Privacywet: Wees voorbereid op de vele regels

Privacywet: Wees voorbereid op de vele regels
september 20, 2017
Tag: Blogs
6 minute read

De verstrekkende en complexe privacywet (ook wel de AVG genoemd) is in mei 2018 in werking getreden. Wat betekent de AVG voor jou? Noodzakelijke technische aanpassingen, wijziging van je privacy policy, verplichte registratie van bepaalde gegevens, betere beveiliging en in sommige gevallen de plicht om een functionaris Gegevensbescherming aan te stellen. De AVG in een notendop: burgers hebben met deze wet aanzienlijk meer zeggenschap over hun online gegevens en bedrijven moeten goed kunnen uitleggen wat ze met die gegevens doen. Één ding is zeker: privacybescherming moet serieus genomen worden en de boetes kunnen hoog oplopen voor bedrijven.

We adviseren je om in ieder geval deze wet niet licht op te vatten. Start met het inventariseren van aanpassingen die je misschien moet gaan doorvoeren. In deze blog bespreken wij belangrijke onderdelen van de AVG. Hierdoor krijg je een beeld van de nieuwe wet en de risico’s die je loopt als jouw bedrijf niet 'AVG proof' is.

Val ik onder de nieuwe regelgeving?

De activiteiten van je bedrijf vallen al snel onder de AVG. Ben je een bedrijf dat persoonsgegevens "verwerkt" (zie hieronder wat dit betekent) van burgers uit de Europese Unie?  Of ben je een bedrijf dat persoonsgegevens verwerkt en gevestigd is in de Europese Unie? Dan is de AVG op jou van toepassing.

Wat zijn persoonsgegevens?

De AVG regels zijn van toepassing op persoonsgegevens. Persoonsgegevens zijn alle gegevens aan de hand waarvan een persoon geïdentificeerd kan worden. Hierbij kun je denken aan naam, geboortedatum, locatiegegevens, maar ook cookies en IP-adressen.

Wat wordt er bedoeld met “verwerken”?

Onder “verwerken” wordt in de AVG vrijwel alles verstaan wat je kunt doen met gegevens. Denk hierbij bijvoorbeeld aan het verzamelen, opslaan, vernietigen, doorzenden, opvragen en bewerken van dergelijke gegevens.

Hoe voldoe ik aan de informatieverplichting op mijn website?

Transparantie eisen waren er altijd al. De AVG bepaalt echter dat de gegevens verwerkt moeten worden op een manier die transparant is voor de bezoeker van de website. In jouw privacy policy moet je de bezoekers laten weten dat het mogelijk is dat zij hun gegevens in kunnen zien zien of kunnen laten aan te passen. Daarnaast mogen zij vragen of je hun gegevens kan verwijderen (‘recht om vergeten te worden’). Je legt uit dat zij een dergelijk verzoek kunnen indienen en dat zij dit op een gemakkelijke manier kunnen doen. Worden de gegevens (ook) buiten de EU verwerkt? Dan vermeld je dit in je privacy policy. Verder dien je de bezoekers in je privacy policy te informeren dat ze een klacht kunnen indienen tegen jou bij de toezichthouder. Stel je daarnaast interesseprofielen op? Dat moet je jouw bezoekers ook laten weten.

Let er verder op dat vereist zal zijn dat je de informatie die je verstrekt in nog gemakkelijkere en begrijpelijkere taal moet formuleren. Grote lappen tekst vol juridisch jargon zijn dan ook uit den boze.

Per is de AVG in werking getreden?

Per 25 mei 2018 zijn de nieuwe regels in werking getreden. Als je een nieuw bedrijf start, inventariseer dan direct wat jij moet doen om AVG proof te worden. Heb je een bestaand bedrijf? Dan kan deze klus tijdrovender en complexer zijn. Het is goed mogelijk dat jouw onderneming vergaande aanpassingen moet doorvoeren in, bijvoorbeeld, de IT- of beveiligingssystemen.

Wie houdt toezicht op de naleving van de privacywet?

Het is de Autoriteit Persoonsgegevens die toezicht houdt op de naleving van de AVG samen met een Europees Comité. Verder onderzoekt deze instantie de tips die binnenkomen en deelt eventuele boetes uit.

Een functionaris Gegevensbescherming, moet ik die aanstellen?

