Privacy / GDPR / AVG … get started!

 in IT-recht, Ondernemingsrecht

Op 25 mei 2018 moet uw organisatie “AVG-proof” zijn, of anders gezegd: u moet dan aan nog meer eisen op het gebied van privacy voldoen dan nu het geval. Iedere onderneming die persoonsgegevens verzamelt of anderszins verwerkt moet vanaf dat moment aantoonbaar voldoen aan de (Europese) Algemene Verordening Gegevensbescherming.

Afwachten?

Afwachten en we zien wel, gaat niet werken. Nu al kunnen bij schending van de huidige privacyregels hoge boetes worden opgelegd tot maximaal €820.000,- of 10% van de jaaromzet, maar vanaf mei 2018 kan dat oplopen tot maar liefst €20.000.000,- of 4% van de wereldwijde jaaromzet. Wellicht denkt u dat het niet zo’n vaart zal lopen. Echter als u niets doet, is het gevaar op een boete wel degelijk reëel. Maar los van de boetes loopt u ook andere risico’s, denk daarbij aan bestuurdersaansprakelijkheid, bestuurlijke dwangmaatregelen, een verbod op het nog langer verwerken van persoonsgegevens, negatieve publiciteit en ontevreden klanten en stakeholders.

Een woud aan regels

Er moet aan flink wat voorwaarden voldaan zijn, ook door het midden – en kleinbedrijf. Denk aan: een passend beveiligingsniveau van de IT-systemen, waarbij meestal de verplichting bestaat gegevens te pseudonimiseren of anderszins te versleutelen; het faciliteren van de rechten van de data subjecten (degenen wier persoonsgegevens worden verwerkt) op onder meer inzage en rectificatie en het recht op dataportabiliteit; de plicht om gegevens te wissen van data subjecten; verplichtingen ten aanzien van de inrichting van organisatie en systemen opdat de gevraagde informatie snel en adequaat verstrekt kan worden; adequate verwerkingsovereenkomsten met alle verwerkers; uitsluitend gebruik maken van verwerkers die voldoende garanties bieden ten aanzien van passende technische en organisatorische maatregelen; de administratie van alle persoonsgegevensverwerkingen, met bijbehorende doelomschrijving, verwerkingsgrondslagen en bewaartermijnen; het kunnen aantonen dat toestemming tot verwerking is verleend – per te onderscheiden verwerkingsdoel – wanneer de gegevens worden verwerkt op basis van toestemming van de data subjecten; de verplichting alles in dit kader schriftelijk gedocumenteerd te hebben en aan een toezichthouder inzichtelijk te kunnen maken wat het beleid is en waarom bepaalde keuzes zijn gemaakt; uitgebreide informatieplichten richting de datasubjecten over de voorgenomen verwerkingshandelingen die tijdig dienen plaats te vinden in een eenvoudige leesbare en toegankelijke vorm en de verplichting tot het melden van datalekken. Maar zo zijn er nog meer plichten en voorwaarden.

Daarnaast is het in veel gevallen verplicht om een officer (“DPO” of Data Protection Officer) aan te stellen: dit geldt voor overheidsorganen, voor organisaties waarvan de kernactiviteit bestaat uit het regelmatig en systematisch monitoren van data subjecten en organisaties die op grote schaal verwerken van bijzondere persoonsgegevens. Vrijwillige aanstelling van een DPO is ook mogelijk maar ook dan dient voldaan te zijn aan de wettelijke vereisten daarvoor.

