De nieuwe privacywet: dit moet je weten voor 25 mei (5 vragen én antwoorden)

Met de start van het nieuwe jaar komt de inwerkingtreding van de nieuwe privacywetgeving van de ‘Algemene Verordening Gegevensbescherming’ (AVG) steeds dichterbij. Hier komt een hoop bij kijken. Waar komen jouw data bijvoorbeeld vandaan? En waar staat dit opgeslagen? Wie beschikt hier nog meer over? Op deze én andere vragen die van belang zijn voor ondernemers geeft onze privacyjurist Imme Jane Brand antwoord.
De nieuwe privacywet dit moet je weten voor 25 mei (5 vragen én antwoorden)
1. Waar staan jouw data?
Een eerste vereiste van de wet is dat je weet waar binnen je bedrijf de persoonsgegevens (van klanten en werknemers) vandaan komen en waar ze worden opgeslagen. Wanneer de nieuwe wetgeving van kracht gaat wil je uiteraard direct voldoen aan de eisen om boetes te voorkomen. Daarom is het ontzettend belangrijk dat bedrijven een duidelijk beeld hebben in hun ‘dataflows’. Dat wil zeggen: waar staan de data en waar komen deze data vandaan?

Om als bedrijf niet alleen aan alle nieuwe vereisten te voldoen, maar om ook te kunnen aantonen dat je daadwerkelijk aan alle nieuwe vereisten voldoet, houd je registers bij. Hierin staat waar persoonsgegevens worden bewaard, en of ze van de betrokken personen zelf komen of van andere partijen.

2. Hoe verkrijg je jouw data?
Naast inzicht in je dataflows is het ook belangrijk dat je weet op welke gronden de data worden verkregen. Dat wil zeggen: op welke wettelijke grond verzamelt jouw bedrijf gegevens? Is er toestemming voor het verkrijgen van de persoonsgegevens en zo ja, heb je dat gedocumenteerd? Of zijn de gegevens binnengekomen op een andere legale grond? Dit moet goed worden vastgelegd. Zodra de AVG van kracht gaat wil je uiteraard dat er binnen je bedrijf alleen op wettelijk toegestane gronden gegevens worden verzameld, of dat steeds uitdrukkelijk én expliciet toestemming is gegeven door betrokkenen voor het bewaren en verwerken van persoonsgegevens.

Dit betekent dat je binnen jouw bedrijf bestaande gronden en methodes voor het verwerken en het verkrijgen van toestemming onder de loep moet nemen. Ben je daarnaast van plan om je huidige database van persoonsgegevens in te zetten voor nieuwe of andere doeleinden (zoals bijvoorbeeld marketing)? Dan moet je hiervoor eerst toestemming vragen aan de personen van wie jij gegevens verzamelt en verwerkt.

3. Wie beschikt nog meer over de persoonsgegevens?
De AVG schrijft ook voor dat voor jou als bedrijf duidelijk is met wie of welke partijen alle bestaande persoonsgegevens worden gedeeld. Als jouw bedrijf persoonsgegevens bezit mogen deze namelijk niet zomaar aan derden worden doorgegeven. Je klantenbestand mag dus niet worden gedeeld met bijvoorbeeld een bedrijf dat voor jou marketingbrieven verstuurt. Het is dus van belang dat je weet met wie of welke partijen persoonsgegevens worden gedeeld, en of de betrokken personen hier ook van op de hoogte zijn. Zeker met het oog op de hogere boetes en strenge maatregelen in de AVG!

4. Wat moet ik nog regelen?
Belangrijk om bij stil te staan is verder wat voor beleidsregels en/of overeenkomsten jouw bedrijf nog moet opstellen om te voldoen aan de eisen van de AVG. Heeft je bedrijf bijvoorbeeld de benodigde afspraken gemaakt met zowel interne als externe partijen?

Denk hierbij bijvoorbeeld aan het volgende:

  • Leg in beleidsregels vast hoe je datalekken herkent en hoe werknemers moeten handelen als zoiets voorkomt;
  • Breng in kaart hoe het zit met de regels rondom privacy van nieuwe producten en services. Gebruik hiervoor een zogenaamd ‘Privacy Impact Assessment’: hiermee worden risico’s van nieuwe systemen of nieuwe processen geanalyseerd;
  • Zorg daarnaast voor een privacyverklaring voor je website, waarmee je je klanten inzicht en helderheid geeft in je activiteiten;
  • Denk ook aan bewerkersovereenkomsten met derden die voor je bedrijf gegevens verwerken of opslaan. Het is daarnaast ook mogelijk dat al bestaande bewerkersovereenkomsten aangepast moeten worden met oog op de strengere vereisten van de nieuwe wetgeving.