Wordt de gegevensverwerking verricht door een overheidsinstantie of overheidsorgaan? Of heeft jouw bedrijf als kernactiviteit het verwerken van “bijzondere gegevens” (lees hieronder wat dit precies inhoudt)? Of volgt jouw bedrijf op grote schaal personen om vervolgens deze gegevens te verwerken (bijvoorbeeld middels monitoring)? Dan dien je een onafhankelijke Functionaris Gegevensbescherming aan te stellen. 

Wie kan ik aanstellen tot functionaris Gegevensbescherming?

Een functionaris Gegevensbescherming moet goede kennis hebben van de privacywetgeving. Indien niemand binnen je bedrijf hier kennis van heeft, kun je iemand aanstellen en op cursus sturen. Voor een schamele € 1.950,- kun je een tiendaagse cursus tot functionaris Gegevensbescherming regelen. Deze persoon zal verantwoordelijkheid dragen jou te helpen aan de regelgeving te voldoen, als contactpunt fungeren tussen jou en de toezichthoudende instantie en ervoor zorgdragen dat jouw bedrijf voldoet aan de privacywetten.

Wat zijn bijzondere personengegevens?

Het is verboden om bijzondere persoonsgegevens te verwerken. Dit zijn persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond. Verder zijn dit genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Deze gegevens mogen alleen verwerkt worden onder bepaalde voorwaarden. Is dit van belang voor je onderneming? Lees dan sectie 7 van dit rapport.

Maak je al gebruik van bewerkersovereenkomsten?

Je bent verplicht om een bewerkersovereenkomst (na ingang AVG: verwerkersovereenkomst) te sluiten wanneer er sprake is van een andere partij die de door jou opgeslagen persoonsgegevens verwerkt. De belangrijkste verandering hier is dat je toestemming nodig hebt van de persoon wiens gegevens betrokken worden bij de diensten die je uitbesteedt aan de verwerker. Laat je dit na? Dan kun je aansprakelijk worden gesteld.

Waar moet ik verder nog rekening mee houden?

  • Register van verwerkingen: Je dient alle verwerkingen van persoonsgegevens die je verricht bij te houden in een register.
  • Privacy by design: Gegevensbescherming ‘bij ontwerp’ betekent dat je in een zo vroeg mogelijk stadium, zoals bijvoorbeeld al bij het ontwerpen van je (ICT-) producten en diensten, al verhoogde privacy-maatregelen moet nemen. Denk bijvoorbeeld aan het maken van de afweging of voor een bepaalde dienst gewoon met geanonimiseerde gegevens kan worden gewerkt in plaats van persoonsgegevens.
  • Datalekken: Heb je een datalek? Op grond van de AVG regelgeving dien je dit (i) intern goed te registreren, (ii) de personen om wie het gaat snel hierover in te lichten, en (iii) binnen 72 uur het voorval te melden aan de Autoriteit Persoonsgegevens. Hier kun je je datalekken melden.
  • Databeveiliging: De databeveiligingseisen zijn aangescherpt met de AVG. Elke onderneming dient bijvoorbeeld een beveiligingsbeleid op te stellen waarin wordt uitgestippeld hoe er gehandeld dient te worden ingeval van verlies van persoonsgegevens of onrechtmatige verwerking.
  • Indirecte gegevens: Heb je gegevens verwerkt die niet rechtstreeks door een bezoeker van je website zelf aan je zijn verstrekt? Dan dien je deze persoon binnen een maand duidelijk te maken via welke bron je aan de persoonsgegevens komt en om welke persoonsgegevens het gaat. De AVG stelt dat dit binnen een maand dient te gebeuren.
  • Recht op dataportabiliteit: Personen moeten hun persoonlijke gegevens die jij verwerkt, kunnen downloaden in een voor hen begrijpelijk formaat voor hun eigen administratie. Ja, deze wet gaat ver! Alle belangrijke elementen van dataportabiliteit kun je hier vinden.
  • Privacy Impact Assessments (PIA): De AVG spreekt over het uitvoeren van periodieke PIAs. Met PIAs kan een verwerker controleren of een dienst of product daadwerkelijk privacy-proof is en word je als verwerker in staat gesteld vervolgens de privacy-risico’s die je websitebezoekers lopen te beperken. Een goed moment hiervoor is bijvoorbeeld wanneer de privacy-risico’s van een nieuw project in kaart dienen te worden gebracht. De Autoriteit Persoonsgegevens (AP) legt hier alle situaties uit waarbij PIAs verplicht zijn.

