Gepubliceerd op: 7 juli 2016

Ondernemer, let op de privacy van uw klanten

Sinds een maand worden alle (bedrijfs-)organisaties in zowel de publieke, als ook de private sector geacht hun bedrijfsvoering in overeenstemming te brengen met de nieuwe privacy richtlijnen. Daarvoor krijgen zij 2 jaar de tijd, want op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) daadwerkelijk rechtstreeks van toepassing in heel Europa. Na deze datum mag een ieder deze bedrijven aanspreken op de naleving van de AVG en bestaat het risico dat zij een boete opgelegd krijgen tot maar liefst 20 miljoen euro, of maximaal 4% van de mondiale jaaromzet.

De AVG heeft grote invloed op alle bedrijven die persoonsgegevens verwerken. Daarbij moet niet alleen worden gedacht aan Google, Facebook of Twitter; ook het MKB dat persoonsgegevens verwerkt dient zich te conformeren aan de nieuwe regelgeving.

Wijziging Wet bescherming persoonsgegevens

Met het oog op de AVG heeft de Nederlandse wetgever per 1 januari 2016 al wijzigingen aangebracht in de Nederlandse Wet bescherming persoonsgegevens (“Wbp”). Kernpunten van die wijziging zijn de meldplicht voor datalekken én – misschien nog wel veel belangrijker – de boetebevoegdheid van de Autoriteit Persoonsgegevens. De AP mag sinds 1 januari 2016 boetes opleggen aan bedrijven tot een bedrag van maximaal € 820.000,-, of maximaal 10% van de mondiale jaaromzet.

Zes aandachtspunten voor ondernemers rond de nieuwe wet omtrent privacy

  1. Meldplicht voor datalekken voor elk bedrijf dat persoonsgegevens verwerkt.
  2. De Autoriteit Persoonsgegevens is bevoegd boetes te geven.
  3. De bedrijven moeten voortaan burgers beter informeren over de verwerking van hun persoonsgegevens.
  4. Bedrijven moeten dataportabiliteit mogelijk maken, wat betekent dat betrokkenen hun persoonsgegevens mee moeten kunnen verhuizen tussen bedrijven.
  5. Ook moeten bedrijven een ‘data protection officer’ (ofwel een gegevensfunctionaris) voor gegevensbescherming aanstellen, als zij grote hoeveelheden bijzondere persoonsgegevens verzamelen óf het verzamelen van persoonsgegevens als hoofdactiviteit hebben.
  6. In sommige gevallen moet de dataverantwoordelijke binnen een organisatie, voorafgaand aan de verwerking, een ‘data protection impact assessment’ uitvoeren.

Assessments in verschillende vormen

Een data protection assessment is vooral nodig bij het gebruik van nieuwe technologieën die een hoog risico met zich meebrengen ten aanzien van de rechten en vrijheden van de betrokkenen. Hierbij valt te denken aan discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatie-schade of elke andere aanzienlijke economische of maatschappelijke schade. De toezichthoudende autoriteit, in Nederland dus de AP, stelt een lijst op van het soort verwerkingsoperaties waarvoor een privacyeffectbeoordeling verplicht is. De verantwoordelijke stemt vervolgens met de functionaris gegevensbescherming af of een dergelijk assessment noodzakelijk is.

Als verwerking van persoonsgegevens een hoog privacyrisico inhoudt, moet de verantwoordelijke vooraf een zogeheten Privacy Impact Assessment (“PIA”) uitvoeren. Deze effectbeoordeling is een risicoanalyse van de effecten op het gebied van privacy bij nieuwe systemen en verwerkingen, profiling, gevoelige verwerkingen en bijzondere gegevens en omvat een beschrijving van de risicoanalyse, te nemen maatregelen, waarborgen en het aantonen dat die maatregelen en waarborgen ook werken.

Werkt u regelmatig met persoonsgegevens en wilt u weten of uw organisatie voldoet aan de nieuwe verplichtingen ingevolge de gewijzigde wet en de in werking getreden verordening, neemt u dan contact op met Fruytier Lawyers in Business. Wij adviseren u graag.

Koen Wanders
Koen Wanders

Artikelen door Koen Wanders

Stuur ons een bericht

Voor verdere vragen kunt u het formulier hieronder gebruiken. Wij nemen dan zo spoedig mogelijk contact met u op.