Het is mogelijk. Onze aanpak

Het is van groot belang dat de directie en andere belangrijke beslissers in een onderneming bewust worden dat er wat moet gebeuren (1. Awareness). De verplichtingen omzetten in een positieve doelen. Een adequaat privacy-beleid is meestal positief voor de reputatie en wordt gewaardeerd door alle stakeholders. Vervolgens alle bedrijfsprocessen in kaart brengen waarbij persoonsgegevens worden verwerkt (2. Beschrijven van alle bedrijfsprocessen). Daar zijn allerlei hulpmiddelen voor. Belangrijk is dat daar de juiste personen in de onderneming bij betrokken worden. Wanneer de diverse processen duidelijk in beeld zijn gebracht, kan vervolgens worden beoordeeld welke maatregelen (echt) nodig zijn (3. Maatregelen). Daarna dienen deze maatregelen (voor mei 2018) geïmplementeerd te worden (4. Implementatie) en vervolgens, als dat gelukt is, dienen de geïmplementeerde maatregelen steeds gemonitord te worden (5. Monitoring).

Voor specifieke onderwerpen als datalekken is het verstandig draaiboeken klaar te hebben, zodat snel (binnen de voorgeschreven termijnen) kan worden gehandeld en intern en extern gecommuniceerd kan worden met en door een al van te voren geformeerd team. Ook over de inrichting en bemensing van de DPO-functie en het vaststellen van voor de onderneming passende procedures, dient goed te worden nagedacht. Waaronder het trainen (bewust maken) van het personeel.

Oplossingen

Wij snappen dat dit overweldigend kan zijn. Wij helpen u graag het bos weer te zien. Door gestructureerd te werk te gaan is veel mogelijk in de relatief korte tijd die nog rest tot mei volgend jaar. Om u daarbij te helpen, werken wij samen met Richard Kranendonk van Rent-a-CIO, gespecialiseerd in IT governance en projectmanagement en Paul Domburg, gespecialiseerd in Cybersecurity. Met de multidisciplinaire oplossing ‘Rent-a-DPO’, bieden wij u een multidisciplinaire integrale oplossing aan waarin de benodigde expertises op het gebied van Privacy, Cybersecurity, Governance en projectmanagement zijn gebundeld, om te kunnen voldoen aan de AVG. Daarbij bieden we u verschillende producten en diensten aan, specifiek gericht op de AVG. Door de modulaire opbouw kunt u gemakkelijk een keuze maken wat u zelf wilt doen, en wat u samen met ons wilt doen, tegen voorspelbare kosten.

Voor een vrijblijvende afspraak, neem contact op met Irvette Tempelman, Bob Cordemeyer of Christiaan Jeekel, te bereiken op +31 (0)23 534 01 00, of via email: info@cslaw.nl. Meer over deze multidisciplinaire producten en diensten kunt u lezen op de site van Rent-a-DPO.

Recente berichten
  • 16 mei 2022

    AP voert cumulatieve boetebevoegdheid maximaal door

    Sil Kingma
    Het is voor het eerst de geschiedenis dat de Autoriteit Persoonsgegevens in een besluit een zestal overtredingen van de AVG constateert. Alle overtredingen hebben betrekking op het gebruik en de beveiliging door de Belastingdienst van haar applicatie Fraude Signalering Voorziening (FSV). FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen
    Lees verder
  • 15 maart 2022

    (IT) detacheerders wees scherp op het relatie- en concurrentiebeding!

    Marion Hagenaars
    Werknemers die uit dienst treden om aansluitend (dezelfde) werkzaamheden te gaan verrichten voor de opdrachtgever waar ze eerder gedetacheerd waren. Een ongewenst scenario dat vaak voorkomt. Door het belemmeringsverbod kan de werkgever geen beroep doen op een concurrentie- en relatiebeding. Als deze bedingen ook nog eens niet juist zijn opgesteld – omdat ze geen rekening
    Lees verder
  • 1 februari 2022

    Ongewenst gedrag op de werkvloer – regels en consequent beleid

    Marion Hagenaars
    Door The Voice moest ik weer even terugdenken aan de voorbeelden in mijn eigen praktijk. De afgelopen jaren heb ik van alles voorbij zien komen: van seksueel getinte en discriminerende “grappen” in App-groepen tot porno kijkende collega’s een bureau verder en aanvankelijk gewenste relaties op het werk die volledig escaleren. De impact is vaak groot
    Lees verder

Plaats een reactie

Top