De nieuwe privacywet: dit moet je weten voor 25 mei (5 vragen én antwoorden)

Met de start van het nieuwe jaar komt de inwerkingtreding van de nieuwe privacywetgeving van de ‘Algemene Verordening Gegevensbescherming’ (AVG) steeds dichterbij. Hier komt een hoop bij kijken. Waar komen jouw data bijvoorbeeld vandaan? En waar staat dit opgeslagen? Wie beschikt hier nog meer over? Op deze én andere vragen die van belang zijn voor ondernemers geeft onze privacyjurist Imme Jane Brand antwoord.
De nieuwe privacywet dit moet je weten voor 25 mei (5 vragen én antwoorden)
1. Waar staan jouw data?
Een eerste vereiste van de wet is dat je weet waar binnen je bedrijf de persoonsgegevens (van klanten en werknemers) vandaan komen en waar ze worden opgeslagen. Wanneer de nieuwe wetgeving van kracht gaat wil je uiteraard direct voldoen aan de eisen om boetes te voorkomen. Daarom is het ontzettend belangrijk dat bedrijven een duidelijk beeld hebben in hun ‘dataflows’. Dat wil zeggen: waar staan de data en waar komen deze data vandaan?

Om als bedrijf niet alleen aan alle nieuwe vereisten te voldoen, maar om ook te kunnen aantonen dat je daadwerkelijk aan alle nieuwe vereisten voldoet, houd je registers bij. Hierin staat waar persoonsgegevens worden bewaard, en of ze van de betrokken personen zelf komen of van andere partijen.

2. Hoe verkrijg je jouw data?
Naast inzicht in je dataflows is het ook belangrijk dat je weet op welke gronden de data worden verkregen. Dat wil zeggen: op welke wettelijke grond verzamelt jouw bedrijf gegevens? Is er toestemming voor het verkrijgen van de persoonsgegevens en zo ja, heb je dat gedocumenteerd? Of zijn de gegevens binnengekomen op een andere legale grond? Dit moet goed worden vastgelegd. Zodra de AVG van kracht gaat wil je uiteraard dat er binnen je bedrijf alleen op wettelijk toegestane gronden gegevens worden verzameld, of dat steeds uitdrukkelijk én expliciet toestemming is gegeven door betrokkenen voor het bewaren en verwerken van persoonsgegevens.

Dit betekent dat je binnen jouw bedrijf bestaande gronden en methodes voor het verwerken en het verkrijgen van toestemming onder de loep moet nemen. Ben je daarnaast van plan om je huidige database van persoonsgegevens in te zetten voor nieuwe of andere doeleinden (zoals bijvoorbeeld marketing)? Dan moet je hiervoor eerst toestemming vragen aan de personen van wie jij gegevens verzamelt en verwerkt.

3. Wie beschikt nog meer over de persoonsgegevens?
De AVG schrijft ook voor dat voor jou als bedrijf duidelijk is met wie of welke partijen alle bestaande persoonsgegevens worden gedeeld. Als jouw bedrijf persoonsgegevens bezit mogen deze namelijk niet zomaar aan derden worden doorgegeven. Je klantenbestand mag dus niet worden gedeeld met bijvoorbeeld een bedrijf dat voor jou marketingbrieven verstuurt. Het is dus van belang dat je weet met wie of welke partijen persoonsgegevens worden gedeeld, en of de betrokken personen hier ook van op de hoogte zijn. Zeker met het oog op de hogere boetes en strenge maatregelen in de AVG!

4. Wat moet ik nog regelen?
Belangrijk om bij stil te staan is verder wat voor beleidsregels en/of overeenkomsten jouw bedrijf nog moet opstellen om te voldoen aan de eisen van de AVG. Heeft je bedrijf bijvoorbeeld de benodigde afspraken gemaakt met zowel interne als externe partijen?

