Privacy / GDPR / AVG … get started!

 in IT-recht, Ondernemingsrecht

Op 25 mei 2018 moet uw organisatie “AVG-proof” zijn, of anders gezegd: u moet dan aan nog meer eisen op het gebied van privacy voldoen dan nu het geval. Iedere onderneming die persoonsgegevens verzamelt of anderszins verwerkt moet vanaf dat moment aantoonbaar voldoen aan de (Europese) Algemene Verordening Gegevensbescherming.

Afwachten?

Afwachten en we zien wel, gaat niet werken. Nu al kunnen bij schending van de huidige privacyregels hoge boetes worden opgelegd tot maximaal €820.000,- of 10% van de jaaromzet, maar vanaf mei 2018 kan dat oplopen tot maar liefst €20.000.000,- of 4% van de wereldwijde jaaromzet. Wellicht denkt u dat het niet zo’n vaart zal lopen. Echter als u niets doet, is het gevaar op een boete wel degelijk reëel. Maar los van de boetes loopt u ook andere risico’s, denk daarbij aan bestuurdersaansprakelijkheid, bestuurlijke dwangmaatregelen, een verbod op het nog langer verwerken van persoonsgegevens, negatieve publiciteit en ontevreden klanten en stakeholders.

Een woud aan regels

Er moet aan flink wat voorwaarden voldaan zijn, ook door het midden – en kleinbedrijf. Denk aan: een passend beveiligingsniveau van de IT-systemen, waarbij meestal de verplichting bestaat gegevens te pseudonimiseren of anderszins te versleutelen; het faciliteren van de rechten van de data subjecten (degenen wier persoonsgegevens worden verwerkt) op onder meer inzage en rectificatie en het recht op dataportabiliteit; de plicht om gegevens te wissen van data subjecten; verplichtingen ten aanzien van de inrichting van organisatie en systemen opdat de gevraagde informatie snel en adequaat verstrekt kan worden; adequate verwerkingsovereenkomsten met alle verwerkers; uitsluitend gebruik maken van verwerkers die voldoende garanties bieden ten aanzien van passende technische en organisatorische maatregelen; de administratie van alle persoonsgegevensverwerkingen, met bijbehorende doelomschrijving, verwerkingsgrondslagen en bewaartermijnen; het kunnen aantonen dat toestemming tot verwerking is verleend – per te onderscheiden verwerkingsdoel – wanneer de gegevens worden verwerkt op basis van toestemming van de data subjecten; de verplichting alles in dit kader schriftelijk gedocumenteerd te hebben en aan een toezichthouder inzichtelijk te kunnen maken wat het beleid is en waarom bepaalde keuzes zijn gemaakt; uitgebreide informatieplichten richting de datasubjecten over de voorgenomen verwerkingshandelingen die tijdig dienen plaats te vinden in een eenvoudige leesbare en toegankelijke vorm en de verplichting tot het melden van datalekken. Maar zo zijn er nog meer plichten en voorwaarden.

Daarnaast is het in veel gevallen verplicht om een officer (“DPO” of Data Protection Officer) aan te stellen: dit geldt voor overheidsorganen, voor organisaties waarvan de kernactiviteit bestaat uit het regelmatig en systematisch monitoren van data subjecten en organisaties die op grote schaal verwerken van bijzondere persoonsgegevens. Vrijwillige aanstelling van een DPO is ook mogelijk maar ook dan dient voldaan te zijn aan de wettelijke vereisten daarvoor.

Het is mogelijk. Onze aanpak

Het is van groot belang dat de directie en andere belangrijke beslissers in een onderneming bewust worden dat er wat moet gebeuren (1. Awareness). De verplichtingen omzetten in een positieve doelen. Een adequaat privacy-beleid is meestal positief voor de reputatie en wordt gewaardeerd door alle stakeholders. Vervolgens alle bedrijfsprocessen in kaart brengen waarbij persoonsgegevens worden verwerkt (2. Beschrijven van alle bedrijfsprocessen). Daar zijn allerlei hulpmiddelen voor. Belangrijk is dat daar de juiste personen in de onderneming bij betrokken worden. Wanneer de diverse processen duidelijk in beeld zijn gebracht, kan vervolgens worden beoordeeld welke maatregelen (echt) nodig zijn (3. Maatregelen). Daarna dienen deze maatregelen (voor mei 2018) geïmplementeerd te worden (4. Implementatie) en vervolgens, als dat gelukt is, dienen de geïmplementeerde maatregelen steeds gemonitord te worden (5. Monitoring).