Kunnen boetes oplopen tot 4% van je jaaromzet?

Houd je bedrijf zich niet aan de AVG regels? De sancties zijn niet voor de poes. Boetes kunnen oplopen tot 20 miljoen euro of tot 4% van de jaaromzet! Aan de hand van verschillende factoren wordt een "passende" straf vastgesteld. Hierbij kan je denken:

- schadeloosstelling

- het afdragen van verkregen winsten

- een berisping

- een verbod op verwerking van gegevens

- strafrechtelijke sancties of de bovengenoemde administratieve boetes

We adviseren je om de AVG niet te onderschatten, omdat de hoge boetes een enorme impact kunnen hebben op je bedrijf. Het gaat om vele regels en onze privacy specialisten kunnen je goed adviseren om een compleet plaatje te krijgen over wat het betekent voor jouw onderneming.

Hoe kan ik mezelf AVG-proof maken?

Als ondernemer heb je drie opties om je onderneming AVG-proof te maken:

  1. Je kan een advocaat inschakelen. Het voordeel van deze optie is dat je verzekerd bent dat je AVG-proof bent, indien je de instructies van de advocaat opvolgt. Het nadeel van deze optie is dat dit honderden dan wel duizenden euro's kan gaan kosten.
  2. Je kan zelf je onderneming AVG-proof maken. Het voordeel van deze optie is dat dit geheel kosteloos kan. Verder hoef je ook niet je huis te verlaten. Het nadeel is dat je niet verzekerd bent dat wat je doet ook juridisch correct is. Bovendien ben je waarschijnlijk ontzettend veel tijd kwijt aan het uitvogelen en doorvoeren van alle noodzakelijke aanpassingen.
  3. Je kan je via Ligo advies inwinnen en documenten downloaden. Bij Ligo ben je ervan verzekerd dat alle juridische documenten in de database op tijd aan de AVG zullen worden aangepast. Ook zal je hiervan een melding ontvangen in je mailbox, zodat jij precies weet op welk moment de nieuwe documenten online staan. Verder kan je met een Ligo Plan onbeperkt vragen indienen over de AVG bij onze specialistische advocaten.

Vraag nu je een telefonisch consult aan bij Ligo met een van onze privacy advocaten.

Vraag nu gratis consult aan!

Happy entrepreneuring!

 

Download de gratis Holding Gids

Download hier de gratis Holding Gids. Hierin lees je alles wat je moet weten over de persoonlijke holding.

Download Book

Start met slim ondernemen

Doe de gratis Legal Checkup

Start Checkup

Hulp & support

Voor meer informatie klik op support
Support

Ligo Plan

Bekijk de voordelen hier met slechts één klik
Word member

Ook interessant

Het minimumsalaris voor een directeur-grootaandeelhouder (DGA) van € 48.000,- kan voor ondernemers e...
januari 13, 2022
60% van de startende bedrijven bestaat niet meer na 3 jaar. Een bedrijf starten gaat gepaard met ris...
januari 13, 2022
Ben jij van plan om een commerciële onderneming te starten? Dat kan je dat op verschillende manieren...
juli 13, 2021
Download de gratis Holding Gids

Download hier de gratis Holding Gids. Hierin lees je alles wat je moet weten over de persoonlijke holding.

Download Book
cover_holding_ebook_white
Download de gratis Holding Gids

Download hier de gratis Holding Gids. Hierin lees je alles wat je moet weten over de persoonlijke holding.

Download Book

Ons Team

Ons team bestaat uit gedreven enthousiastelingen die elke dag een stapje extra zetten om van Ligo een groot succes te maken. We houden van aanpakken, van streven naar een doel, van impact maken en dat elke dag.

Working days: 09:00-18:00

Chat Time

Working days: 09:00-23:00

Weekend: 09:00-23:00

team_Img

Ons Team

Ons team bestaat uit gedreven enthousiastelingen die elke dag een stapje extra zetten om van Ligo een groot succes te maken. We houden van aanpakken, van streven naar een doel, van impact maken en dat elke dag.

Working days: 09:00-18:00

Chat Time

Working days: 09:00-23:00

Weekend: 09:00-23:00