Hij staat er al een tijdje aan te komen, de AVG. In deze blog legt advocaat Audrey Weismann je uit wat deze wet inhoudt en wat je zelf kunt aanpakken!
Per 25 mei 2018 komt de huidige Wet bescherming persoonsgegevens (‘Wbp’) te vervallen. Deze wordt vervangen door een Europese verordening: de Algemene Verordening Gegevensbescherming (‘AVG’), die rechtstreeks van toepassing is in alle EU-lidstaten. Maar wat betekent deze nieuwe wetgeving nou in een notendop?
De AVG in het kort
De AVG bepaalt op een strikter niveau dan de huidige Wbp hoe organisaties die persoonsgegevens verwerken dit moeten managen. Daarnaast krijgen betrokkenen van wie deze persoonsgegevens worden verwerkt meer controle op, en inzicht in, de manier van verwerking. Wanneer je als organisatie ervoor hebt gezorgd dat je de bepalingen uit de huidige Wbp toepast, dan zal een aanpassing naar de AVG wel haalbaar zijn voor 25 mei 2018. Maar mocht je je hier nog op geen enkele manier in verdiept hebben, dan is het verstandig om deze aanpassing prioriteit te geven.
De Autoriteit Persoonsgegevens heeft namelijk als toezichthouder een aantal bevoegdheden verkregen, al dan niet als uitbreiding van de bestaande, waarmee zij boetes kunnen opleggen tot EUR 20.000.000 of een max van 4% van de wereldwijde omzet. Minstens zo belangrijk: als bestuurder kun je ook aansprakelijk gesteld worden gehouden voor het schenden van de AVG en de schade. Dit wil je natuurlijk voorkomen en wij willen je hier graag mee helpen.
Wat kun je zelf doen?
Maar wat kun je zelf al aanpakken om een begin te maken? Allereerst raden wij je aan om de gegevensstromen in kaart te brengen. Dit doe je door te bepalen waar in de organisatie de persoonsgegevens binnenkomen of de organisatie verlaten. Persoonsgegevens zijn niet alleen beperkt tot de contactgegevens van consumenten die je op je website verzamelt, ook indirecte persoonsgegevens zoals een IP adres tellen mee.
Daarnaast dien je als werkgever te beseffen dat ook persoonsgegevens van je werknemers binnen je organisatie vallen onder de verwerking van persoonsgegevens en dus de regels van de AVG. Zodra je een goed beeld hebt van de gegevensstromen is het mogelijk, eventueel met hulp van een functionaris gegevensbescherming of privacy specialist, om de risico’s in kaart te brengen. Dat wil zeggen: op welke punten van de verwerking van persoonsgegevens niet voldoet aan de AVG. Denk hierbij bijvoorbeeld aan of je voldoet aan de informatieverplichting jegens betrokkene door het hanteren van een privacyverklaring op je website, of dat je IT afdeling de juiste beschermingsmaatregelen toepast per categorie persoonsgegevens, en of je een goed beleidsplan hebt met betrekking tot de meldplicht datalekken.
Meer weten?
De AVG geeft helaas geen strikte voorschriften van wat wel en niet mag, maar biedt je een lange lijst van handvatten die toepasbaar zijn op verschillende omstandigheden. Als organisatie moet je dus zelf onderzoeken of je voldoet aan bepaalde vereisten en moet je de AVG ook in je achterhoofd houden als je nieuwe producten of diensten wil lanceren.
The Law Factor staat je hierin graag bij, uiteraard altijd met een vrijblijvend gesprek. Heb je vragen over privacy of overeenkomsten in het licht van de AVG? Bel of mail ons kantoor en vraag naar Audrey Weismann.