Hoge boetes voorkomen? Maak jouw organisatie nu privacy proof

Hoge boetes voorkomen? Maak jouw organisatie nu privacy proof

Door nieuwe privacyregels kunnen bedrijven binnenkort worden gestraft met boetes van wel 20 miljoen euro. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, waarschuwde onlangs in Het Financieele Dagblad voor streng toezicht. Riskeer geen hoge boetes en maak jouw organisatie nu privacy proof als je dit nog niet hebt geregeld.

Nieuwe privacyregels

Aan de bescherming van privacy wordt in de huidige tijd steeds meer waarde gehecht. Dat gaat gepaard met voortdurend veranderende regels die ook strenge sancties mogelijk maken. Op 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) van kracht zijn. Deze Europese verordening heeft gevolgen voor hoe bedrijven moeten omgaan met persoonsgegevens van bijvoorbeeld medewerkers, leveranciers en klanten. Alle organisaties zoals grote ondernemingen, mkb, stichtingen en coöperaties worden getroffen door de nieuwe regelgeving.

Wat betekenen de nieuwe privacyregels voor jouw organisatie?

1. De regelgeving is in de hele Europese Unie gelijk
De AVG is een verordening en niet slechts een EU-richtlijn. Hierdoor is de regelgeving overal gelijk. Positief dus voor organisaties die in meerdere landen opereren. Lokale overheden krijgen wel de kans om hier bovenop wetgeving te maken naar eigen behoefte omtrent de bescherming van persoonsgegevens. Een voorbeeld hiervan in Nederland is de Autoriteit Persoonsgegevens.

2. Ook gelding buiten de Europese Unie
De AVG geldt ook voor organisaties die niet in de Europese Unie (EU) gevestigd zijn, maar wel diensten of producten aanbieden binnen de EU of gedrag van individuen binnen de EU monitoren.

3. Hoge boetes kunnen worden opgelegd
Het zal per 25 mei 2018 toegestaan zijn om strenge sancties op te leggen. Deze boetes kunnen maximaal oplopen tot 20 miljoen euro of tot vier procent van de jaaromzet per overtreding. Ook wordt er in de AVG bepaald dat de lidstaten zelf sancties moeten bepalen en opleggen op inbreuken waarop geen sancties zijn bepaald in de AVG.

4. Registratie van verwerkingen van persoonsgegevens
Organisaties moeten nu zelf al hun verwerkingen van persoonsgegevens registreren. Je hoeft dit niet meer te melden bij de Autoriteit Persoonsgegevens. Zijn er meer dan 250 medewerkers in dienst of wordt er gevoelige data verwerkt? Dan moet je een register maken waarin de verschillende verwerkingen binnen de organisatie worden bijgehouden, inclusief het doel, de grondslag en de genomen beveiligingsmaatregelen.

5. Geldige toestemming bij verwerking persoonsgegevens
Toestemming voor verwerking van persoonsgegevens van de persoon in kwestie is noodzakelijk. Als organisatie moet je kunnen bewijzen dat je geldige toestemming hebt gekregen om die data te verwerken. In de AVG staat wat de voorwaarden zijn voor organisaties om geldige toestemming te verkrijgen.

6. Aanstellen van een Functionaris Gegevensbescherming
Jouw organisatie kan verplicht worden om een Functionaris Gegevensbescherming (ook wel Privacy Officer of Data Protection Officer genoemd) aan te stellen. Dit zal in ieder geval voor publieke instanties zijn en organisaties die stelselmatig op grote schaal personen observeren of bijzondere persoonsgegevens verwerken. De Functionaris Gegevensbescherming moet onafhankelijk kunnen functioneren en ziet toe op de omgang met persoonsgegevens binnen een organisatie.

7. Melding datalek in de hele EU verplicht
Organisaties worden verplicht om datalekken te melden. Deze meldplicht bestond al in de Nederlandse Wet Meldplicht Datalekken. Nederland liep dus enigszins voorop. Nu is deze meldplicht aan de AVG toegevoegd, zodat dit ook in andere landen gaat gelden. Indien er een datalek is, zal de toezichthouder ingelicht moeten worden. Daarnaast moet de betreffende persoon/personen van wie de gegevens zijn gelekt, ingelicht worden.

8. Vrijer gebruik van identificatienummers
Vrijer gebruik van identificatienummers wordt mogelijk gemaakt doordat het verbod op de verwerking van identificatienummers wordt opgeheven. Denk hierbij aan het Burgerservicenummer (BSN). Lokale overheden mogen wel aanvullende voorwaarden stellen aan het gebruik van identificatienummers.

9. Hoog privacyrisico? Privacy Impact Assessment verplicht
Levert een gegevensverwerking naar alle waarschijnlijkheid een hoog privacyrisico op? Dan ben je als organisatie verplicht om een Privacy Impact Assessment uit te voeren. Het doel hiervan is de gegevensverwerking in kaart te brengen en de eventuele risico’s die dit met zich brengt te verkleinen.

10. Het recht om vergeten te worden
De privacy van personen wordt door de AVG beter beschermd. Nu hebben personen het recht om een organisatie te vragen hun gegevens te verwijderen. Door de nieuwe regelgeving krijgen zij ook het recht om de organisatie te eisen de verwijdering door te geven aan alle andere organisaties die deze gegevens hebben gekregen. Dit wordt ook wel het ‘recht om vergeten te worden’ genoemd.

Privacy Experts LegalMatters.com

Nu al meer weten over wat jouw bedrijf moet doen op het gebied van privacy? De privacy experts van LegalMatters.com helpen je graag. Neem contact op met Vivianne de Wit of Bianca van den Tol via 088 – 6288 388 of privacy@legalmatters.com om jouw situatie te bespreken en een plan van aanpak te maken.

Werkgever spreekt finale kwijting af met frauderende werknemer hoe zit dat

Werkgever spreekt finale kwijting af met frauderende werknemer: wat nu?

Door Charlotte van Eeden | 19 sep 2018

Soms komen werkgever en werknemer samen tot de conclusie dat de samenwerking niet meer goed…

De reflexwerking van algemene voorwaarden

De reflexwerking van algemene voorwaarden

Door Matthijs Roos | 29 aug 2018

Consumenten worden in het Nederlandse recht goed beschermd. Zo kunnen consumenten ná het sluiten van…

Aannemingsovereenkomst vs. overeenkomst van opdracht

Aannemingsovereenkomst vs. overeenkomst van opdracht

Door Lizzy Jansen | 29 aug 2018

Als ondernemer kun je verschillende soorten overeenkomsten sluiten met andere partijen. Het is daarbij van…

Hoge Raad géén doorbetaling loon na ontslag op staande voet!

Hoge Raad: géén doorbetaling loon na ontslag op staande voet!

Door Jolien Mooij | 29 aug 2018

Bij een ontslag staande voet eindigt de arbeidsovereenkomst per direct en staakt de werkgever direct…

Werknemer ontslagen om onjuiste informatie op LinkedInprofiel mag dat

Werknemer ontslagen om onjuiste informatie op LinkedInprofiel: mag dat?

Door Daisy Kruijver | 22 aug 2018

LinkedIn is niet meer weg te denken uit de huidige moderne samenleving, waarin het gebruik…