De nieuwe privacywet: dit moet je weten voor 25 mei (5 vragen én antwoorden)

Met de start van het nieuwe jaar komt de inwerkingtreding van de nieuwe privacywetgeving van de ‘Algemene Verordening Gegevensbescherming’ (AVG) steeds dichterbij. Hier komt een hoop bij kijken. Waar komen jouw data bijvoorbeeld vandaan? En waar staat dit opgeslagen? Wie beschikt hier nog meer over? Op deze én andere vragen die van belang zijn voor ondernemers geeft onze privacyjurist Imme Jane Brand antwoord.
De nieuwe privacywet dit moet je weten voor 25 mei (5 vragen én antwoorden)
1. Waar staan jouw data?
Een eerste vereiste van de wet is dat je weet waar binnen je bedrijf de persoonsgegevens (van klanten en werknemers) vandaan komen en waar ze worden opgeslagen. Wanneer de nieuwe wetgeving van kracht gaat wil je uiteraard direct voldoen aan de eisen om boetes te voorkomen. Daarom is het ontzettend belangrijk dat bedrijven een duidelijk beeld hebben in hun ‘dataflows’. Dat wil zeggen: waar staan de data en waar komen deze data vandaan?

Om als bedrijf niet alleen aan alle nieuwe vereisten te voldoen, maar om ook te kunnen aantonen dat je daadwerkelijk aan alle nieuwe vereisten voldoet, houd je registers bij. Hierin staat waar persoonsgegevens worden bewaard, en of ze van de betrokken personen zelf komen of van andere partijen.

2. Hoe verkrijg je jouw data?
Naast inzicht in je dataflows is het ook belangrijk dat je weet op welke gronden de data worden verkregen. Dat wil zeggen: op welke wettelijke grond verzamelt jouw bedrijf gegevens? Is er toestemming voor het verkrijgen van de persoonsgegevens en zo ja, heb je dat gedocumenteerd? Of zijn de gegevens binnengekomen op een andere legale grond? Dit moet goed worden vastgelegd. Zodra de AVG van kracht gaat wil je uiteraard dat er binnen je bedrijf alleen op wettelijk toegestane gronden gegevens worden verzameld, of dat steeds uitdrukkelijk én expliciet toestemming is gegeven door betrokkenen voor het bewaren en verwerken van persoonsgegevens.

Dit betekent dat je binnen jouw bedrijf bestaande gronden en methodes voor het verwerken en het verkrijgen van toestemming onder de loep moet nemen. Ben je daarnaast van plan om je huidige database van persoonsgegevens in te zetten voor nieuwe of andere doeleinden (zoals bijvoorbeeld marketing)? Dan moet je hiervoor eerst toestemming vragen aan de personen van wie jij gegevens verzamelt en verwerkt.

3. Wie beschikt nog meer over de persoonsgegevens?
De AVG schrijft ook voor dat voor jou als bedrijf duidelijk is met wie of welke partijen alle bestaande persoonsgegevens worden gedeeld. Als jouw bedrijf persoonsgegevens bezit mogen deze namelijk niet zomaar aan derden worden doorgegeven. Je klantenbestand mag dus niet worden gedeeld met bijvoorbeeld een bedrijf dat voor jou marketingbrieven verstuurt. Het is dus van belang dat je weet met wie of welke partijen persoonsgegevens worden gedeeld, en of de betrokken personen hier ook van op de hoogte zijn. Zeker met het oog op de hogere boetes en strenge maatregelen in de AVG!

4. Wat moet ik nog regelen?
Belangrijk om bij stil te staan is verder wat voor beleidsregels en/of overeenkomsten jouw bedrijf nog moet opstellen om te voldoen aan de eisen van de AVG. Heeft je bedrijf bijvoorbeeld de benodigde afspraken gemaakt met zowel interne als externe partijen?

Denk hierbij bijvoorbeeld aan het volgende:

  • Leg in beleidsregels vast hoe je datalekken herkent en hoe werknemers moeten handelen als zoiets voorkomt;
  • Breng in kaart hoe het zit met de regels rondom privacy van nieuwe producten en services. Gebruik hiervoor een zogenaamd ‘Privacy Impact Assessment’: hiermee worden risico’s van nieuwe systemen of nieuwe processen geanalyseerd;
  • Zorg daarnaast voor een privacyverklaring voor je website, waarmee je je klanten inzicht en helderheid geeft in je activiteiten;
  • Denk ook aan bewerkersovereenkomsten met derden die voor je bedrijf gegevens verwerken of opslaan. Het is daarnaast ook mogelijk dat al bestaande bewerkersovereenkomsten aangepast moeten worden met oog op de strengere vereisten van de nieuwe wetgeving.

