Nieuwe wet over Privacybescherming

Privacybescherming is “hot”.

Op 25 mei 2018 zal de nieuwe privacywet Algemene Verordening Gegevensbescherming (AVG) ingaan. Eén  privacywet die geldt voor de hele EU.

Vanaf deze datum moet ook uw organisatie voldoen aan deze strenge nieuwe wet.

De nieuwe regelgeving vervangt de Wet Bescherming Persoonsgegevens uit 2001. De techniek schrijdt voort. In 2001 stonden internet en e-mail in de kinderschoenen. Het gevaar van misbruik of oneigenlijk gebruik van persoonsgebonden gegevens was minder groot.

Kortom, er is meer kans op privacygevoelige “zwerfinformatie”.

Wat houdt deze nieuwe wet in?

Activiteiten vallen veel sneller onder de privacywet. Het centrale begrip daarbij is “persoonsgegevens”. Dat begrip wordt verruimd. Naast bestanden met namen, adressen et cetera, gaan nu ook gegevens gekoppeld aan IP-adressen, MAC-adressen, cookies en zo onder de wet vallen. Deze gegevens worden geacht privacygevoelig te zijn.

Daarnaast moet in simpel taalgebruik duidelijk en volledig worden uitgelegd wat er binnen de organisatie met de persoonlijke gegevens en verwerkingen wordt gedaan. Dit moet ook goed worden vastgelegd (gedocumenteerd). Denk daarbij aan uw personeelsadministratie.

Met deze nieuwe wet worden de privacy rechten dus versterkt,  bedrijven worden nog meer op hun verantwoordelijkheden gewezen om zorg te dragen voor een zorgvuldige en juiste omgang met privacy gevoelige gegevens en zijn de boetes bij overtreding van de wet fors. Toezichthouders kunnen (uiteindelijk) een boete uitdelen van de 6e categorie of ingeval van een internationale onderneming een boete van 4% van de mondiale omzet of 20 miljoen euro).

Doel AVG

Het voornaamste doel van de AVG is het beschermen van de privacy grondrechten van de burgers binnen de EU.
Wat kunt u nu al richting 25 mei 2018 doen dan wel kan nu al verbeterd worden?

(risico)Inventarisatie en wettelijke register- en documentatieplicht.

Dit houdt in dat u een overzicht maakt van alle verwerkingen van persoonsgegevens die door u moeten worden bijgehouden. Ook moeten er processen en beheersmaatregelen opgesteld worden om aan de AVG te kunnen voldoen. Dat vraagt een (risico)inventarisatie vooraf.  Er bestaat vanaf 25 mei 2018 een plicht om een overzicht bij te houden voor wat betreft de verwerkingen van persoonsgegevens. Dit moet u ook kunnen aantonen. Hoe doet u dat? Dat kan bijvoorbeeld door in kaart te brengen welke afdeling persoonsgegevens verwerken, voor welke processen en op welke (soort) betrokkenen de verwerking betrekking heeft. Zo zal de afdeling die de salarissen verzorgt voor het aanleggen van personeelsdossiers (=proces) onder andere contactgegevens, geboortedata, verlof, verzuim en Burgerservicenummers verwerken van het personeel (=betrokkenen). Daarnaast moeten de doeleinden worden vastgelegd van de gegevensverwerking, wat de bewaartermijnen bedragen, van welke systemen gebruik wordt gemaakt en wat de genomen beveiligings- en beheersmaatregelen zijn;

Sluiten van bewerkersafspraken met uw verwerker(s)

Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG “verwerker” genoemd), dan kunt u daarmee een bewerkersovereenkomst sluiten. BLM is bijvoorbeeld zo’n bewerker. In de AVG staat de afspraken ook kunnen blijken uit andere stukken, zo lang er maar voldaan wordt aan enkele vereisten. Dat zijn onder meer: het onderwerp en de duur van de verwerking, maar ook de aard en het doel, het soort persoonsgegevens, de categorieën van betrokken en de rechten en de plichten van de bewerker moeten duidelijk omschreven worden in bewerkersafspraken.

Om de verbeterde privacy rechten uit te kunnen oefenen, is het van belang dat de betrokkenen hun privacy rechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar hou ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit (oftewel: de overdraagbaarheid van persoonsgegevens) en het recht om vergeten te worden (gegevenswissing). Betrokkenen moeten makkelijk kunnen beschikken over hun gegevens en deze door kunnen geven aan een andere organisatie.

