april 2018

COLUMN

Monica Leenders

Een verkeerd geadresseerde e-mail is ook een datalek.

Bent u voorbereid op de komst van de AVG?

Monica Leenders


Op 25 mei 2018 zal de Europese Algemene Verordening Gegevensbescherming (AVG) van kracht gaan. Deze verordening vervangt de huidige Wet bescherming persoonsgegevens (Wbp). Deze verandering zal grote impact hebben op de verwerking van persoonsgegevens binnen organisaties.

Iedere organisatie verwerkt persoonsgegevens. Zowel op het gebied van HR (personeelsdossiers), marketing (contactpersonen) als bij IT-beveiliging is sprake van verwerking van persoonsgegevens. Ook een klantenbestand valt onder de definitie van een verzameling persoonsgegevens.

Huidige privacy verplichtingen

De Wbp verplichtte organisaties al om een aantal stappen te zetten om de privacy van de natuurlijke personen (betrokkenen genaamd) te waarborgen. Zo is enkel verwerking van persoonsgegevens geoorloofd indien dit plaatsvindt op één van de grondslagen die de wet noemt. Tevens mogen nu ook al niet meer persoonsgegevens worden verwerkt, dan noodzakelijk is om het doel te bereiken.

Moet u een verwerkingsregister aanleggen?

Per 1 januari 2016 is aan het scala van verplichtingen op het gebied van privacy, de meldplicht datalekken toegevoegd. Indien er sprake is van een inbreuk waarbij de beveiliging rondom persoonsgegevens in het gedrang is gekomen, dient in een aantal gevallen melding te worden gemaakt bij de Autoriteit Persoonsgegevens en/of betrokkenen.

Komende – aanvullende – privacy verplichtingen

De AVG brengt per 25 mei 2018 een aantal extra verplichtingen met zich mee, bovenop de huidige privacywetgeving. Zo dienen organisaties met meer dan 250 werknemers een verwerkingsregister aan te leggen, bestaat er in een aantal gevallen de verplichting om een Functionaris voor de Gegevensbescherming aan te stellen en dient een gegevensbeschermingseffectbeoordeling te worden uitgevoerd.

Weet u waar de gegevens die u in de cloud bewaart, zijn opgeslagen?

Aantoonbaarheid

Daarnaast wordt meer dan in de Wbp het geval is, de nadruk gelegd op aantoonbaarheid. Een organisatie moet kunnen aantonen dat zij voldoet aan alle eisen die de wetgeving stelt aan verwerking van persoonsgegevens. De boetebevoegdheid die de Autoriteit Persoonsgegevens heeft op basis van de AVG (oplopend tot EUR 20 miljoen of 4% van de wereldwijde omzet) zorgt ervoor dat er sprake is van wetgeving 'met tanden'. Dit in tegenstelling tot de huidige handhaving van de Wbp waarbij het vaak niet verder kwam dan een last onder dwangsom of een aanwijzing.

Met de aantoonbaarheid hangt samen dat een organisatie moet onderzoeken in hoeverre er ook daadwerkelijk wordt gehandeld conform de privacywetgeving. Ook is noodzakelijk dat zij er voor zorgt dat werknemers zich ook bewust zijn van het privacybeleid binnen de organisatie. Trainingen en instructies kunnen uw organisatie helpen de bewustwording te bereiken.

Werk aan de winkel!

25 mei 2018 lijkt ver weg, maar dat is niet het geval. Het opstellen van het privacybeleid en het screenen van de huidige overeenkomsten met derden, waarbij mogelijk nog moet worden onderhandeld, vergt nu eenmaal tijd. Echter kost de bewustwording bij uw werknemers nog het meeste tijd. Bewustwording is een proces van onderkennen van de problematiek, signaleren van knelpunten en het oplossen daarvan. De eerste stap, namelijk kennis van verplichtingen die met de AVG op u af komen, kost nu eenmaal de grootste inspanning.

Monica is bereikbaar via 088-3040153 en leenders@boelszanders.nl.

Monica Leenders, Teamleider Team Privacy
Boels Zanders Advocaten
Vestdijk 76 (Vestedatoren)
5611 CE Eindhoven