Hoge boetes voorkomen? Maak jouw organisatie nu privacy proof

Hoge boetes voorkomen? Maak jouw organisatie nu privacy proof

Door nieuwe privacyregels kunnen bedrijven binnenkort worden gestraft met boetes van wel 20 miljoen euro. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, waarschuwde onlangs in Het Financieele Dagblad voor streng toezicht. Riskeer geen hoge boetes en maak jouw organisatie nu privacy proof als je dit nog niet hebt geregeld.

Nieuwe privacyregels

Aan de bescherming van privacy wordt in de huidige tijd steeds meer waarde gehecht. Dat gaat gepaard met voortdurend veranderende regels die ook strenge sancties mogelijk maken. Op 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) van kracht zijn. Deze Europese verordening heeft gevolgen voor hoe bedrijven moeten omgaan met persoonsgegevens van bijvoorbeeld medewerkers, leveranciers en klanten. Alle organisaties zoals grote ondernemingen, mkb, stichtingen en coöperaties worden getroffen door de nieuwe regelgeving.

Wat betekenen de nieuwe privacyregels voor jouw organisatie?

1. De regelgeving is in de hele Europese Unie gelijk
De AVG is een verordening en niet slechts een EU-richtlijn. Hierdoor is de regelgeving overal gelijk. Positief dus voor organisaties die in meerdere landen opereren. Lokale overheden krijgen wel de kans om hier bovenop wetgeving te maken naar eigen behoefte omtrent de bescherming van persoonsgegevens. Een voorbeeld hiervan in Nederland is de Autoriteit Persoonsgegevens.

2. Ook gelding buiten de Europese Unie
De AVG geldt ook voor organisaties die niet in de Europese Unie (EU) gevestigd zijn, maar wel diensten of producten aanbieden binnen de EU of gedrag van individuen binnen de EU monitoren.

3. Hoge boetes kunnen worden opgelegd
Het zal per 25 mei 2018 toegestaan zijn om strenge sancties op te leggen. Deze boetes kunnen maximaal oplopen tot 20 miljoen euro of tot vier procent van de jaaromzet per overtreding. Ook wordt er in de AVG bepaald dat de lidstaten zelf sancties moeten bepalen en opleggen op inbreuken waarop geen sancties zijn bepaald in de AVG.

4. Registratie van verwerkingen van persoonsgegevens
Organisaties moeten nu zelf al hun verwerkingen van persoonsgegevens registreren. Je hoeft dit niet meer te melden bij de Autoriteit Persoonsgegevens. Zijn er meer dan 250 medewerkers in dienst of wordt er gevoelige data verwerkt? Dan moet je een register maken waarin de verschillende verwerkingen binnen de organisatie worden bijgehouden, inclusief het doel, de grondslag en de genomen beveiligingsmaatregelen.

5. Geldige toestemming bij verwerking persoonsgegevens
Toestemming voor verwerking van persoonsgegevens van de persoon in kwestie is noodzakelijk. Als organisatie moet je kunnen bewijzen dat je geldige toestemming hebt gekregen om die data te verwerken. In de AVG staat wat de voorwaarden zijn voor organisaties om geldige toestemming te verkrijgen.

6. Aanstellen van een Functionaris Gegevensbescherming
Jouw organisatie kan verplicht worden om een Functionaris Gegevensbescherming (ook wel Privacy Officer of Data Protection Officer genoemd) aan te stellen. Dit zal in ieder geval voor publieke instanties zijn en organisaties die stelselmatig op grote schaal personen observeren of bijzondere persoonsgegevens verwerken. De Functionaris Gegevensbescherming moet onafhankelijk kunnen functioneren en ziet toe op de omgang met persoonsgegevens binnen een organisatie.

7. Melding datalek in de hele EU verplicht
Organisaties worden verplicht om datalekken te melden. Deze meldplicht bestond al in de Nederlandse Wet Meldplicht Datalekken. Nederland liep dus enigszins voorop. Nu is deze meldplicht aan de AVG toegevoegd, zodat dit ook in andere landen gaat gelden. Indien er een datalek is, zal de toezichthouder ingelicht moeten worden. Daarnaast moet de betreffende persoon/personen van wie de gegevens zijn gelekt, ingelicht worden.

8. Vrijer gebruik van identificatienummers
Vrijer gebruik van identificatienummers wordt mogelijk gemaakt doordat het verbod op de verwerking van identificatienummers wordt opgeheven. Denk hierbij aan het Burgerservicenummer (BSN). Lokale overheden mogen wel aanvullende voorwaarden stellen aan het gebruik van identificatienummers.

9. Hoog privacyrisico? Privacy Impact Assessment verplicht
Levert een gegevensverwerking naar alle waarschijnlijkheid een hoog privacyrisico op? Dan ben je als organisatie verplicht om een Privacy Impact Assessment uit te voeren. Het doel hiervan is de gegevensverwerking in kaart te brengen en de eventuele risico’s die dit met zich brengt te verkleinen.

10. Het recht om vergeten te worden
De privacy van personen wordt door de AVG beter beschermd. Nu hebben personen het recht om een organisatie te vragen hun gegevens te verwijderen. Door de nieuwe regelgeving krijgen zij ook het recht om de organisatie te eisen de verwijdering door te geven aan alle andere organisaties die deze gegevens hebben gekregen. Dit wordt ook wel het ‘recht om vergeten te worden’ genoemd.

Privacy Experts LegalMatters.com

Nu al meer weten over wat jouw bedrijf moet doen op het gebied van privacy? De privacy experts van LegalMatters.com helpen je graag. Neem contact op met Vivianne de Wit of Bianca van den Tol via 088 – 6288 388 of privacy@legalmatters.com om jouw situatie te bespreken en een plan van aanpak te maken.

Opletten met overwerk wijziging WML!

Opletten met overwerk: wijziging WML!

Door Charlotte van Eeden | 18 apr 2018

Per 1 januari 2018 wijzigde de Wet minimumloon en minimumvakantiebijslag (WML). Vorig jaar is de…

Privacy en personeelszaken is jouw interne organisatie al privacyproof

Privacy en personeelszaken: is jouw interne organisatie al privacyproof?

Door Imme Jane Brand | 18 apr 2018

Zoals inmiddels wel bekend komt er een hoop kijken bij de invoering van de AVG.…

Het partnerverlof op de schop

Het partnerverlof op de schop

Door Jolien Mooij | 11 apr 2018

Nederland kent in vergelijking met andere landen in Europa een nogal zuinige regeling op het…

Het licentiebeding denk na over de formulering!

Het licentiebeding: denk na over de formulering!

Door Lennert Salome | 11 apr 2018

In een licentieovereenkomst geeft de ene partij aan de andere partij toestemming – een licentie…

Werknemer installeert bitcoinmachine en wordt ontslagen mag dat

Werknemer installeert stiekem een bitcoinmachine en wordt ontslagen: mag dat?

Door Charlotte van Eeden | 31 mrt 2018

Onlangs schreven wij al een artikel over het investeren in bitcoins, en wat hierbij mis…