Privacy / GDPR / AVG … get started!

 in IT-recht, Ondernemingsrecht

Op 25 mei 2018 moet uw organisatie “AVG-proof” zijn, of anders gezegd: u moet dan aan nog meer eisen op het gebied van privacy voldoen dan nu het geval. Iedere onderneming die persoonsgegevens verzamelt of anderszins verwerkt moet vanaf dat moment aantoonbaar voldoen aan de (Europese) Algemene Verordening Gegevensbescherming.

Afwachten?

Afwachten en we zien wel, gaat niet werken. Nu al kunnen bij schending van de huidige privacyregels hoge boetes worden opgelegd tot maximaal €820.000,- of 10% van de jaaromzet, maar vanaf mei 2018 kan dat oplopen tot maar liefst €20.000.000,- of 4% van de wereldwijde jaaromzet. Wellicht denkt u dat het niet zo’n vaart zal lopen. Echter als u niets doet, is het gevaar op een boete wel degelijk reëel. Maar los van de boetes loopt u ook andere risico’s, denk daarbij aan bestuurdersaansprakelijkheid, bestuurlijke dwangmaatregelen, een verbod op het nog langer verwerken van persoonsgegevens, negatieve publiciteit en ontevreden klanten en stakeholders.

Een woud aan regels

Er moet aan flink wat voorwaarden voldaan zijn, ook door het midden – en kleinbedrijf. Denk aan: een passend beveiligingsniveau van de IT-systemen, waarbij meestal de verplichting bestaat gegevens te pseudonimiseren of anderszins te versleutelen; het faciliteren van de rechten van de data subjecten (degenen wier persoonsgegevens worden verwerkt) op onder meer inzage en rectificatie en het recht op dataportabiliteit; de plicht om gegevens te wissen van data subjecten; verplichtingen ten aanzien van de inrichting van organisatie en systemen opdat de gevraagde informatie snel en adequaat verstrekt kan worden; adequate verwerkingsovereenkomsten met alle verwerkers; uitsluitend gebruik maken van verwerkers die voldoende garanties bieden ten aanzien van passende technische en organisatorische maatregelen; de administratie van alle persoonsgegevensverwerkingen, met bijbehorende doelomschrijving, verwerkingsgrondslagen en bewaartermijnen; het kunnen aantonen dat toestemming tot verwerking is verleend – per te onderscheiden verwerkingsdoel – wanneer de gegevens worden verwerkt op basis van toestemming van de data subjecten; de verplichting alles in dit kader schriftelijk gedocumenteerd te hebben en aan een toezichthouder inzichtelijk te kunnen maken wat het beleid is en waarom bepaalde keuzes zijn gemaakt; uitgebreide informatieplichten richting de datasubjecten over de voorgenomen verwerkingshandelingen die tijdig dienen plaats te vinden in een eenvoudige leesbare en toegankelijke vorm en de verplichting tot het melden van datalekken. Maar zo zijn er nog meer plichten en voorwaarden.

Daarnaast is het in veel gevallen verplicht om een officer (“DPO” of Data Protection Officer) aan te stellen: dit geldt voor overheidsorganen, voor organisaties waarvan de kernactiviteit bestaat uit het regelmatig en systematisch monitoren van data subjecten en organisaties die op grote schaal verwerken van bijzondere persoonsgegevens. Vrijwillige aanstelling van een DPO is ook mogelijk maar ook dan dient voldaan te zijn aan de wettelijke vereisten daarvoor.

Het is mogelijk. Onze aanpak

Het is van groot belang dat de directie en andere belangrijke beslissers in een onderneming bewust worden dat er wat moet gebeuren (1. Awareness). De verplichtingen omzetten in een positieve doelen. Een adequaat privacy-beleid is meestal positief voor de reputatie en wordt gewaardeerd door alle stakeholders. Vervolgens alle bedrijfsprocessen in kaart brengen waarbij persoonsgegevens worden verwerkt (2. Beschrijven van alle bedrijfsprocessen). Daar zijn allerlei hulpmiddelen voor. Belangrijk is dat daar de juiste personen in de onderneming bij betrokken worden. Wanneer de diverse processen duidelijk in beeld zijn gebracht, kan vervolgens worden beoordeeld welke maatregelen (echt) nodig zijn (3. Maatregelen). Daarna dienen deze maatregelen (voor mei 2018) geïmplementeerd te worden (4. Implementatie) en vervolgens, als dat gelukt is, dienen de geïmplementeerde maatregelen steeds gemonitord te worden (5. Monitoring).

