Op 25 mei 2018 is de General Data Protection Regulation (GDPR) in werking getreden. Het betreft Europese wetgeving op het gebied van privacy. In Nederland wordt de GDPR de Algemene Verordening Gegevensbescherming (AVG) genoemd. De AVG wordt in Nederland gehandhaafd door de Autoriteit Persoonsgegevens (AP).
Achtergrond AVG
Privacy is een hot item in Nederland. Door toenemende digitalisering worden persoonsgegevens op steeds grotere schaal verzameld en beschikbaar gesteld. Persoonsgegevens liggen niet zoals in het verleden alleen vast in uw adressenboek of papieren dossiers, maar zijn op allerlei manieren toegankelijk. Deze grote beschikbaarheid van gegevens heeft veel voordelen, maar brengt ook gevaren met zich. Identiteitsfraude, privacy-inbreuken en hacks nemen hand over hand toe. Daarom heeft de Europese Unie besloten dat zij een gemeenschappelijk minimumniveau van omgang met persoonsgegevens wil hanteren: de AVG. De AVG komt niet uit de lucht vallen. Veel voorschriften stonden ook al in de voorloper, de Wet bescherming persoonsgegevens (Wbp). Binnen de AVG is veel duidelijker opgenomen wat de handhaving hiervan is. Daardoor moet iedere organisatie hier serieus mee aan de slag.
Doel AVG
Het doel van de AVG is het beschermen van de persoonlijke levenssfeer van individuen en het voorkomen van misbruik van persoonsgegevens. Dit probeert zij te bereiken door organisaties te stimuleren gegevens zo beperkt mogelijk te verzamelen, en zo kort en veilig mogelijk op te slaan. Organisaties moeten kunnen verantwoorden op welke manier zij met persoonsgegevens omgaan.
Voor wie geldt de AVG?
De AVG geldt voor alle bedrijven die persoonsgegevens vastleggen. Persoonsgegevens zijn gegevens die over één persoon gaan of tot één persoon te herleiden zijn. Vrijwel elke ondernemer heeft dus met persoonsgegevens te maken. Denk aan contactgegevens van klanten, personeel, of contactpersonen van andere organisaties.
Boetes AVG
Sommige ondernemers twijfelen. Is het niet een beetje overdreven, al die aandacht voor privacy? Artikel 83 lid 5 van de AVG maakt een einde aan deze twijfel: “Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is”
Concrete veranderingen
De AVG leidt tot een groot aantal concrete veranderingen, zoals:
- Persoonsgegevens mogen alleen worden verzameld op grond van een beperkt aantal redenen (artikel 6 AVG):
- Toestemming van de gebruiker
- Vitale belangen van de betrokkene
- Wettelijke verplichting
- Uitvoering van een overeenkomst
- Algemeen belang
- Gerechtvaardigd belang
- Betrokkenen hebben meer rechten (hoofdstuk 3 AVG):
- Recht op inzage
- Recht op wijziging
- Recht om vergeten te worden
- Recht om gegevens over te dragen (dataportabiliteit)
- Recht op informatie (vaak in een privacyverklaring)
- Ondernemingen hebben meer plichten (hoofdstuk 4 AVG):
- Het bijhouden van een verwerkingsregister
- Gegevensbeschermingsbeleid
- Adequate beveiliging
- Aanstellen van een functionaris gegevensbescherming
- Privacy by design
- Impact assessment
- Het sluiten van verwerkersovereenkomsten
Dienstverlening Florys
Het bovenstaande leidt in de praktijk tot veel vragen. Wat betekent de AVG precies voor mijn onderneming? Mag ik straks geen gegevens meer opslaan? Moet ik overal toestemming voor vragen? Wat moet ik allemaal vastleggen? De juristen van Florys zijn op de hoogte van de ins en outs van de AVG. Zij maken de vertaalslag van de wettekst naar concrete (actie)punten voor uw onderneming. Zo kunnen we u ondersteunen met het opstellen van:
- Een verwerkingsregister
- Een privacyverklaring
- Een verwerkersovereenkomst
- Een protocol tegen datalekken
- Intern privacybeleid
Ook bij vragen over de systeemtechnische consequenties van de AVG kan Florys u, waar nodig in samenwerking met externe partners zoals Cyber Cloud, terzijde staan.
Maak werk van privacy. Neem contact op met de juristen van Florys!
Contact
