Vanaf 25 mei 2018 zal de Europese privacy regelgeving (AVG)  van kracht worden. De AVG is de opvolger van Wet bescherming persoonsgegevens (Wbp). Uw organisatie zal dan moeten voldoen aan de nieuwe regels van deze verordening.

25 mei 2018 lijkt nog ver weg, maar het voldoen aan de regels vraagt behoorlijk wat aanpassingen in uw organisatie. De AVG versterkt en breidt de privacy rechten namelijk flink uit en legt meer verantwoordelijkheid bij organisaties neer.

Hieronder zetten we in 5 punten uiteen wat de meest relevante gevolgen voor het MKB zijn.

1) Aanscherping toestemming vastlegging en verwerking

Het geven van toestemming voor het vastleggen en verwerken van de gegevens is onder de AVG aangescherpt.

De betrokkene moet door middel van een verklaring of een actieve handeling toestemming geven. Dat kan bijvoorbeeld door het aanvinken van een hokje op de website waar toestemming wordt gegeven. Het uitzetten van een standaard aangevinkt hokje wat nu nog als toestemming geldt, is dus onder de AVG geen geldige toestemming meer.

Wij adviseren u: Op alle plaatsen waar u gegevens opvraagt te checken of er expliciet toestemming wordt gevraagd.

2) Meer rechten

Degene van wie u gegevens vastlegt (bijvoorbeeld klanten en medewerkers) krijgen meer rechten. De bestaande rechten uit de Wpb worden aangescherpt. U moet betrokkenen uitleggen waarvoor u de gegevens gebruikt en waarom het belangrijk is dat u de gegevens vastlegt. Daarnaast legt u uit hoelang uw organisatie de gegevens bewaart.

Betrokkenen moeten gewezen worden op hun rechten.  In de verordening worden de bestaande rechten van en versterkt. Naast dat de toestemming explicieter moet zijn, moet de betrokkene die toestemming makkelijk ook weer in kunnen trekken. Degene van wie uw bedrijf gegevens vastlegt, moet zijn gegevens ook in kunnen zien.

Daarnaast zijn er twee nieuwe rechten in de AVG. Allereerst het zogenaamde data deportabiliteitsrecht: betrokkenen moeten hun gegevens in een bepaald format kunnen ontvangen van een organisatie, zodat hij deze zelf mee kan nemen naar bijvoorbeeld een andere leverancier van dezelfde diensten.

Nieuw is ook het recht op vergetelheid. Het recht om een organisatie te vragen gegevens te verwijderen was er al, maar nu komt daar bovenop dat betrokkene een organisatie kan vragen om de verwijdering door te geven aan alle organisaties die de gegevens hebben ontvangen van deze organisatie.

Een voorbeeld: uw bedrijf besteedt de salarisadministratie uit en een ex-werknemer doet een beroep op zijn recht van vergetelheid. U moet dan de gegevens verwijderen in uw eigen administratie maar ook het bedrijf dat de salarissen verwerkt verzoeken de gegevens te verwijderen.

Wij adviseren u:

  • De privacy policy voor uw klanten op bijvoorbeeld uw website hierop te controleren.
  • Als u een personeelshandboek heeft hier een paragraaf “privacy” aan toe te voegen.

3) Gebruik en verwerking verscherpt

De wijze waarop gegevens worden gebruikt en verwerkt is strakker geregeld in de AVG. De verordening verplicht organisaties om in kaart te brengen hoe gegevens gebruikt en verwerkt worden. Deze plicht geldt voor:

  • bedrijven met meer dan 250 werknemers;
  • als de verwerking niet incidenteel is;
  • als bijzondere persoonsgegevens worden verwerkt.

In de praktijk wordt dat laatste al snel veronderstelt. Om bij het voorbeeld over personeel te blijven: het opslaan van een document met een pasfoto (bijv. een c.v.) valt al onder bijzondere persoonsgegevens.

Wij adviseren u ook als uw bedrijf minder dan 250 medewerkers kent om een verwerkingsregister aan te leggen waarin:

  • Opgenomen is welke gegevens waar zijn vastgelegd en met welk doel;
  • Het gebruik van gegevens is vast gelegd;
  • De wijze van verwerken is gedocumenteerd.

4) Eisen bewerkersovereenkomsten worden strenger

De verplichting een bewerkersovereenkomst af te sluiten met de bedrijven die voor uw werken en die daarbij de beschikking krijgen over privacygevoelige gegevens bestaat nu al, maar wordt onder de AVG aangescherpt. Dat geldt dus bijvoorbeeld voor het marketingbureau dat acties onder uw klanten uitvoert, het telesales bureau dat dat doet, het bedrijf dat uw salarisadministratie verzorgt.

Als u nog geen bewerkersovereenkomsten heeft, sluit deze dan af met uw leveranciers.

Wij adviseren u om:

  • Te checken of de afgesloten bewerkersovereenkomsten voldoen aan de nieuwe eisen.
  • Als u nog geen bewerkersovereenkomsten heeft deze af te sluiten.

5) Alle datalekken vastleggen

Onder de huidige Wet bescherming persoonsgegevens bent u al verplicht om bepaalde datalekken binnen 72 uur te melden. Onder de AVG wordt deze plicht aangescherpt en geldt dat voor lekken die niet meldingsplichtig zijn, deze wel gedocumenteerd moeten worden.

Een verwerkingsverantwoordelijke moet alle inbreuken documenteren. Dat wil zeggen de aard van het lek beschrijven, de feiten over de inbreuk vastleggen en de gevolgen en genomen corrigerende maatregelen te documenteren. Het doel is dat de Autoriteit Persoonsgegevens die de AVG uitvoert, de naleving kan controleren.

Wij adviseren u om:

  • Een medewerker aan te stellen als zogenaamde verwerkingsverantwoordelijke
  • Een protocol te maken voor het geval een datalek zich voordoet

Wees zorgvuldig!

Naast de bovenstaande punten kent de AVG nog meer verplichtingen. In sommige gevallen kan het nodig zijn om een Data Protection Impact Assessment te doen of een Privacy Officer aan te stellen. Deze maatregelen zijn nodig bij organisaties die bijvoorbeeld vanuit hun kernactiviteit op grote schaal individuen volgen of als de verwerking een hoog risico inhoudt voor de rechten en vrijheden van het individu.

Heeft u hulp nodig bij het implementeren van de AVG of heeft u andere vragen hierover, neem dan gerust contact met onze juridische en IT specialisten.