeur, godsdienst, politieke overtuiging, medische gegevens etc.)

3. Besteed u verwerking van persoonsgegevens uit (bijvoorbeeld de loonadministratie) dan bent u ook verantwoordelijk voor de verwerker. Ziekenhuizen die medische gegevens lieten scannen draaiden op voor de boetes toen het door hen ingehuurde scanbedrijf per ongeluk de medische rapporten openbaar maakte via een link.

Privacybescherming wordt dus een cruciaal onderdeel van moderne bedrijfsvoering.

Klanten en relaties willen nu eenmaal dat hun data in veilige handen zijn. Daarbij nog wel een kanttekening: 70% van de datalekken wordt veroorzaakt door menselijke fouten. In steeds meer opleidingen zal privacybescherming dan ook een cruciaal onderdeel worden van het curriculum. Vernieuwing kost tijd en geld, maar als de voortekens niet bedriegen is investering in privacybescherming een verstandige zaak. «

Mr. Ina Brouwer Borg advocaten

www.borg-advocaten.nl

Interessant artikel? Deel het: