In Privacy

Vanaf 25 mei 2018 wordt de Wet bescherming persoonsgegevens vervangen door de nieuwe Europese Algemene Verordening Gegevensbescherming (hierna: ‘AVG’). Hierdoor gelden in de EU overal dezelfde privacyregels. De 5 belangrijkste regels voor bedrijven:

  1. Bewerkersovereenkomst

Het sluiten van een overeenkomst tussen de verantwoordelijke en de bewerker van persoonsgegevens is op dit moment al verplicht. Nieuw in de AVG is de vermelding van:

  • de duur en de specifieke doeleinden van de gegevensverwerking;
  • het soort persoonsgegevens dat verwerkt wordt;
  • de betrokkenen op wie de gegevens zien;

Verder mag de bewerker alleen een externe partij inschakelen na toestemming van de verantwoordelijke.

  1. Privacy by design and by default

Privacy dient in het gehele ontwerp- en ontwikkelingstraject voorop te staan en moeten de ‘standaard’ instellingen altijd zo privacyvriendelijk mogelijk zijn. Producten en diensten moeten dus ‘privacy proof’ ontwikkeld worden en ingesteld zijn. Tot slot dienen de rechten (zoals het inzage- en correctierecht) eenvoudig uitgeoefend te kunnen worden.

  1. Meldplicht datalekken

Denk bij datalekken aan het hacken van een databestand, een gestolen laptop of USB stick, maar het zou zelfs een verkeerd geadresseerde email kunnen betreffen.

De meldplicht datalekken is op zich niet nieuw maar wel belangrijk. Een datalek moet aan de toezichthouder Autoriteit Persoonsgegevens gemeld worden. Als het lek ook nadelige gevolgen heeft voor de betrokkenen dan moeten zij ook op de hoogte worden gesteld.

  1. Boetes

De Autoriteit Persoonsgegevens kan boetes opleggen van maximaal EURO 20.000.000,- of 4% van de wereldwijde omzet, waarbij het hoogste bedrag geldt.

  1. Privacy officer

Nieuw in de AVG is de verplichte aanstelling van een privacy officer voor organisaties die aan bepaalde voorwaarden voldoen. De privacy officer moet onafhankelijk kunnen functioneren als privacyvraagbaak in een organisatie. Wanneer een organisatie persoonsgegevens van minimaal 5.000 personen op jaarbasis verwerkt, of als het de core business is om (bijzondere) persoonsgegevens te verwerken, dienen zij een privacy officer aan te stellen. Bijzondere persoonsgegevens zijn bijvoorbeeld medische gegevens.

Actie!

Hoewel 25 mei 2018 ver weg lijkt is het zaak om nu al stil te staan bij de verwerking van persoonsgegevens binnen uw organisatie of partijen waarmee u zaken doet en of deze voldoen aan de nieuwe regels zodat u helemaal ‘privacy proof’ bent!

Voor meer informatie en advies kunt u terecht bij mr Jeroen van der Werf.

deurslot
Recent Posts