Lisanne Meijerhof

advocaat

Lisanne is advocaat voor corporate litigation en stichtingen en verenigingen

lisanne.meijerhof@russell.nl
+31 20 301 55 55

Reinier Russell

managing partner

Reinier adviseert nationale en internationale bedrijven

reinier.russell@russell.nl
+31 20 301 55 55

Nieuwe privacywetgeving raakt iedereen

Publicatiedatum 25 april 2018

Het schandaal rond Facebook en Cambridge Analytica heeft privacy extra op de kaart gezet. Eind mei treedt de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), in werking. Wat moet u in elk geval nog regelen?

persoonsgegevens - ubo

Privacy is hot. Mark Zuckerberg moest door het stof vanwege Cambridge Analytica dat via Facebook persoonsgegevens vergaarde van 87 miljoen personen. Ook het Haga Ziekenhuis schond de privacy door onvoldoende maatregelen te nemen om te voorkomen dat ongeautoriseerde medewerkers konden grasduinen in de medische gegevens van een bekende Nederlandse. Vanaf 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking, met daarin zware sancties bij overtreding. Russell Advocaten organiseerde op 16 en 17 april 2018 al een seminar over de AVG waarin (potentiële) cliënten werden bijgepraat over de gevolgen van de AVG. Wat betekent de AVG voor u?

De Algemene Verordening Gegevensbescherming

De AVG is Europese wetgeving die direct van toepassing is in alle landen van de EU, maar ook daarbuiten. Het Chinese AliBaba moet ook aan de AVG voldoen, omdat het goederen aanbiedt in de EU.

Het doel van de AVG is om individuen meer controle te geven over hun eigen persoonsgegevens. Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon, zoals naam, adres, DNA, kenteken, persoonlijke voorkeuren, etcetera. Bedrijfsgegevens vallen daar niet onder, maar het 06-nummer van een contactpersoon weer wel.

Dagelijks delen individuen persoonsgegevens met organisaties. Dat gebeurt bewust (bijvoorbeeld als u iets online bestelt of lid wordt van een vereniging) en onbewust (bijvoorbeeld door beveiligingscamera’s). De AVG is daarop van toepassing, tenzij een natuurlijke persoon persoonsgegevens verwerkt voor uitsluitend niet-zakelijke privédoeleinden. De huiselijke verjaardagskalender valt dus niet onder de AVG.

Verplichte privacyverklaring voor bedrijven en instanties

De AVG verplicht organisaties om vooraf inzichtelijk te maken welke persoonsgegevens zij nodig hebben, voor welk doel, met wie zij die persoonsgegevens eventueel deelt en hoelang de persoonsgegevens worden bewaard. Dat kan door middel van een privacyverklaring of privacy statement op de website van de organisatie.

Een dergelijke verklaring dient personen te informeren over de wijze van verwerking van persoonsgegevens – opslag, wijziging, delen, etc. – zodat zij weten wat er met hun gegevens gebeurt en – waar nodig – geïnformeerd toestemming kunnen geven voor die verwerkingen. Verwerking van persoonsgegevens is namelijk uitsluitend toegestaan als het individu daarvoor expliciet toestemming heeft gegeven of dat noodzakelijk is voor:

  • uitvoering van een (toekomstige) overeenkomst waarbij het individu partij is
  • voldoening aan een wettelijke verplichting
  • vitale belangen van het individu of een andere natuurlijke persoon
  • vervulling van een taak van algemeen belang of uitoefening van openbaar gezag en/of
  • een gerechtvaardigd belang van de verwerkingsverantwoordelijke

Ook moet worden aangegeven of gegevens worden gedeeld met derden. Met deze derden moet een verwerkersovereenkomst worden gesloten. Deze verplichting geldt niet alleen voor bijvoorbeeld het beschikbaar stellen van adresgegevens aan PostNL, zodat PostNL de bestelling op het juiste adres kan afleveren, maar ook wanneer uw salarisadministratie uitbesteedt en zo persoonsgegevens van uw werknemers deelt. In de verwerkersovereenkomst wordt ook vastgelegd dat die gegevens niet mogen worden gebruikt voor andere doeleinden.

Rechten van personen

Verder dient de privacyverklaring de rechten van personen te bevatten en de wijze waarop zij van deze rechten gebruik kunnen maken. Dit betreft de rechten op:

  • inzage van gegevens
  • correctie van gegevens
  • verwijdering van gegevens (“recht om vergeten te worden”)
  • beperking van de gegevensverwerking
  • overdraagbaarheid van gegevens
  • verzet tegen verwerkingen, en
  • het recht om niet onderworpen te zijn aan geautomatiseerde besluitvorming. Dit kan inhouden dat u moet aangeven van welke systemen u gebruik maakt.

Conclusie

De AVG betekent een flinke administratieve last voor bedrijven en organisaties. Zij zullen in hun processen moeten nagaan over welke persoonsgegevens zij (moeten) beschikken en of daarvoor (nog) een toereikende juridische grondslag bestaat. Is die grondslag of noodzaak er niet, dan zal de organisatie alsnog toestemming moeten vragen aan het individu of de gegevens moeten verwijderen.

Er komt niet alleen meer administratie, maar bedrijven moeten zich ook verantwoorden over het gebruik dat zij maken van persoonsgegevens. Tegenover personen die contact hebben met de organisatie – bijvoorbeeld klanten en leveranciers – kan dit door middel van een privacyverklaring of privacy statement. Omdat de boetes bij overtreding van de AVG zeer hoog kunnen zijn, moet een dergelijke verklaring juridisch goed in elkaar zitten.

Meer informatie

Wilt u dat wij een privacyverklaring voor u opstellen of controleren? Of heeft u andere vragen over de AVG en over wat u als organisatie moet doen om ‘AVG-proof’ te worden? Neem dan contact met ons op:

    Bovenstaande gegevens verwerken wij met uw toestemming, u kunt uw toestemming altijd weer intrekken. Lees ook onze privacyverklaring.

    Gerelateerde publicaties

    Is uw personeelsadministratie klaar voor de AVG?

    Eind deze week, op 25 mei 2018, treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Die heeft niet alleen gevolgen voor uw website of webwinkel, maar ook voor uw personeelsadministratie. Is die al klaar voor de AVG?

    Lees meer

    AVG: Overzicht nieuwe Europese regelgeving

    In deze nieuwsbrief zet Russell Advocaten voor u kort op een rij wat de belangrijkste verwachte wijzigingen in de Europese privacywetgeving zijn. Meer gedetailleerde informatie vindt u in onze reeks nieuwsbrieven over dit onderwerp.

    Lees meer

    4 November 2024: Dutch Labour Law Basics for Diplomats

    On Monday 4 November 2024, Russell Advocaten Russell Advocaten will host a seminar on Dutch labour law for diplomats, consular agents, and administrative staff from Embassies and Consulates in collaboration with Diplomat Magazine.

    Lees meer

    2 October 2024: Labor and Employment Client Seminar by Primerus

    On Wednesday 2 October 2024, Jan Dop will be one of the members of the panel that will present timely labor and employment law issues to Primerus clients.

    Lees meer

    25 September 2024: Cybersecurity and Data Protection in Litigation

    Wednesday 25 September 2024, Reinier Russell will discuss cybersecurity and data protection in litigation at the European meeting of the World Litigation Forum in Barcelona.

    Lees meer

    24 September 2024: Risk management: social media in the company

    On Tuesday 24 September 2024, Reinier Russell and Jan Dop will speak at the Technical Meeting of PAiE, the organisation of professional accountants in Europe.

    Lees meer