Voor specifieke onderwerpen als datalekken is het verstandig draaiboeken klaar te hebben, zodat snel (binnen de voorgeschreven termijnen) kan worden gehandeld en intern en extern gecommuniceerd kan worden met en door een al van te voren geformeerd team. Ook over de inrichting en bemensing van de DPO-functie en het vaststellen van voor de onderneming passende procedures, dient goed te worden nagedacht. Waaronder het trainen (bewust maken) van het personeel.

Oplossingen

Wij snappen dat dit overweldigend kan zijn. Wij helpen u graag het bos weer te zien. Door gestructureerd te werk te gaan is veel mogelijk in de relatief korte tijd die nog rest tot mei volgend jaar. Om u daarbij te helpen, werken wij samen met Richard Kranendonk van Rent-a-CIO, gespecialiseerd in IT governance en projectmanagement en Paul Domburg, gespecialiseerd in Cybersecurity. Met de multidisciplinaire oplossing ‘Rent-a-DPO’, bieden wij u een multidisciplinaire integrale oplossing aan waarin de benodigde expertises op het gebied van Privacy, Cybersecurity, Governance en projectmanagement zijn gebundeld, om te kunnen voldoen aan de AVG. Daarbij bieden we u verschillende producten en diensten aan, specifiek gericht op de AVG. Door de modulaire opbouw kunt u gemakkelijk een keuze maken wat u zelf wilt doen, en wat u samen met ons wilt doen, tegen voorspelbare kosten.

Voor een vrijblijvende afspraak, neem contact op met Irvette Tempelman, Bob Cordemeyer of Christiaan Jeekel, te bereiken op +31 (0)23 534 01 00, of via email: info@cslaw.nl. Meer over deze multidisciplinaire producten en diensten kunt u lezen op de site van Rent-a-DPO.

Recent Posts
  • 26 april 2018

    Moet aanzeggen nu wél of niet schriftelijk?

    Marion Hagenaars
    Het lijkt zo eenvoudig: de werkgever informeert de werknemer schriftelijk uiterlijk een maand voordat een arbeidsovereenkomst voor bepaalde tijd van rechtswege eindigt over het al dan niet voortzetten van de arbeidsovereenkomst. Doet hij dit niet, dan is hij aan de werknemer een vergoeding verschuldigd. Waarom ontstaat er dan toch zo vaak discussie tussen werkgever en
    Lees verder
  • 19 maart 2018

    Wie bepaalt noodzaak en inhoud verbetertraject: werkgever of medewerker?

    Marion Hagenaars
    Voor de HR-professional een bekend verschijnsel: disfunctioneren. Met de aantrekkende arbeidsmarkt waardoor het vinden van geschikte kandidaten een uitdaging is, is de disfunctionerende medewerker voor de HR-professional een belangrijk agendapunt. Dit geldt zeker binnen de IT-branche. Maar wie bepaalt of een verbetertraject noodzakelijk is? En waar moet een goed verbetertraject aan voldoen?
    Lees verder
  • 13 maart 2018

    De HR professional en privacy – Deel VII: persoonsgegevens delen met derden

    Marion Hagenaars
    Evelien van den Berg
    Personeelsgegevens die u als werkgever verkregen heeft, mag u niet zomaar doorgeven aan personen of instanties buiten uw organisatie. Denk daarbij bijvoorbeeld aan de Belastingdienst, het UWV, het pensioenfonds of uw advocaat. Verstrekken van personeelsgegevens aan derden Als werkgever verwerkt u persoonsgegevens en daarop is de AVG van toepassing. U bent dan verwerkingsverantwoordelijke en dat
    Lees verder

Plaats een reactie