Nog enkele dagen voor de AVG: ben jij er al klaar voor?

Het einde is in zicht: vanaf aankomende vrijdag handhaaft de Autoriteit Persoonsgegevens (AP) de AVG . Onlangs bleek dat zeven op de tien mkb-bedrijven op 25 mei 2018 niet klaar zijn voor de AVG. Dit is zorgwekkend, helemaal omdat onder de nieuwe wetgeving de AP extreem hoge boetes mag uitdelen. Zeker voor de kleinere bedrijven is dit gevaarlijk, want als een bedrijf failliet gaat naar aanleiding van een datalek wordt dit ook nog eens gezien als onbehoorlijk bestuur. Wat moet jij nog weten om up-to-date te zijn?

Uitzonderingsgevallen
Vanuit de mkb-hoek is de vraag gerezen of er voor de kleinere bedrijven een uitzondering kan worden gemaakt in het handhaven van de AVG. Deze vraag is door de AP stellig met ‘nee’ beantwoord. Een woordvoerder van de AP gaf aan dat het beschermen van de privacy en persoonsgegevens essentieel, en bovendien een grondrecht is. Mkb-bedrijven kunnen daarom ook geen lichter regime verwachten in de handhaving.

De wet maakt wél een uitzondering op de documentatieplicht (ook wel de registerplicht genoemd) voor bedrijven met minder dan 250 werknemers. Deze uitzondering geldt alleen niet in de volgende gevallen:

  • De verwerking(en) vormen (mogelijk) een risico voor de rechten en vrijheden van betrokkenen;
  • Het verwerken is niet incidenteel; of
  • Er worden bijzondere persoonsgegevens of persoonsgegevens met betrekking tot criminele veroordelingen/overtredingen verwerkt.

Hoewel er dus op papier sprake kan zijn van een uitzonderingsgeval, is in de praktijk altijd wel sprake van één van bovengenoemde drie situaties. In werkelijkheid komt het er dus vrijwel altijd op neer dat mkb-bedrijven alsnog gebonden zijn aan de documentatieplicht.

Moet jij nog flinke stappen maken op het gebied van gegevensbescherming? Houd dan de volgende drie punten in je achterhoofd.

1. Documentatieplicht
Om aan de documentatieplicht te voldoen, is het van belang dat jouw bedrijf een verwerkingsregister aanlegt waarin minstens de volgende onderwerpen zijn opgenomen:

  • De gegevens over de verantwoordelijke (of medeverantwoordelijke) van de organisatie;
  • Het doel van de verwerking van de persoonsgegevens;
  • Beschrijving van de categorieën van betrokkenen (zoals werknemers of klanten) en persoonsgegevens;
  • De bewaartermijnen van de persoonsgegevens;
  • De categorieën ontvangers waaraan persoonsgegevens ter beschikking gesteld zijn of worden (zoals providers, hosts, bepaalde leveranciers etc.), inclusief ontvangers in andere landen;
  • Een opgave van de doorgifte van persoonsgegevens naar andere landen of internationale organisaties, inclusief welke landen/organisaties;
  • Een beschrijving van de genomen technische en organisatorische maatregelen.

2. Maatwerk
De vrij algemene wetteksten van de AVG moeten op veel plekken nader ingevuld worden voor een goede toepassing. Zo zijn op Europees en zelfs nationaal niveau bijvoorbeeld maar weinig begrippen ingevuld. Vooral voor jongere en kleinere bedrijven in het mkb is het ontzettend belangrijk dat de invulling van de AVG op maat wordt gemaakt, op een manier die past bij hoe het bedrijf is ingericht op diverse technische en organisatorische manieren. Neem daarom zo spoedig mogelijk een privacyjurist in de arm die jou kan helpen bij het begrijpelijk en toepasbaar maken van de bepalingen van de AVG, zonder dat dit je bedrijfsvoering in de weg staat.

3. Continu bijhouden
Tot slot is het belangrijk om te weten dat de eisen die volgen uit de  AVG niet eenmalig zijn. Er is dus geen sprake van een eenmalige deadline. Ook als je het niveau van compliance hebt behaald is, het zaak dat je dit continu blijft bijhouden. Wil je bijvoorbeeld je huidige database van persoonsgegevens inzetten voor een nieuw doel? Dan moet je een Privacy Impact Assessment uitvoeren. Ga je samenwerken met een nieuwe aanbieder van diensten? Sluit dan een passende verwerkersovereenkomst af. Ook blijven technologieën en processen zich continu ontwikkelen waardoor (interne) maatregelen en veiligheidsvoorschriften frequent moeten worden gecontroleerd op compliance.

Check hier, hier, hier en hier onze andere blogs over privacywetgeving.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 25 mei 2018? Met onze gratis privacycheck kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving. Of heb je andere vragen over bovenstaand artikel of privacy(wetgeving)? Neem dan contact met mij op per e-mail brand@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Posted in ,

Imme Jane Brand

Mis niets meer, ontvang wekelijks het laatste juridische nieuws!

‘Er blijft weinig van de eerste etage van de woning over’ voldoende waarschuwing

‘Er blijft weinig over van de eerste etage’: voldoende waarschuwing?

Door Babette van de Venne | maart 4, 2019

Bij het uitvoeren van aannemingswerkzaamheden kan schade ontstaan. De opdrachtgever stelt zich in zo’n geval vaak op het standpunt dat er sprake is van wanprestatie, en houdt de aannemer aansprakelijk voor de schade. Aansprakelijk zijn voor schade vindt niemand prettig en zeker niet als de schade groot is. Daarom proberen aannemers hun aansprakelijkheid vaak contractueel…

De Wet bescherming bedrijfsgeheimen een waardevolle toevoeging

De Wet bescherming bedrijfsgeheimen: een waardevolle toevoeging?

Door Babette van de Venne | januari 30, 2019

Anno 2019 is het geheimhouden van bedrijfsinformatie een stuk ingewikkelder en complexer dan voorheen. Werknemers stappen vaker over naar een andere werkgever of ze beginnen voor zichzelf. Het komt dan ook met enige regelmaat voor dat een (oud-)werknemer vertrouwelijke informatie kopieert en lekt aan die nieuwe werkgever of aan de concurrent. Daarnaast speelt de digitalisering…

Een bedrogen bruid

Een bedrogen bruid?

Door Meike Dobbelaar | februari 27, 2019

Wanneer partijen een overeenkomst aangaan, bestaan er over en weer verplichtingen. Voor een geldige overeenkomst moeten de wil en verklaring van beide partijen met elkaar overeenstemmen. Maar er kunnen zich situaties voordoen waarin je geen behoefte meer hebt aan de afspraken met de ander. Bijvoorbeeld wanneer blijkt dat een overeenkomst onder invloed van een zogenaamd…

De Wet Affectieschade 4 vragen en antwoorden

De Wet Affectieschade: 4 vragen en antwoorden

Door Meike Dobbelaar | januari 23, 2019

Affectieschade: wat is het eigenlijk? Affectieschade is de immateriële schade die iemand lijdt doordat een persoon – waarmee men een affectieve band heeft – door toedoen van een ander ernstig gewond raakt of overlijdt. Deze immateriële schade kan bestaan uit leed, verdriet of gederfde levensvreugde. Met ingang van 1 januari 2019 zijn de artikelen 6:107…