Voor specifieke onderwerpen als datalekken is het verstandig draaiboeken klaar te hebben, zodat snel (binnen de voorgeschreven termijnen) kan worden gehandeld en intern en extern gecommuniceerd kan worden met en door een al van te voren geformeerd team. Ook over de inrichting en bemensing van de DPO-functie en het vaststellen van voor de onderneming passende procedures, dient goed te worden nagedacht. Waaronder het trainen (bewust maken) van het personeel.

Oplossingen

Wij snappen dat dit overweldigend kan zijn. Wij helpen u graag het bos weer te zien. Door gestructureerd te werk te gaan is veel mogelijk in de relatief korte tijd die nog rest tot mei volgend jaar. Om u daarbij te helpen, werken wij samen met Richard Kranendonk van Rent-a-CIO, gespecialiseerd in IT governance en projectmanagement en Paul Domburg, gespecialiseerd in Cybersecurity. Met de multidisciplinaire oplossing ‘Rent-a-DPO’, bieden wij u een multidisciplinaire integrale oplossing aan waarin de benodigde expertises op het gebied van Privacy, Cybersecurity, Governance en projectmanagement zijn gebundeld, om te kunnen voldoen aan de AVG. Daarbij bieden we u verschillende producten en diensten aan, specifiek gericht op de AVG. Door de modulaire opbouw kunt u gemakkelijk een keuze maken wat u zelf wilt doen, en wat u samen met ons wilt doen, tegen voorspelbare kosten.

Voor een vrijblijvende afspraak, neem contact op met Irvette Tempelman, Bob Cordemeyer of Christiaan Jeekel, te bereiken op +31 (0)23 534 01 00, of via email: info@cslaw.nl. Meer over deze multidisciplinaire producten en diensten kunt u lezen op de site van Rent-a-DPO.

Recente berichten
  • 14 september 2022

    Krappe arbeidsmarkt? Wees scherp op uw concurrentiebeding!

    Mirjam Scheper
    In de huidige krappe arbeidsmarkt wordt een concurrentiebeding steeds breder ingezet, veelal in de vorm van een standaardclausule. In de praktijk zie ik dat gebruik van een concurrentiebeding – mede hierdoor – vaak zijn doel voorbij schiet. Dat kan leiden tot onnodige discussies, procedures en kosten.
    Lees verder
  • 14 september 2022

    Actualiteiten arbeidsrecht voor HR-professionals en bedrijfsjuristen donderdag 3 november 2022

    Marion Hagenaars
    Mirjam Scheper
    Krapte op de arbeidsmarkt, Wet transparante en voorspelbare arbeidsvoorwaarden, hybride werken. De arbeidsmarkt is volop in beweging. Wat zijn de gevolgen? Hoe beweegt de arbeidsmarkt zich en hoe beweegt u daarin mee als HR-professional of bedrijfsjurist? Blijf aangehaakt bij het dynamische rechtsgebied dat het arbeidsrecht nu eenmaal is!
    Lees verder
  • 4 juli 2022

    Wet transparante en voorspelbare arbeidsvoorwaarden

    Mirjam Scheper
    De Eerste Kamer heeft op 21 juni 2022 het wetsvoorstel Wet transparante en voorspelbare arbeidsvoorwaarden aanvaard. Het wetsvoorstel implementeert de gelijknamige EU-richtlijn en treedt 1 augustus 2022 in werking. De richtlijn heeft als doel de inhoud van het werk vooraf transparanter en beter voorspelbaar te maken. De belangrijkste wijzigingen – die ik hieronder op hoofdlijnen
    Lees verder

Plaats een reactie

Top