Nieuws

Binnenkort: de nieuwe privacywet

Op 25 mei 2018 is hij van toepassing en gelden voor heel Europa op dit gebied dezelfde regels: de nieuwe privacywet, of formeel: de Algemene Verordening Gegevensbescherming. De AVG vervangt de Wet bescherming persoonsgegevens. De nieuwe regels hebben ook voor bedrijven gevolgen.

Feitelijk is de AVG al twee jaar geleden in werking getreden, maar hij wordt pas dit jaar echt van toepassing. De tussenliggende periode is bedoeld geweest als voorbereidingstijd voor organisaties en toezichthouders. Ook ondernemers doen er verstandig aan zich te (laten) informeren over de AVG. Wat verandert er zoal? Enkele hoofdpunten.

Het begrip persoonsgegevens krijgt een veel ruimere dekking dan nu het geval is. Daaronder vallen niet alleen namen en adresbestanden, maar ook gegevens die gekoppeld zijn aan IP-adressen, cookies e.d. Activiteiten vallen dus veel sneller onder de privacyregels.

Bedrijven zijn verplicht om een heldere en begrijpelijke privacyverklaring af te geven, waarin mensen op hun rechten wordt gewezen. Die rechten zijn bijvoorbeeld dat men zijn eigen gegevens mag aanpassen, het dossier mag inzien of het zelfs mag laten vernietigen. Ook dienen mensen te worden gewezen op de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Alle verwerkingen van persoonsgegevens moeten worden gedocumenteerd, hoe onbelangrijk zij ook lijken. Dus ook uw personeelsadministratie en de maandelijkse nieuwsbrief! Daarnaast moeten ook alle datalekken worden gedocumenteerd. Een datalek is een inbreuk op de beveiliging van persoonsgegevens, bijvoorbeeld bij onvoldoende toegang tot vertrouwelijke gegevens, of als sprake is van vernietiging of het per abuis vrijkomen van persoonsgegevens in een organisatie. Dergelijke datalekken moeten ook nu al worden gemeld, maar de regels over het melden van een datalek en de gevolgen daarvan worden onder de AVG strenger. Daarnaast is iedereen die verantwoordelijk is voor de verwerking van persoonsgegevens verplicht om met degene die die gegevens feitelijk verwerkt een overeenkomst te sluiten, de zogenaamde verwerkersovereenkomst. Dat is een onderdeel van de verplichting om de verwerking van persoonsgegevens zo goed als mogelijk te documenteren. Deze overeenkomst is cruciaal, ook gelet op het risico van boetes.

De boetes onder de AVG kunnen namelijk gigantisch hoog zijn. De maximum-boetes kunnen oplopen tot 10 of zelfs 20 miljoen euro.

Of dat in de praktijk echt zo’n vaart zal lopen is natuurlijk de vraag, maar duidelijk is wel dat de AVG veel verdergaande verplichtingen en verantwoordelijkheden meebrengt voor degene die persoonsgegevens verwerkt, dan nú het geval is. En persoonsgegevens verwerkt vrijwel iedereen.

Zaak dus, ook voor ondernemers, om vóór 25 mei 2018 te inventariseren of zij klaar zijn voor de AVG en zo nee, wat er nog moet gebeuren.

Heeft u vragen over de nieuwe privacyregels, dan kunt u contact opnemen met Pascal Willems.