De nieuwe privacywet: dit moet je weten voor 25 mei (5 vragen én antwoorden)

Met de start van het nieuwe jaar komt de inwerkingtreding van de nieuwe privacywetgeving van de ‘Algemene Verordening Gegevensbescherming’ (AVG) steeds dichterbij. Hier komt een hoop bij kijken. Waar komen jouw data bijvoorbeeld vandaan? En waar staat dit opgeslagen? Wie beschikt hier nog meer over? Op deze én andere vragen die van belang zijn voor ondernemers geeft onze privacyjurist Imme Jane Brand antwoord.
De nieuwe privacywet dit moet je weten voor 25 mei (5 vragen én antwoorden)
1. Waar staan jouw data?
Een eerste vereiste van de wet is dat je weet waar binnen je bedrijf de persoonsgegevens (van klanten en werknemers) vandaan komen en waar ze worden opgeslagen. Wanneer de nieuwe wetgeving van kracht gaat wil je uiteraard direct voldoen aan de eisen om boetes te voorkomen. Daarom is het ontzettend belangrijk dat bedrijven een duidelijk beeld hebben in hun ‘dataflows’. Dat wil zeggen: waar staan de data en waar komen deze data vandaan?

Om als bedrijf niet alleen aan alle nieuwe vereisten te voldoen, maar om ook te kunnen aantonen dat je daadwerkelijk aan alle nieuwe vereisten voldoet, houd je registers bij. Hierin staat waar persoonsgegevens worden bewaard, en of ze van de betrokken personen zelf komen of van andere partijen.

2. Hoe verkrijg je jouw data?
Naast inzicht in je dataflows is het ook belangrijk dat je weet op welke gronden de data worden verkregen. Dat wil zeggen: op welke wettelijke grond verzamelt jouw bedrijf gegevens? Is er toestemming voor het verkrijgen van de persoonsgegevens en zo ja, heb je dat gedocumenteerd? Of zijn de gegevens binnengekomen op een andere legale grond? Dit moet goed worden vastgelegd. Zodra de AVG van kracht gaat wil je uiteraard dat er binnen je bedrijf alleen op wettelijk toegestane gronden gegevens worden verzameld, of dat steeds uitdrukkelijk én expliciet toestemming is gegeven door betrokkenen voor het bewaren en verwerken van persoonsgegevens.

Dit betekent dat je binnen jouw bedrijf bestaande gronden en methodes voor het verwerken en het verkrijgen van toestemming onder de loep moet nemen. Ben je daarnaast van plan om je huidige database van persoonsgegevens in te zetten voor nieuwe of andere doeleinden (zoals bijvoorbeeld marketing)? Dan moet je hiervoor eerst toestemming vragen aan de personen van wie jij gegevens verzamelt en verwerkt.

3. Wie beschikt nog meer over de persoonsgegevens?
De AVG schrijft ook voor dat voor jou als bedrijf duidelijk is met wie of welke partijen alle bestaande persoonsgegevens worden gedeeld. Als jouw bedrijf persoonsgegevens bezit mogen deze namelijk niet zomaar aan derden worden doorgegeven. Je klantenbestand mag dus niet worden gedeeld met bijvoorbeeld een bedrijf dat voor jou marketingbrieven verstuurt. Het is dus van belang dat je weet met wie of welke partijen persoonsgegevens worden gedeeld, en of de betrokken personen hier ook van op de hoogte zijn. Zeker met het oog op de hogere boetes en strenge maatregelen in de AVG!

4. Wat moet ik nog regelen?
Belangrijk om bij stil te staan is verder wat voor beleidsregels en/of overeenkomsten jouw bedrijf nog moet opstellen om te voldoen aan de eisen van de AVG. Heeft je bedrijf bijvoorbeeld de benodigde afspraken gemaakt met zowel interne als externe partijen?

Denk hierbij bijvoorbeeld aan het volgende:

  • Leg in beleidsregels vast hoe je datalekken herkent en hoe werknemers moeten handelen als zoiets voorkomt;
  • Breng in kaart hoe het zit met de regels rondom privacy van nieuwe producten en services. Gebruik hiervoor een zogenaamd ‘Privacy Impact Assessment’: hiermee worden risico’s van nieuwe systemen of nieuwe processen geanalyseerd;
  • Zorg daarnaast voor een privacyverklaring voor je website, waarmee je je klanten inzicht en helderheid geeft in je activiteiten;
  • Denk ook aan bewerkersovereenkomsten met derden die voor je bedrijf gegevens verwerken of opslaan. Het is daarnaast ook mogelijk dat al bestaande bewerkersovereenkomsten aangepast moeten worden met oog op de strengere vereisten van de nieuwe wetgeving.

