Dat is privé . . alles over de AVG

Datum: 22 februari 2018

In Nederland vinden we de bescherming van persoonsgegevens erg belangrijk. Een Europese wet, één richtlijn, was er echter nog niet . . .  tot nu. Met de nieuwe wet Algemene Verordening Persoonsgegevens, oftewel AVG, gaat er een hoop veranderen. Vooral voorbereiding kost tijd. Is uw bedrijf al AVG proof? De aanwezigen werden op 22 februari tijdens de BIZ-bijeenkomst 'Vernieuwde privacy wetgeving' bijgepraat door BoelsZanders Advocaten.


Waarom komt er een nieuwe wet?

De richtlijn die we in Nederland hebben stamt uit 1995. ‘’Toen stond het internet nog in de kinderschoenen’’, liet Anique van de Kerkhof van Boels Zanders weten. Daarom is het tijd voor een nieuwe wet. Sinds 2016 is er al een meldplek voor datalekken, maar met deze nieuwe wet moet iedereen zich eens goed achter de oren gaan krabben.


Wanneer mag je informatie opslaan?

Ten eerste heb je met deze nieuwe wet de uitdrukkelijke toestemming nodig van klanten, bijvoorbeeld voor het benaderen van klanten bijvoorbeeld voor het benaderen van klanten met aanbiedingen. Dat gaat dus niet meer zo makkelijk als voorheen. Dat geldt echter niet voor medewerkers. Wanneer er sprake is van een afhankelijkheidsrelatie (baas – medewerker) mag alleen de verplichte informatie worden opgeslagen. De rest niet. Zelfs niet bij toestemming. Ten tweede is er een wettelijke verplichting om bepaalde informatie op te slaan. Dan is er nog het gerechtvaardigd belang, zoals bij een verzekeringsmaatschappij, legt Anique uit. Ook uitvoering van de overeenkomst is een grondslag. Ook uitvoering van de overeenkomst is een grondslag. Als laatste is er het vitaal belang. Een voorbeeld hiervan is een pinda-allergie. Die mag worden doorgegeven aan een ambulancebroeder omdat dit een leven kan redden. Bij gebruik van opgeslagen informatie heb je wel te maken met doelbinding: als iemand zich inschrijft voor een nieuwsbrief mag die informatie niet zomaar worden gebruikt voor andere doelen.


Wat is er nieuw in de AVG?

In de AVG zijn twee interessante ontwikkelingen. Privacy by design en Privacy by default. Privacy by design betekent dat er bij het ontwerpen van een technisch systeem rekening wordt gehouden met de privacy. Welke gegevens heeft u nodig? Hoe beveiligt u die gegevens? Kunt u de gegevens anoniem opslaan? Kunt u gebruik maken van encryptie of wachtwoorden? Dat zijn vragen die u zichzelf moet stellen.


Privacy by default betekent dat privacy de standaard moet zijn. ‘’In Facebook bijvoorbeeld zou de instelling van een profiel standaard privé moeten zijn’’, laat Anique weten.


 


Internationaal zakendoen

Heeft uw bedrijf meerdere vestigingen of entiteiten in de EU? Voor allemaal gelden dezelfde regels. Er moet een privacy beleid zijn. Voor ingehuurde professionals (externen) heeft u voortaan de uitdrukkelijke toestemming nodig voor het opslaan en gebruiken van gegevens zoals een BSN of paspoort. Voor zaken met landen buiten de EU geldt: nee, tenzij. Ook hier geldt dat uitdrukkelijke toestemming nodig is.


Monica Leenders van Boels Zanders zegt dat het schrijven van een privacy beleid belangrijk is. ‘’Maak een inventarisatie. Wat gebeurt er met persoonsgegevens in mijn bedrijf?’’ HR, marketing, financiën, receptie . . . al deze afdelingen hebben te maken met persoonsgegevens. Het is belangrijk om te weten wat er met informatie gebeurt, want een verkeerde e-mail kan al worden aangemerkt als een Datalek. Wat schrijf je bijvoorbeeld in het systeem als iemand ziek is? Bovendien kunt u met zo’n beleid aantonen dat u serieus bezig bent met de privacy van uw klanten. De boetes voor schending van de privacy zijn in de toekomst fors. Denk aan 10 tot 20 miljoen of 2-4% van uw jaarlijkse omzet.


 


Documentatieplicht

Heeft u méér dan 250 werknemers? Dan is een verwerkingsregister verplicht. Daarin staat omschreven welke gegevens u bewaart, waarom u deze nodig heeft, hoe lang u ze bewaart, hoe u ze opslaat, wie er toegang heeft enzovoort.


Bij overheidsinstellingen, publieke organisaties en nuts bedrijven is een Functionaris Gegevensbescherming, oftewel FG, verplicht. Dit geldt ook voor bedrijven die zich bezig houden met observatie (zoals een cameratoezichtbedrijf) of een organisatie met bijzondere persoonsgegevens (zoals een school). Een FG heeft ontslagbescherming en heeft twee taken: advies geven over privacy en toezicht houden. Een FG wordt aangemeld bij de Autoriteit Persoonsgegevens.


Ten slotte

Heeft u een overeenkomst met een verwerker? Kijk deze na. De huidige overeenkomst is niet meer geldig, omdat er nu sprake is van een verwerker en een verwerkingsverantwoordelijke. Volledige toegang tot het systeem is voor de verwerker niet toegestaan. Wel het delen van actuele klantgegevens.


 


Meer weten? Kijk dan op https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving

De presentatie van BoelsZanders Advocaten kunt u opvragen bij het secretariaat; info@debiz.nl. De brochure van BoelsZanders download u hier.

 

Dankwoord

Voor deze bijeenkomst gaat onze speciale dank uit naar Anique van de Kerkhof en Monica Leenders van Boels Zanders Advocaten voor hun informatieve presentatie en brede kennis. Ook gaat onze dank uit naar de catering en de gastvrijheid van Mazars Accountants en belastingadviseurs en naar Bolsius Nederland B.V.

 

Volgende bijeenkomst

De volgende bijeenkomst Road2TheMiddleEast vindt plaats op 15 maart in het Willem II Stadion te Tilburg.




Terug naar nieuwsoverzicht


Onze partners: