Nieuwe Europese privacywetgeving: begin tijdig met de voorbereiding

Vanaf 25 mei 2018 moeten organisaties voldoen aan de nieuwe privacy wetgeving, de Algemene verordening gegevensbescherming (AVG). De AVG geldt voor de gehele Europese Unie en vervangt de huidige nationale Wet bescherming persoonsgegevens (Wbp). Ten opzichte van de Wbp zorgt de AVG voor een versterking en uitbreiding van privacy rechten van personen, legt het meer verplichtingen op aan organisaties die persoonsgegevens verwerken en wordt overtreding van de regels strenger gesanctioneerd. 

Onder de AVG geldt dat een groter aantal gegevens dan nu het geval is als persoonsgegevens wordt aangemerkt. In beginsel zijn alle tot een individu te herleiden gegevens persoonsgegevens. Dit zijn niet alleen de voor de hand liggende gegevens zoals naam, adres en geboortedatum, maar ook een IP adres, beelden of kentekengegevens. Daarnaast worden een aantal gegevens als bijzondere persoonsgegevens aangemerkt (ras, seksuele geaardheid, medische gegevens). Deze gegevens mogen slechts in uitzonderlijke situaties, gebaseerd op een wettelijke uitzondering, worden opgeslagen en verwerkt. 

Van belang is dat privacygevoelige gegevens worden beschermd tegen lekken en dat moet worden voorkomen dat derden met deze informatie aan de haal gaan. Dit betekent niet alleen dat maatregelen getroffen moeten worden tegen bijvoorbeeld hackers, maar ook het beveiligen van gegevens op een mobiele telefoon vraagt om aandacht. Immers indien derden in een onbewaakt moment persoonsgegevens op een mobiele telefoon kunnen bekijken, dan levert dit al een datalek op. Afhankelijk van de mogelijke risico’s dient een datalek te worden gemeld bij de Autoriteit Persoonsgegevens en eventueel de betrokkenen.

Grote ondernemingen met 250 of meer werknemers en organisaties die stelselmatig persoonsgegevens verwerken, zijn verplicht een register van verwerkingsactiviteiten bij te houden. Bepaalde organisaties dienen tevens een functionaris gegevensbescherming aan te stellen. 

Indien persoonsgegevens worden bewerkt, dan dient daarvoor een bewerkingsovereenkomst te worden opgemaakt waarin nadere bepalingen met betrekking tot de verwerking van de persoonsgegevens en de bescherming daarvan zijn opgenomen. Ook dient daarin te worden opgenomen wat gebeurt in geval van een datalek. Of een dergelijke overeenkomst noodzakelijk is, hangt af van de wijze waarop met persoonsgegevens wordt omgegaan.

In hoofdzaak gaat het er om dat er bewustwording is omtrent de aanwezigheid van persoonsgegevens, dat duidelijk is voor welk doel deze gegevens aanwezig zijn en dat er niet meer gegevens aanwezig zijn dan voor dat betreffende doel noodzakelijk is. Verder nog dat deze gegevens niet langer worden bewaard dan voor het doel noodzakelijk is, dat de gegevens juist zijn en zo nodig kunnen worden gecorrigeerd. En uiteraard dat de betrokkenen er op mag vertrouwen dat dat op een vertrouwelijke wijze met de gegevens wordt omgegaan en dat deze afdoende zijn beschermd tegen verlies, diefstal, verminking etc.
Voor organisaties die persoonsgegevens verwerken zal implementatie van de nieuwe wetgeving een gedegen voorbereiding vragen. De Autoriteit Persoonsgegevens adviseert organisaties daarom op tijd te beginnen met de implementatie van de nieuwe regels.

 

Terug naar het overzicht

Wat wij twitteren

Mooie opkomst bij de informatieavond Fiscale Highlights uit het regeerakkoord 'Vertrouwen in de toekomst'. Onze bel… twitter.com/i/web/status/9…

Onze collega's

Miranda Hesselink
Miranda Hesselink
Assistent Accountant