+31 (0)20 2060700info@devos.nl
Nieuwsbrief: De AVG komt eraan!

Nieuwsbrief: De AVG komt eraan!

Nieuwsbrief

Op 25 mei 2018 is het zover, dan dient u te voldoen aan de AVG, de Algemene Verordening Gegevensbescherming (AVG). Bent u er al mee bezig of zelfs klaar voor? Wacht niet lang meer, de tijd vliegt en de voorbereiding op de AVG neemt wel enige tijd van u en uw onderneming. Zet het onderwerp op de agenda en zorg dat uw onderneming op tijd aan de nieuwe wetgeving voldoet.

Waar gaat het om?

De AVG heeft tot doel het beschermingsniveau van persoonsgegevens te verhogen en schept daarom meer verplichtingen voor u als ondernemer. Deze regels gaan voor de hele Europese Unie gelden.

Op dit moment bevinden wij ons in de overgangsperiode, bedoeld om ondernemers de kans te geven zich voor te bereiden. Om u te helpen om vóór 25 mei 2018 voorbereid te zijn, heeft De Vos & Partners Advocaten de belangrijkste aspecten en veranderingen op een rij gezet.

Is de AVG wel op mij van toepassing?

Iedere onderneming verwerkt persoonsgegevens. Het gaat om de gegevens van natuurlijke personen, bijvoorbeeld aan die van uw klanten of van uw personeel. Denk bij persoonsgegevens aan namen, e-mailadressen of telefoonnummers. Maar ook aan foto’s of informatie over opleiding of beroep. Het bijhouden van een bestand met klantgegevens of het bewaren van e-mailadressen voor het verzenden van een nieuwsbrief valt onder deze verwerking. Het maakt niet uit of u daadwerkelijk iets doet met deze gegevens, enkel bewaren valt ook onder het ‘verwerken’ van gegevens. Het begrip “verwerken” is vrij ruim en dat betekent dat hiervan snel sprake kan zijn. Denkt u hierbij aan “bewaren, verzamelen, veranderen, gebruiken, doorsturen of met elkaar in verband brengen”.

Wanneer mag ik persoonsgegevens verwerken?

In beginsel mag dit alleen wanneer u toestemming hebt gekregen van de persoon van wie u de gegevens wilt verwerken (de betrokkene). De eisen aan deze toestemming worden onder de AVG strenger dan nu nog het geval is. Uit zwijgen of niet handelen mag geen toestemming meer worden afgeleid. Zo moet de toestemming altijd controleerbaar en ondubbelzinnig zijn.

Waar het kinderen onder de 16 jaar betreft moet altijd toestemming door een ouder worden verleend.

Op u rust de verplichting om de verleende toestemming te kunnen aantonen. Dat moet bovendien specifiek, namelijk voor het gebruik dat u maakt.

Gelden er onder de AVG extra verplichtingen voor mij als ondernemer?

Ja, onder de AVG gelden nog veel meer verplichtingen voor ondernemers. De belangrijkste verplichtingen zijn:

Informatieplicht

U moet op elk moment alle informatie over een verwerking aan de betrokkene kunnen geven als deze daarom vraagt. Dit moet in de meeste gevallen ook nog eens binnen slechts één maand en zonder kosten bij de betrokkene in rekening te brengen. Een betrokkene kan bijvoorbeeld ook vragen om verwijdering van zijn persoonsgegevens of om de gegevens over te dragen aan een andere partij.

Documentatieplicht

U moet niet alleen informeren, maar ook documenteren (de zogenaamde documentatieplicht). Dit houdt in dat u een register moet gaan bijhouden voor alle verwerkingsactiviteiten. U moet bij de Autoriteit Persoonsgegevens (AP) kunnen aantonen dat u dit register op orde heeft. U moet in ieder geval de wettelijke grondslag voor de verwerking registreren. Houd er rekening mee dat het erg veel tijd kost om dit op papier te krijgen, dus begin hier op tijd mee!

Meldingsplicht datalekken

Een andere nieuwe verplichting geldt wanneer uw onderneming is gehackt en de persoonsgegevens die u verwerkt zijn gelekt. In zo’n geval moet u binnen 72 uur de AP hiervan op de hoogte stellen en ook de betrokkenen. Ook deze datalekken moeten worden geregistreerd.

