Privacy First
De Europese Algemene Verordening Gegevensbescherming (AVG) zal op 25 mei 2018 onherroepelijk ook in Nederland van kracht worden. De privacy-verordening heeft directe werking in alle landen van de EU. Het belang is groot en kan op de to-do-list voor januari.
Met name ondernemingen en overheden zullen worden geconfronteerd met de noodzaak zich aan de privacyrichtlijnen te houden en deze ook tijdig te implementeren.
De gevolgen op de werkvloer zullen aanzienlijk zijn. Er wordt ook nogal wat verwacht van organisaties die met privacygevoelige gegevens werkzaam zijn.
Boete
De nieuwe regeling kent een ingrijpend boetestelsel. De boete kan zelfs oplopen tot € 20.000.000,- of 4% van de jaarlijkse wereldwijde omzet; afhankelijk welk bedrag hoger is.
Grondrecht
De privacy die deze verordening beoogt te beschermen is veelomvattend en onder meer ontleend aan de in verdragen vastgelegde grondrechten, zoals die in het Europees verdrag voor de rechten van de mens. Gedacht kan worden aan het recht op eerbiediging van de persoonlijke levenssfeer, de lichamelijke integriteit en de vrijheid van gedachte.
Persoonsgegevens
De AVG beschrijft persoonsgegevens als iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. In de praktijk gaat dat ver. Daarbij valt te denken aan het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van verzending, verspreiding of op andere wijze ter beschikking stellen, combineren, afschermen, wissen of vernietigen van gegevens. De uitzonderingen hierop zijn op één hand te tellen.
Hoofdlijnen
De vraag die breed leeft is op welke wijze de verordening in daden kan worden omgezet. Er zijn al wel een aantal hoofdlijnen aan te geven. Ook de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, heeft al geprobeerd om enigszins duiding te geven. In dit korte bestek verwijs ik naar zijn website: autoriteitpersoonsgegevens.nl. Kort gezegd kan een verdeling worden gemaakt in : “mag het?”, “hoe richt je de organisatie en processen in?”, “hoe ga je ermee om?” en “hoe communiceer je erover”?
Verwerkingsverantwoordelijke
In de AVG is bepaald dat rekeninghoudend met de aard, omvang, de context en het doel van de verwerking, als ook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de verordening wordt uitgevoerd. Die maatregelen dienen te worden geëvalueerd en indien nodig geactualiseerd. Het gaat om maatregelen die reeds thans kunnen worden getroffen maar ook om de verplichtingen na invoering van de AVG.
Zoals hiervoor omschreven zijn de vereisten vooral technisch en organisatorisch.
Privacymanagement
Meer concreet stelt de AVG een aantal eisen aan de organisatie. Meest opvallend is het verwerkingsregister. Veel genoemd is ook de Functionaris Gegevens Bescherming: overigens niet (steeds) verplicht.
Het verwerkingsregister
In het AVG is opgenomen dat elke verantwoordelijke een register van de verwerkingsactiviteiten bijhoudt.
In het verwerkingsregister dient te worden opgenomen welke organisatie het betreft, de contactgegevens van de mede-verantwoordelijke, de verwerkingsdoeleinden, een beschrijving van de categorieën van betrokkenen en de persoonsgegevens, categorieën van de ontvangers, informatie over doorgifte aan derde landen, beoogde bewaartermijnen en beschrijving van het veiligheidsbeleid.
Vrijstelling
Anders dan wel werd aangenomen is de vrijstelling om een verwerkingsregister te houden zeer beperkt. In de praktijk betekent dit dat vrijwel elke onderneming of organisatie een dergelijk register dient te houden.
Aan de slag
De eerste te zetten stap zal die van de analyse zijn. Organisaties moeten o.a. analyseren welke verwerkingen worden uitgevoerd, door henzelf of hun leveranciers; welke soort gegevens het betreft, voor welke doeleinden zij dit doen en welke veiligheidsmaatregelen getroffen zijn. Organisaties moeten een zodanig beleid opstellen en aantoonbaar technische en organisatorische maatregelen nemen om ervoor te zorgen dat de persoonsgegevens transparant en in overeenstemming met de regels worden verwerkt. Daarbij zullen de systemen en processen moeten worden ingericht en beheerd om tegemoet te komen aan de rechten van de betrokkenen, zoals het recht van inzage, van rectificatie en het recht om vergeten te worden.
Urgent te doen
Met het vorenstaande heb ik geprobeerd om alvast het nieuwe jaar in te luiden. Alom bespeur ik de urgentie om maatregelen te treffen. Dat geldt niet alleen voor onze eigen organisatie – DHC Advocaten – maar ook voor die van onze cliënten. De tijd dringt maar anderzijds is het ook nog geen 25 mei 2018. Meer weten? Neem contact op!
mr. Edy Hoogendam
Onderneming en bedrijf, Insolventie en herstructurering, Arbeid en inkomen