Europese Privacyverordening, GDPR, AVG: wat moet je ermee?

Europese Privacyverordening, GDPR, AVG: wat moet je ermee?

Privacy, een veelbesproken onderwerp. Dagelijks lezen we in het nieuws dat er persoonsgegevens op straat liggen, dat de databeveiliging niet op orde is of dat er een datalek heeft plaatsgevonden. Maar (nog) lang niet iedereen maakt zich druk om zijn privacy. Alle bedrijven zouden zich inmiddels wél druk moeten maken om privacy.

Over een klein half jaar treedt immers de Algemene Verordening Gegevensbescherming (AVG, ook wel Europese Privacyverordening of GDPR genoemd) in werking, waarin diverse verplichtingen zijn opgenomen. Er kunnen forse boetes worden opgelegd indien niet aan de verplichtingen in de AVG wordt voldaan. Hoog tijd dus om met het onderwerp Privacy aan de slag te gaan!

Welke verplichtingen heb ik als bedrijf?

In de AVG zijn diverse verplichtingen opgenomen, die gelden voor iedereen die op de een of andere manier persoonsgegevens verwerkt. Daarbij zijn de definities van “persoonsgegeven” en “verwerking” erg ruim, dus de AVG is al snel van toepassing. In de huidige maatschappij kun je als bedrijf eigenlijk niet meer aan toepassing van de privacywetgeving ontkomen.

De verplichtingen in de AVG komen er in hoofdlijnen op neer dat je persoonsgegevens zo min mogelijk mag verwerken (dus alleen voor zover noodzakelijk), dat je zorgvuldig moet omgaan met de persoonsgegevens, en dat je de (wijze van) verwerking van de persoonsgegevens goed moet documenteren.

Hoe zorg ik dat ik aan de verplichtingen voldoe?

Omdat persoonsgegevens vaak op verschillende plekken in een bedrijf worden verwerkt, kan privacywetgeving behoorlijke gevolgen hebben. Voor de kleinere bedrijven (die veelal minder gevoelige persoonsgegevens verwerken) geldt uiteraard wel dat je niet roomser moet willen zijn dan de paus, maar het is voor ieder bedrijf van belang om bij een datalek of een controle door de Autoriteit Persoonsgegevens te kunnen laten zien dat privacy aandacht krijgt.

Voordat je als bedrijf aan de verplichtingen in de AVG voldoet, moeten er wel diverse stappen worden gezet. Ik hoor vaak dat bedrijven zich afvragen: “Waar moet ik beginnen?”. Als antwoord op deze vraag hebben we onderstaand stappenplan ontwikkeld, waar bedrijven (al dan niet onder begeleiding van een jurist) mee aan de slag kunnen. 

Stappenplan

  1. Inventarisatie verwerking persoonsgegevens
    • in welke rol/welke gegevens/op welke grondslag etc.
  2. Vaststellen gewenste situatie
    • aanbevelingen naar aanleiding van de inventarisatie
  3. Documentatie
    • privacybeleid, verwerkingsregister, privacy reglement
  4. Beoordeling beveiliging
    • technisch/organisatorisch passend?
  5. Procedure rondom datalek
    • calamiteitenplan, logboek datalekken
  6. Rechten van betrokkenen
    • inzage, correctie, etc.: mogelijk om hieraan te voldoen?
  7. Bewerkersovereenkomst
    • doorgifte gegevens aan derden?
  8. Bewustwording personeel
    • belang privacy en eventuele beleidswijzigingen communiceren
  9. Mogelijke overige verplichtingen
    • functionaris gegevensbescherming, data protection impact assessment

Tot slot

In de periode tot de inwerkingtreding van de AVG zal ik aan alle negen stappen een apart blog wijden, waarin ik de achtergrond en de noodzakelijke acties nader zal uitwerken. Mocht je op zoek zijn naar een jurist die je kan begeleiden op het gebied van privacy, neem dan gerust contact met me op. Ook vragen met betrekking tot de AVG of privacy in het algemeen beantwoord ik graag!

Auteur

Sanne Deunk-Freriks

Jurist BonsenReuling
Als jurist bij BonsenReuling houd ik mij, naast de algemene MKB-adviespraktijk, graag bezig met juridische vraagstukken op het gebied van online ondernemen. Dit varieert van vraagstukken inzake privacyrecht tot vraagstukken met betrekking tot intellectueel eigendomsrecht, telecommunicatierecht en algemeen contractenrecht. Ik streef ernaar ondernemers op een praktische manier juridisch te ontzorgen, zodat zij zich zo veel mogelijk kunnen bezighouden met waar ze goed in zijn.

Daarnaast maak ik deel uit van het kernteam van juristenindezorg.nl, met welk team we zorginstellingen ontzorgen op het gebied van HR en P&O. Dit doen we op onze eigen praktische wijze, met kennis van zowel juridische, fiscale, bedrijfseconomische als pensioentechnische aspecten.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *