Nog enkele dagen voor de AVG: ben jij er al klaar voor?

Het einde is in zicht: vanaf aankomende vrijdag handhaaft de Autoriteit Persoonsgegevens (AP) de AVG . Onlangs bleek dat zeven op de tien mkb-bedrijven op 25 mei 2018 niet klaar zijn voor de AVG. Dit is zorgwekkend, helemaal omdat onder de nieuwe wetgeving de AP extreem hoge boetes mag uitdelen. Zeker voor de kleinere bedrijven is dit gevaarlijk, want als een bedrijf failliet gaat naar aanleiding van een datalek wordt dit ook nog eens gezien als onbehoorlijk bestuur. Wat moet jij nog weten om up-to-date te zijn?

Uitzonderingsgevallen
Vanuit de mkb-hoek is de vraag gerezen of er voor de kleinere bedrijven een uitzondering kan worden gemaakt in het handhaven van de AVG. Deze vraag is door de AP stellig met ‘nee’ beantwoord. Een woordvoerder van de AP gaf aan dat het beschermen van de privacy en persoonsgegevens essentieel, en bovendien een grondrecht is. Mkb-bedrijven kunnen daarom ook geen lichter regime verwachten in de handhaving.

De wet maakt wél een uitzondering op de documentatieplicht (ook wel de registerplicht genoemd) voor bedrijven met minder dan 250 werknemers. Deze uitzondering geldt alleen niet in de volgende gevallen:

  • De verwerking(en) vormen (mogelijk) een risico voor de rechten en vrijheden van betrokkenen;
  • Het verwerken is niet incidenteel; of
  • Er worden bijzondere persoonsgegevens of persoonsgegevens met betrekking tot criminele veroordelingen/overtredingen verwerkt.

Hoewel er dus op papier sprake kan zijn van een uitzonderingsgeval, is in de praktijk altijd wel sprake van één van bovengenoemde drie situaties. In werkelijkheid komt het er dus vrijwel altijd op neer dat mkb-bedrijven alsnog gebonden zijn aan de documentatieplicht.

Moet jij nog flinke stappen maken op het gebied van gegevensbescherming? Houd dan de volgende drie punten in je achterhoofd.

1. Documentatieplicht
Om aan de documentatieplicht te voldoen, is het van belang dat jouw bedrijf een verwerkingsregister aanlegt waarin minstens de volgende onderwerpen zijn opgenomen:

  • De gegevens over de verantwoordelijke (of medeverantwoordelijke) van de organisatie;
  • Het doel van de verwerking van de persoonsgegevens;
  • Beschrijving van de categorieën van betrokkenen (zoals werknemers of klanten) en persoonsgegevens;
  • De bewaartermijnen van de persoonsgegevens;
  • De categorieën ontvangers waaraan persoonsgegevens ter beschikking gesteld zijn of worden (zoals providers, hosts, bepaalde leveranciers etc.), inclusief ontvangers in andere landen;
  • Een opgave van de doorgifte van persoonsgegevens naar andere landen of internationale organisaties, inclusief welke landen/organisaties;
  • Een beschrijving van de genomen technische en organisatorische maatregelen.

2. Maatwerk
De vrij algemene wetteksten van de AVG moeten op veel plekken nader ingevuld worden voor een goede toepassing. Zo zijn op Europees en zelfs nationaal niveau bijvoorbeeld maar weinig begrippen ingevuld. Vooral voor jongere en kleinere bedrijven in het mkb is het ontzettend belangrijk dat de invulling van de AVG op maat wordt gemaakt, op een manier die past bij hoe het bedrijf is ingericht op diverse technische en organisatorische manieren. Neem daarom zo spoedig mogelijk een privacyjurist in de arm die jou kan helpen bij het begrijpelijk en toepasbaar maken van de bepalingen van de AVG, zonder dat dit je bedrijfsvoering in de weg staat.

3. Continu bijhouden
Tot slot is het belangrijk om te weten dat de eisen die volgen uit de  AVG niet eenmalig zijn. Er is dus geen sprake van een eenmalige deadline. Ook als je het niveau van compliance hebt behaald is, het zaak dat je dit continu blijft bijhouden. Wil je bijvoorbeeld je huidige database van persoonsgegevens inzetten voor een nieuw doel? Dan moet je een Privacy Impact Assessment uitvoeren. Ga je samenwerken met een nieuwe aanbieder van diensten? Sluit dan een passende verwerkersovereenkomst af. Ook blijven technologieën en processen zich continu ontwikkelen waardoor (interne) maatregelen en veiligheidsvoorschriften frequent moeten worden gecontroleerd op compliance.

Check hier, hier, hier en hier onze andere blogs over privacywetgeving.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 25 mei 2018? Met onze gratis privacycheck kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving. Of heb je andere vragen over bovenstaand artikel of privacy(wetgeving)? Neem dan contact met mij op per e-mail brand@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Posted in ,

Imme Jane Brand

Mis niets meer, ontvang wekelijks het laatste juridische nieuws!

Bestuurder BV handelt onrechtmatig wat nu

Bestuurder BV handelt onrechtmatig: wat nu?

Door Michel Zaaijer | augustus 22, 2018

Een BV kan aansprakelijk zijn voor schade omdat contractuele of wettelijke verplichtingen worden geschonden. Naast de BV kan de bestuurder achter de BV evengoed aansprakelijk zijn voor schade. Het gebeurt steeds vaker dat bij schade de bestuurder wordt aangesproken als diegene – gelet op zijn wettelijke taakuitoefening – onzorgvuldig of onbehoorlijk handelt. Als vast komt…

Contract taalkundige uitleg of toch de bedoeling van partijen

Contract: taalkundige uitleg of toch de bedoeling van partijen?

Door Puk Birnie | september 26, 2018

Het zorgt bij gesloten contracten vaak voor veel problemen: de ene partij die op basis van de overeenkomst iets anders verwachtte dan de andere partij. In de juridische wereld is er daarom door de Hoge Raad al lang geleden een belangrijk toetsingskader in het leven geroepen, namelijk het ‘Haviltex-criterium’. Uit het Haviltex-arrest volgt dat bij…

Het stuiten van de verjaring van een geldvordering hoe zit dat

Het stuiten van de verjaring van een geldvordering: hoe zit dat?

Door Puk Birnie | augustus 3, 2018

Onlangs behandelden wij al de uitspraak waarin de rechtbank oordeelde dat een bank niet aansprakelijk is als een rekeninghouder geld naar een verkeerde rekening overboekt. Deze vorm van onverschuldigde betaling valt onder de eigen verantwoordelijkheid. Op 18 juli 2018 deed de rechtbank Midden-Nederland wederom een uitspraak over de onverschuldigde betaling. Ditmaal met een iets andere…

Opgelet bij het ontbinden van overeenkomsten!

Opgelet bij het ontbinden van overeenkomsten!

Door Puk Birnie | juli 11, 2018

Het gebeurt dagelijks: het sluiten van overeenkomsten. Helaas ontstaan er ook problemen bij de uitvoering van overeenkomsten. Zo kan een aannemer slecht werk leveren, of een product niet voldoen aan de verwachtingen.  Veel mensen houden vast aan de gedachte dat men altijd de overeenkomst nog kan ontbinden. Toch werkt het in de praktijk niet zo.…