Lisanne is advocaat voor corporate litigation en stichtingen en verenigingen
lisanne.meijerhof@russell.nl +31 20 301 55 55Reinier adviseert nationale en internationale bedrijven
reinier.russell@russell.nl +31 20 301 55 55Het schandaal rond Facebook en Cambridge Analytica heeft privacy extra op de kaart gezet. Eind mei treedt de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), in werking. Wat moet u in elk geval nog regelen?
Privacy is hot. Mark Zuckerberg moest door het stof vanwege Cambridge Analytica dat via Facebook persoonsgegevens vergaarde van 87 miljoen personen. Ook het Haga Ziekenhuis schond de privacy door onvoldoende maatregelen te nemen om te voorkomen dat ongeautoriseerde medewerkers konden grasduinen in de medische gegevens van een bekende Nederlandse. Vanaf 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking, met daarin zware sancties bij overtreding. Russell Advocaten organiseerde op 16 en 17 april 2018 al een seminar over de AVG waarin (potentiële) cliënten werden bijgepraat over de gevolgen van de AVG. Wat betekent de AVG voor u?
De AVG is Europese wetgeving die direct van toepassing is in alle landen van de EU, maar ook daarbuiten. Het Chinese AliBaba moet ook aan de AVG voldoen, omdat het goederen aanbiedt in de EU.
Het doel van de AVG is om individuen meer controle te geven over hun eigen persoonsgegevens. Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon, zoals naam, adres, DNA, kenteken, persoonlijke voorkeuren, etcetera. Bedrijfsgegevens vallen daar niet onder, maar het 06-nummer van een contactpersoon weer wel.
Dagelijks delen individuen persoonsgegevens met organisaties. Dat gebeurt bewust (bijvoorbeeld als u iets online bestelt of lid wordt van een vereniging) en onbewust (bijvoorbeeld door beveiligingscamera’s). De AVG is daarop van toepassing, tenzij een natuurlijke persoon persoonsgegevens verwerkt voor uitsluitend niet-zakelijke privédoeleinden. De huiselijke verjaardagskalender valt dus niet onder de AVG.
De AVG verplicht organisaties om vooraf inzichtelijk te maken welke persoonsgegevens zij nodig hebben, voor welk doel, met wie zij die persoonsgegevens eventueel deelt en hoelang de persoonsgegevens worden bewaard. Dat kan door middel van een privacyverklaring of privacy statement op de website van de organisatie.
Een dergelijke verklaring dient personen te informeren over de wijze van verwerking van persoonsgegevens – opslag, wijziging, delen, etc. – zodat zij weten wat er met hun gegevens gebeurt en – waar nodig – geïnformeerd toestemming kunnen geven voor die verwerkingen. Verwerking van persoonsgegevens is namelijk uitsluitend toegestaan als het individu daarvoor expliciet toestemming heeft gegeven of dat noodzakelijk is voor:
Ook moet worden aangegeven of gegevens worden gedeeld met derden. Met deze derden moet een verwerkersovereenkomst worden gesloten. Deze verplichting geldt niet alleen voor bijvoorbeeld het beschikbaar stellen van adresgegevens aan PostNL, zodat PostNL de bestelling op het juiste adres kan afleveren, maar ook wanneer uw salarisadministratie uitbesteedt en zo persoonsgegevens van uw werknemers deelt. In de verwerkersovereenkomst wordt ook vastgelegd dat die gegevens niet mogen worden gebruikt voor andere doeleinden.
Verder dient de privacyverklaring de rechten van personen te bevatten en de wijze waarop zij van deze rechten gebruik kunnen maken. Dit betreft de rechten op:
De AVG betekent een flinke administratieve last voor bedrijven en organisaties. Zij zullen in hun processen moeten nagaan over welke persoonsgegevens zij (moeten) beschikken en of daarvoor (nog) een toereikende juridische grondslag bestaat. Is die grondslag of noodzaak er niet, dan zal de organisatie alsnog toestemming moeten vragen aan het individu of de gegevens moeten verwijderen.
Er komt niet alleen meer administratie, maar bedrijven moeten zich ook verantwoorden over het gebruik dat zij maken van persoonsgegevens. Tegenover personen die contact hebben met de organisatie – bijvoorbeeld klanten en leveranciers – kan dit door middel van een privacyverklaring of privacy statement. Omdat de boetes bij overtreding van de AVG zeer hoog kunnen zijn, moet een dergelijke verklaring juridisch goed in elkaar zitten.
Wilt u dat wij een privacyverklaring voor u opstellen of controleren? Of heeft u andere vragen over de AVG en over wat u als organisatie moet doen om ‘AVG-proof’ te worden? Neem dan contact met ons op:
Eind deze week, op 25 mei 2018, treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Die heeft niet alleen gevolgen voor uw website of webwinkel, maar ook voor uw personeelsadministratie. Is die al klaar voor de AVG?
In deze nieuwsbrief zet Russell Advocaten voor u kort op een rij wat de belangrijkste verwachte wijzigingen in de Europese privacywetgeving zijn. Meer gedetailleerde informatie vindt u in onze reeks nieuwsbrieven over dit onderwerp.
On Monday 4 November 2024, Russell Advocaten Russell Advocaten will host a seminar on Dutch labour law for diplomats, consular agents, and administrative staff from Embassies and Consulates in collaboration with Diplomat Magazine.
On Wednesday 2 October 2024, Jan Dop will be one of the members of the panel that will present timely labor and employment law issues to Primerus clients.
Wednesday 25 September 2024, Reinier Russell will discuss cybersecurity and data protection in litigation at the European meeting of the World Litigation Forum in Barcelona.
On Tuesday 24 September 2024, Reinier Russell and Jan Dop will speak at the Technical Meeting of PAiE, the organisation of professional accountants in Europe.