Betrokkenen kunnen bij de Autoriteit Persoonsgegevens (AP) een klacht indienen over de manier waarop de organisatie met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen. Reden dus om hieraan aandacht te besteden;

Meldplicht datalekken als speerpunt handhaven

Sinds 1 januari 2016 is, vooruitlopend op de AVG, de meldplicht datalekken in werking getreden. Dit houdt in dat, indien data al dan niet opzettelijk verloren gaat, hiervan melding moet worden gemaakt bij de Autoriteit Persoonsgegevens, en wel binnen 72 uur na ontdekking. Dat betekent dus dat u uw werknemers goed moet instrueren om bijvoorbeeld niet privacygevoelige informatie “zo maar” te versturen (te e-mailen) of USB-sticks met dergelijke informatie mee naar huis te nemen of te laten slingeren. Een klein ongelukje hier kan grote gevolgen hebben;

Privacy Impact Assessment (PIA) uitvoeren

Onder de AVG wordt u verplicht om een Privacy Impact Assessment, oftewel PIA (de AVG spreekt in goed Nederlands over een “gegevensbeschermingseffectbeoordeling”), uit te laten voeren indien sprake is van high risk-informatieverwerking. Deze PIA moet ook worden uitgevoerd als gelet op de aard, omvang, context en doeleinden van de verwerking een hoog risico bestaat voor de rechten en vrijheden van personen. Wanneer is dan sprake van een high risk? Daarvan is sprake als de verwerking van persoonsgegevens kan leiden tot bijvoorbeeld ernstig lichamelijk letsel, materiële schade, reputatieschade, identiteitsdiefstal et cetera. Daarnaast kan het sowieso verstandig zijn om een PIA uit te voeren om inzicht te krijgen op mogelijke privacy risico’s.

De ondernemingsraad heeft instemmingsrecht (artikel 27 WOR) bij regelingen voor het verwerken van persoonsgegevens van werknemers en voor personeelvolgsystemen.
Zo kan voor het uitvoeren van een PIA instemming nodig zijn, evenals voor de wijze van registratie van gegevens.

Aanstellen Functionaris Gegevensbescherming

Soms is het verplicht om een Functionaris Gegevensbescherming (hierna ‘FG’) aan te wijzen. Dat geldt voor overheden, publieke organisaties en voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken (bijvoorbeeld voor observatiedoelen) en dit een kernactiviteit is. Daarnaast kan overwogen om sowieso een FG aan te stellen. Een FG-functie kan extern worden ingevuld. Een FG kan behulpzaam zijn bij het houden van toezicht op de naleving van de privacy regels, het inventariseren van gegevensverwerkingen, het bijhouden van gegevensverwerkingen, vragen en klachten van mensen binnen en buiten de organisatie afhandelen, interne regelingen ontwikkelen, adviseren over privacy by design (dat is dat bij de ontwikkeling van producten en diensten er al aandacht moet zijn voor de privacy) en input leveren bij het opstellen of aanpassen van gedragscodes.

Ook voor de persoon en de taken van een functionaris voor de gegevensbescherming komt het instemmingsrecht van de OR in beeld. Zeker daar waar de werkzaamheden van de FG betrekking hebben op het interne toezicht;

Awareness onder personeel

Om te kunnen voldoen aan de AVG is het tot slot noodzakelijk dat uw werknemers in een zo vroegtijdig mogelijk stadium op de hoogte worden gebracht van de nieuwe privacy regels. Zij moeten dus goed op de hoogte zijn hoe en wanneer zij persoonsgegevens mogen verwerken, maar ook wat zij moeten doen als er toch sprake is van een datalek. Door dit onder de aandacht van de werknemers te brengen, kunnen de nodige fouten worden voorkomen.

Op donderdag 16 november zal tijdens ons jaarlijkse eindejaarslezing een speciale workshop over deze nieuwe privacywet worden gehouden. Meer informatie volgt binnenkort.

Recente Berichten

Laat een reactie achter

Contact

Heb je een vraag of wil je meer info? Vul hieronder je emailadres in en we nemen zo snel mogelijk contact met je op.

Niet leesbaar ? Vernieuw code captcha txt

Begin met typen en druk op enter om te zoeken

onthaal-ricardo-schiphol2 | BLM Accountants & Adviseurs