Verwerk niet meer gegevens dan nodig zijn

Onder de AVG moet u er rekening mee houden dat u in beginsel niet meer gegevens van iemand vraagt dan u nodig heeft. Kies voor enkel de voor de verwerking noodzakelijke gegevens. Wanneer u een nieuwsbrief aan een abonnee wilt verstrekken, heeft u niet ook het telefoonnummer van de abonnee nodig. Zo zal het vragen van een geboortedatum al helemaal vaak onnodig zijn.

**

De aanstelling van een functionaris gegevensbescherming

Een geheel nieuw beroep! Mogelijk is uw onderneming verplicht om een functionaris gegevensbescherming (FG) aan te wijzen. Dit is alleen het geval indien uw onderneming als hoofdtaak heeft het stelselmatig observeren van personen (bijvoorbeeld met cameratoezicht) of indien uw onderneming op grote schaal bijzondere persoonsgegevens verwerkt. Denk bij bijzondere persoonsgegevens aan gegevens over ras, religie of biometrische gegevens zoals vingerafdrukken. Het is de taak van de FG om uw werknemers die persoonsgegevens verwerken te informeren en te adviseren over hun verplichtingen onder de AVG en toe te zien op de naleving hiervan.

Hoe zit het, als iemand anders persoonsgegevens voor mij verwerkt?

Dan maakt u gebruik van een zogenaamde ‘verwerker’. Dit komt in veel verschillende situaties voor, bijvoorbeeld bij het uitbesteden van de salarisadministratie of bij het gebruik van externe dataopslag. U blijft wel de verantwoordelijke voor de verwerking van de gegevens. U moet de afspraken met uw verwerker vastleggen in een schriftelijke overeenkomst.

Wat is een Privacy Impact Assessment en wanneer moet ik dit uitvoeren?

Ook nieuw onder de AVG is een Privacy Impact Assessment (PIA). Een PIA is kort gezegd een uitgebreid onderzoek naar de privacy risico’s van een nieuw project. Alleen als een gegevensverwerking een verhoogd risico met zich meebrengt moet u een PIA uitvoeren. Dit is bijvoorbeeld het geval bij de verwerking van medische of strafrechtelijke gegevens. Met een PIA krijgt u goed in beeld wat de risico’s zijn en kunt u deze vervolgens zo veel mogelijk wegnemen.

Wat als ik niet kan voldoen aan de eisen uit de AVG?

De sancties voor het handelen in strijd met de AVG worden aanzienlijk zwaarder. U kunt een boete van maximaal 20 miljoen euro of een bedrag gelijk aan 4% van de jaaromzet verwachten indien u niet uiterlijk op 25 mei 2018 voorbereid bent op de AVG. Maak dus op tijd de relevante mensen binnen uw organisatie bewust van het belang van een goede voorbereiding en ga aan de slag.

Wat moet ik doen?

U zult een privacy beleid moeten gaan ontwikkelen en door u, de directie, vast laten stellen. Dit privacy beleid moet worden nageleefd en extern worden gecommuniceerd, via het privacy statement van uw bedrijf. Dit privacy statement dient onder de AVG aan een flink aantal voorwaarden te voldoen.

Vergeet daarnaast de medewerkers van uw kantoor niet. Los van het feit dat de personeelsadministratie en bijvoorbeeld verzuimregistratie ook onder de AVG vallen, dient u uw medewerkers van instructies te voorzien hoe zij omgaan met privacy op de werkvloer en uw privacy beleid moeten naleven. Denkt u hierbij ook aan het opstellen van een social media en/of email beleid.

De Vos & Partners Advocaten helpt u graag met de voorbereiding op de AVG en de nodige overeenkomsten. Voor meer informatie, waaronder voor ons stappenplan om AVG proof te worden kijkt u op DEZE link. Voor het maken van een

afspraak of voor advies kunt u contact opnemen met onze privacy experts Els Doornhein

(edoornhein@devos.nl/ 020-2060717) en Jasper Hulsebosch (jhulsebosch@devos.nl/ 020-

2060734).

Geschreven door

Els Doornhein

Partner

 
Maak een afspraak

Deel dit bericht



Laatste nieuws

05-07-2019 - door

Vakantie!! Heb ik toestemming nodig van mijn (ex-)partner?

***Voor velen nadert een fijne periode: de zomervakantie\! G... Lees meer

21-06-2019 - door

Mandy Roggeveen heeft zich onlangs aangemeld bij het netwerk van ZaanLinQ

Mandy Roggeveen heeft zich onlangs aangemeld bij het netwerk... Lees meer

Copyright/Disclaimer © 2017 by De Vos & Partners N.V., Amsterdam, Nederland. All rights reserved. Created by Supreme being 21.3