Kortom: genoeg om aan te denken!

5. Waarom moet ik dit eigenlijk regelen?
Je bedrijf moet voorbereid zijn op eventuele vragen van betrokkenen – of zelfs van de Autoriteit Persoonsgegevens – over het opslaan en/of verwerken van persoonsgegevens. De nieuwe wetgeving biedt aan betrokkenen namelijk meer mogelijkheden en dus bescherming om hun persoonsgegevens in te zien, te wijzigen of zelfs te laten verwijderen.

Daarnaast krijgt de Autoriteit Persoonsgegevens veel meer bevoegdheden dan momenteel het geval is. Als bedrijf is het daarom van belang dat je in staat bent om op vragen van betrokkenen of de Autoriteit Persoonsgegevens in te gaan, en dat je adequaat  op dergelijke verzoeken kunt reageren. In sommige gevallen word je zelfs verplicht om een ‘Data Protection Officer’ (Functionaris voor Gegevensbescherming) aan te stellen om bijvoorbeeld betrokkenen te kunnen informeren over de verwerking van persoonsgegevens binnen je bedrijf, maar ook om jou en je bedrijf te kunnen adviseren omtrent naleving van de AVG. Hier kun je intern iemand voor aannemen, maar dit mag ook een externe partij of persoon zijn zoals LegalMatters.com.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 2018? Met onze gratis privacy check kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving van 25 mei 2018. Of heb je andere vragen over privacy(wetgeving)? Neem dan contact met mij op per e-mail brand@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Imme Jane Brand

Mis niets meer, ontvang wekelijks het laatste juridische nieuws!

Waarom Capri Sun haar vormmerk kwijtraakte

Waarom Capri Sun haar vormmerk kwijtraakte. Vrijbrief om de nietigheid van haar modelregistraties in te roepen?

Door Roos Sibbes | juli 31, 2019

Capri Sun, producent van kinderdrankjes in de bekende sta-zakjes, raakt haar vormmerk kwijt. Wat betekent dat in de praktijk?   Wat speelde zich af? Capri Sun Ag (hierna: Capri Sun) brengt kindervruchtensappen in de bekende ‘sta-zakjes’ op de markt onder het merk CAPRI SUN. Capri Sun heeft in 1997 een Internationale aanvraag voor een vormmerk…

Intersnack kraakt een harde noot met het merkrecht op Tijgernootjes

Intersnack kraakt een harde noot met het merkrecht op Tijgernootjes

Door Bodil Koppejan | juli 10, 2019

Iedereen kent de lekkernij wel van een feestje of van een gezellig avondje op de bank: het Tijgernootje. Sinds 1993 produceert en verhandelt Frito-Lay, eigenaar van Duyvis, de welbekende pinda waarvan de buitenste laag twee verschillende kleuren heeft waardoor er een tijgerpatroon ontstaat. Onlangs boog de rechtbank Gelderland zich over een zaak waarin het uiterlijk…

Koop is koop

De man met de hamer: koop is koop!

Door Babette van de Venne | juli 17, 2019

Op grond van de wet moet aan twee ‘simpele’ vereisten worden voldaan om een rechtsgeldige overeenkomst tot stand te laten komen. Er moet sprake zijn van een aanbod en van de aanvaarding van dat aanbod. Dit klinkt heel simpel, maar vaak ligt het toch iets genuanceerder dan dat. Een goed voorbeeld hiervan is de zaak…

#4, Vakblad Aannemer, waarschuwingsplicht

‘Er blijft weinig over van de eerste etage’: voldoende waarschuwing?

Door Babette van de Venne | april 30, 2019

Bij het uitvoeren van aannemingswerkzaamheden kan schade ontstaan. De opdrachtgever stelt zich in zo’n geval vaak op het standpunt dat er sprake is van wanprestatie, en houdt de aannemer aansprakelijk voor de schade. Aansprakelijk zijn voor schade vindt niemand prettig en zeker niet als de schade groot is. Daarom proberen aannemers hun aansprakelijkheid vaak contractueel…