Kortom: genoeg om aan te denken!

5. Waarom moet ik dit eigenlijk regelen?
Je bedrijf moet voorbereid zijn op eventuele vragen van betrokkenen – of zelfs van de Autoriteit Persoonsgegevens – over het opslaan en/of verwerken van persoonsgegevens. De nieuwe wetgeving biedt aan betrokkenen namelijk meer mogelijkheden en dus bescherming om hun persoonsgegevens in te zien, te wijzigen of zelfs te laten verwijderen.

Daarnaast krijgt de Autoriteit Persoonsgegevens veel meer bevoegdheden dan momenteel het geval is. Als bedrijf is het daarom van belang dat je in staat bent om op vragen van betrokkenen of de Autoriteit Persoonsgegevens in te gaan, en dat je adequaat  op dergelijke verzoeken kunt reageren. In sommige gevallen word je zelfs verplicht om een ‘Data Protection Officer’ (Functionaris voor Gegevensbescherming) aan te stellen om bijvoorbeeld betrokkenen te kunnen informeren over de verwerking van persoonsgegevens binnen je bedrijf, maar ook om jou en je bedrijf te kunnen adviseren omtrent naleving van de AVG. Hier kun je intern iemand voor aannemen, maar dit mag ook een externe partij of persoon zijn zoals LegalMatters.com.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 2018? Met onze gratis privacy check kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving van 25 mei 2018. Of heb je andere vragen over privacy(wetgeving)? Neem dan contact met mij op per e-mail brand@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Imme Jane Brand

Mis niets meer, ontvang wekelijks het laatste juridische nieuws!

Bestuurder BV handelt onrechtmatig wat nu

Bestuurder BV handelt onrechtmatig: wat nu?

Door Michel Zaaijer | augustus 22, 2018

Een BV kan aansprakelijk zijn voor schade omdat contractuele of wettelijke verplichtingen worden geschonden. Naast de BV kan de bestuurder achter de BV evengoed aansprakelijk zijn voor schade. Het gebeurt steeds vaker dat bij schade de bestuurder wordt aangesproken als diegene – gelet op zijn wettelijke taakuitoefening – onzorgvuldig of onbehoorlijk handelt. Als vast komt…

Het stuiten van de verjaring van een geldvordering hoe zit dat

Het stuiten van de verjaring van een geldvordering: hoe zit dat?

Door Puk Birnie | augustus 3, 2018

Onlangs behandelden wij al de uitspraak waarin de rechtbank oordeelde dat een bank niet aansprakelijk is als een rekeninghouder geld naar een verkeerde rekening overboekt. Deze vorm van onverschuldigde betaling valt onder de eigen verantwoordelijkheid. Op 18 juli 2018 deed de rechtbank Midden-Nederland wederom een uitspraak over de onverschuldigde betaling. Ditmaal met een iets andere…

Opgelet bij het ontbinden van overeenkomsten!

Opgelet bij het ontbinden van overeenkomsten!

Door Puk Birnie | juli 11, 2018

Het gebeurt dagelijks: het sluiten van overeenkomsten. Helaas ontstaan er ook problemen bij de uitvoering van overeenkomsten. Zo kan een aannemer slecht werk leveren, of een product niet voldoen aan de verwachtingen.  Veel mensen houden vast aan de gedachte dat men altijd de overeenkomst nog kan ontbinden. Toch werkt het in de praktijk niet zo.…

Bedrag overgemaakt naar verkeerde ontvanger wat nu

Bedrag overgemaakt naar verkeerde ontvanger: wat nu?

Door Puk Birnie | juni 12, 2018

Als ondernemer zijn financiële handelingen aan de orde van de dag. Met een alerte controller in dienst worden fouten niet snel gemaakt. Toch kan het gebeuren dat je een geldbedrag per ongeluk naar een verkeerd rekeningnummer overmaakt. Onlangs deed de rechtbank Amsterdam uitspraak in een zaak betreffende een zogeheten ‘onverschuldigde betaling’. De zaak kwam groot…