Nog enkele dagen voor de AVG: ben jij er al klaar voor?

Het einde is in zicht: vanaf aankomende vrijdag handhaaft de Autoriteit Persoonsgegevens (AP) de AVG . Onlangs bleek dat zeven op de tien mkb-bedrijven op 25 mei 2018 niet klaar zijn voor de AVG. Dit is zorgwekkend, helemaal omdat onder de nieuwe wetgeving de AP extreem hoge boetes mag uitdelen. Zeker voor de kleinere bedrijven is dit gevaarlijk, want als een bedrijf failliet gaat naar aanleiding van een datalek wordt dit ook nog eens gezien als onbehoorlijk bestuur. Wat moet jij nog weten om up-to-date te zijn?

Uitzonderingsgevallen
Vanuit de mkb-hoek is de vraag gerezen of er voor de kleinere bedrijven een uitzondering kan worden gemaakt in het handhaven van de AVG. Deze vraag is door de AP stellig met ‘nee’ beantwoord. Een woordvoerder van de AP gaf aan dat het beschermen van de privacy en persoonsgegevens essentieel, en bovendien een grondrecht is. Mkb-bedrijven kunnen daarom ook geen lichter regime verwachten in de handhaving.

De wet maakt wél een uitzondering op de documentatieplicht (ook wel de registerplicht genoemd) voor bedrijven met minder dan 250 werknemers. Deze uitzondering geldt alleen niet in de volgende gevallen:

  • De verwerking(en) vormen (mogelijk) een risico voor de rechten en vrijheden van betrokkenen;
  • Het verwerken is niet incidenteel; of
  • Er worden bijzondere persoonsgegevens of persoonsgegevens met betrekking tot criminele veroordelingen/overtredingen verwerkt.

Hoewel er dus op papier sprake kan zijn van een uitzonderingsgeval, is in de praktijk altijd wel sprake van één van bovengenoemde drie situaties. In werkelijkheid komt het er dus vrijwel altijd op neer dat mkb-bedrijven alsnog gebonden zijn aan de documentatieplicht.

Moet jij nog flinke stappen maken op het gebied van gegevensbescherming? Houd dan de volgende drie punten in je achterhoofd.

1. Documentatieplicht
Om aan de documentatieplicht te voldoen, is het van belang dat jouw bedrijf een verwerkingsregister aanlegt waarin minstens de volgende onderwerpen zijn opgenomen:

  • De gegevens over de verantwoordelijke (of medeverantwoordelijke) van de organisatie;
  • Het doel van de verwerking van de persoonsgegevens;
  • Beschrijving van de categorieën van betrokkenen (zoals werknemers of klanten) en persoonsgegevens;
  • De bewaartermijnen van de persoonsgegevens;
  • De categorieën ontvangers waaraan persoonsgegevens ter beschikking gesteld zijn of worden (zoals providers, hosts, bepaalde leveranciers etc.), inclusief ontvangers in andere landen;
  • Een opgave van de doorgifte van persoonsgegevens naar andere landen of internationale organisaties, inclusief welke landen/organisaties;
  • Een beschrijving van de genomen technische en organisatorische maatregelen.

2. Maatwerk
De vrij algemene wetteksten van de AVG moeten op veel plekken nader ingevuld worden voor een goede toepassing. Zo zijn op Europees en zelfs nationaal niveau bijvoorbeeld maar weinig begrippen ingevuld. Vooral voor jongere en kleinere bedrijven in het mkb is het ontzettend belangrijk dat de invulling van de AVG op maat wordt gemaakt, op een manier die past bij hoe het bedrijf is ingericht op diverse technische en organisatorische manieren. Neem daarom zo spoedig mogelijk een privacyjurist in de arm die jou kan helpen bij het begrijpelijk en toepasbaar maken van de bepalingen van de AVG, zonder dat dit je bedrijfsvoering in de weg staat.

3. Continu bijhouden
Tot slot is het belangrijk om te weten dat de eisen die volgen uit de  AVG niet eenmalig zijn. Er is dus geen sprake van een eenmalige deadline. Ook als je het niveau van compliance hebt behaald is, het zaak dat je dit continu blijft bijhouden. Wil je bijvoorbeeld je huidige database van persoonsgegevens inzetten voor een nieuw doel? Dan moet je een Privacy Impact Assessment uitvoeren. Ga je samenwerken met een nieuwe aanbieder van diensten? Sluit dan een passende verwerkersovereenkomst af. Ook blijven technologieën en processen zich continu ontwikkelen waardoor (interne) maatregelen en veiligheidsvoorschriften frequent moeten worden gecontroleerd op compliance.

Check hier, hier, hier en hier onze andere blogs over privacywetgeving.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 25 mei 2018? Met onze gratis privacycheck kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving. Of heb je andere vragen over bovenstaand artikel of privacy(wetgeving)? Neem dan contact met mij op per e-mail brand@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Posted in ,

Imme Jane Brand

Wekelijks op de hoogte blijven van juridisch nieuws?

Bedrag overgemaakt naar verkeerde ontvanger wat nu

Bedrag overgemaakt naar verkeerde ontvanger: wat nu?

Door Puk Birnie | juni 12, 2018

Als ondernemer zijn financiële handelingen aan de orde van de dag. Met een alerte controller in dienst worden fouten niet snel gemaakt. Toch kan het gebeuren dat je een geldbedrag per ongeluk naar een verkeerd rekeningnummer overmaakt. Onlangs deed de rechtbank Amsterdam uitspraak in een zaak betreffende een zogeheten ‘onverschuldigde betaling’. De zaak kwam groot…

De 7 stappen die jij móet nemen als jouw werknemer ziek is

De 7 stappen die jij móet nemen als jouw werknemer ziek is

Door Charlotte van Eeden | juni 6, 2018

Helaas horen bij het ondernemerschap ook minder leuke kanten. Zo kan het gebeuren dat één van jouw werknemers ziek wordt. Naast het feit dat dat voor de werknemer uiterst vervelend is, brengt het voor jou als werkgever ook een hoop kosten met zich mee. Als je daarnaast de plichten vanuit de Wet Poortwachter niet (goed)…

#5, Vakblad Aannemer, vervangende schadevergoeding.LegalMatters

Waar kan jouw opdrachtgever aanspraak op maken bij gebreken?

Door Charlotte van Eeden | juni 4, 2018

Waar gehakt wordt, vallen spaanders. Als een opdrachtgever niet tevreden is over het door jou opgeleverde werk, kan hij in plaats van herstel ook schadevergoeding vorderen. Maar niet zomaar! Onze jurist Charlotte van Eeden legt tegenover Vakblad Aannemer uit hoe het precies zit.

De 7 belangrijkste regels over vakantiedagen

Door Charlotte van Eeden | mei 9, 2018

  De 7 belangrijkste regels over vakantiedagen Voor veel bedrijven zijn de zomermaanden komkommertijd. De meeste werknemers hebben hun vakantieaanvragen dan ook al ingediend. Maar hoe zit het nu ook alweer met de vakantieregels? De meest gestelde vragen èn antwoorden van ondernemers hebben we voor je op een rij gezet. 1. Hoeveel vakantiedagen hebben werknemers?…