Kortom: genoeg om aan te denken!

5. Waarom moet ik dit eigenlijk regelen?
Je bedrijf moet voorbereid zijn op eventuele vragen van betrokkenen – of zelfs van de Autoriteit Persoonsgegevens – over het opslaan en/of verwerken van persoonsgegevens. De nieuwe wetgeving biedt aan betrokkenen namelijk meer mogelijkheden en dus bescherming om hun persoonsgegevens in te zien, te wijzigen of zelfs te laten verwijderen.

Daarnaast krijgt de Autoriteit Persoonsgegevens veel meer bevoegdheden dan momenteel het geval is. Als bedrijf is het daarom van belang dat je in staat bent om op vragen van betrokkenen of de Autoriteit Persoonsgegevens in te gaan, en dat je adequaat  op dergelijke verzoeken kunt reageren. In sommige gevallen word je zelfs verplicht om een ‘Data Protection Officer’ (Functionaris voor Gegevensbescherming) aan te stellen om bijvoorbeeld betrokkenen te kunnen informeren over de verwerking van persoonsgegevens binnen je bedrijf, maar ook om jou en je bedrijf te kunnen adviseren omtrent naleving van de AVG. Hier kun je intern iemand voor aannemen, maar dit mag ook een externe partij of persoon zijn zoals LegalMatters.com.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 2018? Met onze gratis privacy check kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving van 25 mei 2018. Of heb je andere vragen over privacy(wetgeving)? Neem dan contact met mij op per e-mail brand@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Imme Jane Brand

Wekelijks op de hoogte blijven van juridisch nieuws?

Bedrag overgemaakt naar verkeerde ontvanger wat nu

Bedrag overgemaakt naar verkeerde ontvanger: wat nu?

Door Puk Birnie | juni 12, 2018

Als ondernemer zijn financiële handelingen aan de orde van de dag. Met een alerte controller in dienst worden fouten niet snel gemaakt. Toch kan het gebeuren dat je een geldbedrag per ongeluk naar een verkeerd rekeningnummer overmaakt. Onlangs deed de rechtbank Amsterdam uitspraak in een zaak betreffende een zogeheten ‘onverschuldigde betaling’. De zaak kwam groot…

De 7 stappen die jij móet nemen als jouw werknemer ziek is

De 7 stappen die jij móet nemen als jouw werknemer ziek is

Door Charlotte van Eeden | juni 6, 2018

Helaas horen bij het ondernemerschap ook minder leuke kanten. Zo kan het gebeuren dat één van jouw werknemers ziek wordt. Naast het feit dat dat voor de werknemer uiterst vervelend is, brengt het voor jou als werkgever ook een hoop kosten met zich mee. Als je daarnaast de plichten vanuit de Wet Poortwachter niet (goed)…

#5, Vakblad Aannemer, vervangende schadevergoeding.LegalMatters

Waar kan jouw opdrachtgever aanspraak op maken bij gebreken?

Door Charlotte van Eeden | juni 4, 2018

Waar gehakt wordt, vallen spaanders. Als een opdrachtgever niet tevreden is over het door jou opgeleverde werk, kan hij in plaats van herstel ook schadevergoeding vorderen. Maar niet zomaar! Onze jurist Charlotte van Eeden legt tegenover Vakblad Aannemer uit hoe het precies zit.

De 7 belangrijkste regels over vakantiedagen

Door Charlotte van Eeden | mei 9, 2018

  De 7 belangrijkste regels over vakantiedagen Voor veel bedrijven zijn de zomermaanden komkommertijd. De meeste werknemers hebben hun vakantieaanvragen dan ook al ingediend. Maar hoe zit het nu ook alweer met de vakantieregels? De meest gestelde vragen èn antwoorden van ondernemers hebben we voor je op een rij gezet. 1. Hoeveel vakantiedagen hebben werknemers?…