Denk hierbij bijvoorbeeld aan het volgende:

  • Leg in beleidsregels vast hoe je datalekken herkent en hoe werknemers moeten handelen als zoiets voorkomt;
  • Breng in kaart hoe het zit met de regels rondom privacy van nieuwe producten en services. Gebruik hiervoor een zogenaamd ‘Privacy Impact Assessment’: hiermee worden risico’s van nieuwe systemen of nieuwe processen geanalyseerd;
  • Zorg daarnaast voor een privacyverklaring voor je website, waarmee je je klanten inzicht en helderheid geeft in je activiteiten;
  • Denk ook aan bewerkersovereenkomsten met derden die voor je bedrijf gegevens verwerken of opslaan. Het is daarnaast ook mogelijk dat al bestaande bewerkersovereenkomsten aangepast moeten worden met oog op de strengere vereisten van de nieuwe wetgeving.

Kortom: genoeg om aan te denken!

5. Waarom moet ik dit eigenlijk regelen?
Je bedrijf moet voorbereid zijn op eventuele vragen van betrokkenen – of zelfs van de Autoriteit Persoonsgegevens – over het opslaan en/of verwerken van persoonsgegevens. De nieuwe wetgeving biedt aan betrokkenen namelijk meer mogelijkheden en dus bescherming om hun persoonsgegevens in te zien, te wijzigen of zelfs te laten verwijderen.

Daarnaast krijgt de Autoriteit Persoonsgegevens veel meer bevoegdheden dan momenteel het geval is. Als bedrijf is het daarom van belang dat je in staat bent om op vragen van betrokkenen of de Autoriteit Persoonsgegevens in te gaan, en dat je adequaat  op dergelijke verzoeken kunt reageren. In sommige gevallen word je zelfs verplicht om een ‘Data Protection Officer’ (Functionaris voor Gegevensbescherming) aan te stellen om bijvoorbeeld betrokkenen te kunnen informeren over de verwerking van persoonsgegevens binnen je bedrijf, maar ook om jou en je bedrijf te kunnen adviseren omtrent naleving van de AVG. Hier kun je intern iemand voor aannemen, maar dit mag ook een externe partij of persoon zijn zoals LegalMatters.com.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 2018? Met onze gratis privacy check kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving van 25 mei 2018. Of heb je andere vragen over privacy(wetgeving)? Neem dan contact met mij op per e-mail brand@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Imme Jane Brand

Wekelijks op de hoogte blijven van juridisch nieuws?

Opletten met overwerk wijziging WML!

Opletten met overwerk: wijziging WML!

Door Charlotte van Eeden | april 18, 2018

Per 1 januari 2018 wijzigde de Wet minimumloon en minimumvakantiebijslag (WML). Vorig jaar is de leeftijd waarop een werknemer recht heeft op het wettelijk minimumloon al aangepast van 23 jaar naar 22 jaar. Nu schrijft de wet andere regels voor met betrekking tot minimumloon en de vakantietoeslag bij overwerk. Wat veranderde er? Voor de wijziging…

Werknemer installeert bitcoinmachine en wordt ontslagen mag dat

Werknemer installeert stiekem een bitcoinmachine en wordt ontslagen: mag dat?

Door Charlotte van Eeden | maart 31, 2018

Onlangs schreven wij al een artikel over het investeren in bitcoins, en wat hierbij mis kan gaan. Nu bespreken wij een andere situatie: een werknemer installeerde voor het minen van bitcoins stiekem een machine op kantoor. Deze werknemer is op staande voet ontslagen. Is dit terecht? De feiten op een rij De werknemer werkte sinds…

#3, Vakblad Aannemer, Schade aan bedrijfseigendommen.LegalMatters

Schade aan bedrijfseigendommen

Door Charlotte van Eeden | maart 29, 2018

Werknemers bezitten vaak bedrijfseigendommen, zoals een bus vol gereedschap of een laptop. Maar wie betaalt als er als hier schade aan ontstaat? Onze jurist Charlotte van Eeden legt tegenover Vakblad Aannemer uit hoe het precies zit.

Rechter legt ICI PARIS over de knie: werkneemster onterecht op staande voet ontslagen

Door Charlotte van Eeden | februari 28, 2018

Onlangs publiceerden wij een artikel over Kruidvat die een medewerkster op staande voet ontsloeg, omdat zij een gratis crème gebruikte. Dat de rechter het ontslag goedkeurde, bleek toch niet zo verrassend. Nu is weer een werkneemster ontslagen, dit keer van ICI PARIS XL. Zij gaf haar broer proefjes en gifts mee toen hij een parfum…