Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze verordening volgt de Wet bescherming persoonsgegevens op.  Iedereen die gegevens van personen gebruikt, opslaat en/of bewerkt (en welke ondernemer doet dat niet?) moet zijn gegevensbescherming op orde hebben. Wat houdt dit kort gezegd in?

Bedrijven en instellingen zijn vanaf 25 mei 2018 verplicht om strenge technische en organisatorische maatregelen te treffen, zodat persoonsgegevens goed beschermd zijn.  Tevens moet men ook keihard kunnen aantonen dat men zich aan die regels houdt en hoe dat dan gebeurt, de zogenaamde verantwoordingsplicht.

Er zijn een aantal verplichte maatregelen die moeten worden uitgevoerd:

Overzicht van verwerkingen

Iedere organisatie moet kunnen aantonen welke gegevens van personen worden gebruikt, met welk doel dit gebeurt, waar deze gegevens vandaan komen en met wie ze worden gedeeld. Verder moet duidelijk zijn wat er precies met de gegevens gedaan kan worden. Gegevens mogen ook maar voor een bepaalde duur worden bewaard, dus niet tot in lengte van jaren. Ook deze bewaarduur moet duidelijk zijn.

Dit overzicht moet in een speciaal register worden bijgewerkt. Bij oppervlakkig lezen van de Verordening zou je denken dat alleen bedrijven met meer dan 250 personeelsleden of die omgaan met vertrouwelijke gegevens hieraan moeten voldoen. Maar nee, ook wanneer de gegevens niet incidenteel worden verwerkt (zoals de AVG dat noemt) moet er al een dergelijk register zijn. Denk bij voorbeeld aan de werkgever die maandelijks een loonstrook verstrekt aan zijn personeel.  Dit is al een verwerking van gegevens. Of wanneer meer dan eens een factuur wordt verstuurd.  In de praktijk moet dus gewoon iedereen een dergelijk register hebben!

Het maakt bij het opstellen van dit register verschil of u zelf bepaalt wat de doelen voor het verwerken van gegevens zijn en welke gegevens er worden gebruikt of dat u gegevensallen maar in opdracht verwerkt. Voorbeeld: u heeft een webwinkel en u verzamelt en verwerkt klantgegevens voor het versturen van artikelen, het factureren en het sturen van nieuwsbrieven. Dan bepaalt u dus zelf wat u verwerkt en voor welk doel en bent u een zogenaamde verwerkingsverantwoordelijke. Besteedt u bepaalde dingen uit zoals het bijhouden van de boekhouden bij een administratiekantoor, dan is die laatste een verwerker . Diegene  moet weer andere gegevens in zijn register opslaan.

Toestemming aantonen

Men moet kunnen aantonen dat de betrokken personen hun toestemming hebben gegeven voor het verwerken van hun persoonsgegevens. Kortom dat deze gegevens mogen worden verzameld, vastgelegd, geordend, opgeslagen, bijgewerkt, gebruikt:  dus wat men er ook maar mee doet.

Datalekken

Wanneer blijkt dat gegevens zijn verspreid zonder dat dit de bedoeling was en gegevens dus ‘op straat komen te liggen’ (denk bij voorbeeld aan het versturen van een mail aan een groep personen waarbij per ongeval niet BCC is gebruikt, of het hacken van de website), dan moet dit worden bijgehouden in een register en gemeld aan de Autoriteit Persoonsgegevens (AP) . De regels die hier al voor golden worden aangescherpt.

DPIA

Wanneer gewerkt wordt met extra gevoelige gegevens zoals medische informatie dan is een zogenaamde Data protection impact assessment (DPIA) verplicht, waarbij van te voren de privacyrisico’s in kaart worden gebracht en welke maatregelen worden genomen om die risico’s te beperken.

Functionaris voor gegevensbewerking

In bepaalde gevallen is een speciale functionaris voor gegevensverwerking verplicht. Voor kleine bedrijven zal dit in de regel wel meevallen, maar kijk dit bij twijfel toch altijd even na. Het gaat vooral om overheidsinstanties en bij organisaties die grootschalige hoeveelheden informatie verwerken. Mocht ervoor gekozen worden geen functionaris aan te stellen, zorg er dan wel voor dat goed uitgelegd kan worden waarom hier niet voor is gekozen.

Verwerkersovereenkomst

Wanneer bepaalde verwerkingen worden uitbesteed, bij voorbeeld aan een administratiekantoor, dan moet met dat kantoor een verwerkersovereenkomst worden gesloten, waarin onder meer moet staan om welke gegevens het gaat, wat de aard en het doel van de gegevensverwerking is en hoe lang die verwerking zal duren (bij dit laatste is bij voorbeeld te denken aan hoe lang gegevens door de verwerker bewaard moeten worden).

Flinke boetes!

Het komt er dus op neer dat bij organisaties meer verplichtingen en verantwoordelijkheden worden gelegd aangaande de privacy en dat ze ook echt goed moeten aantonen dat ze zich hieraan houden ( de zogenaamde verantwoordingsplicht. Daarnaast krijgen degenen van wie de gegevens worden verwerkt meer rechten en bevoegdheden. Het is geen materie waar iedereen op zit te wachten en vooral kleine ondernemers zullen wellicht denken dat dit voor hen niet zo’n vaart zal lopen. Toch is het maar zeer de vraag of het verstandig is het een en ander maar op zijn beloop te laten. De boetes die kunnen worden opgelegd zijn niet mals en kunnen oplopen tot 2 tot 4% van de jaaromzet!

 

Aan de slag

Kortom: elke ondernemer zal zich hoe dan ook met deze kwestie moeten bezighouden, al zal men bij met name veel kleine bedrijven met het opzetten van een goed privacy statement en een register van verwerkersactiviteiten al een heel eind op de goede weg zijn.  Het bovenstaande is maar een beknopte weergave van de nieuwe regelgeving.  Wijma Juridisch Advies helpt u graag met het uitzoeken hoe u met de AVG moet omgaan. Hulp nodig bij het opstellen van een privacy statement? Bel 0511-452535 of mail naar www.wijma-advies.nl