Wat te doen met de AVG?

Geplaatst op: 24 mei 2018

Bewustwording van uw personeel

Alle personen welke binnen de organisatie werkzaam zijn moeten op de hoogte zijn of worden gesteld van de nieuwe privacyregels (bewustwording). Het gaat dan met name om de personen welke dagelijks met persoonsgegevens werken. Betreffende personen dienen volgens de AVG dagelijks met de vereisten van de AVG bezig te zijn en waar nodig, de bedrijfsprocessen aan te passen zodat er conform de AVG wordt gehandeld.

Het aanbieden van een (inhouse)training betreffende de nieuwe privacywetgeving is een prima manier om aan te tonen dat u uw medewerkers bewustwording bijbrengt. Dit dient u dan ook te registreren, zodat u dit later kunt aantonen. Recht-oprecht kan dergelijke trainingen verzorgen.

Rechten betrokkenen  

Betrokkenen die het vermoeden hebben dat zijn/ haar gegevens op onrechtmatige wijze worden verwerkt hebben onder de AVG meer en duidelijkere rechten gekregen. Uw organisatie dient hierop te zijn ingericht, om aan deze rechten te kunnen voldoen. Een betrokkene kan ook een klacht indienen bij de Autoriteit Persoonsgegevens (verder: AP) indien zij het gevoel hebben dat zijn/ haar rechten niet worden gerespecteerd. Het gaat om de volgende rechten:

  • Het recht op dataportabiliteit. Het recht om persoonsgegevens over te dragen (NIEUW);
  • Het recht op vergetelheid. Het recht om ‘vergeten’ te worden (NIEUW);
  • Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die u van hen verwerkt in te zien;
  • Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te wijzigen;
  • Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken;
  • Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten;
  • Het recht om bezwaar te maken tegen de gegevensverwerking.

Let op: een betrokkene kan ook uw medewerker zijn, welke zijn/ haar personeelsdossier in wil zien en eventueel bepaalde gegevens wil wijzigen.

Praktisch: welke zaken moeten geregeld zijn indien de AP een controle uitvoert?

De belangrijkste wijziging onder de AVG is dat u een verantwoordingsplicht heeft jegens uw betrokkenen waarvan u de persoonsgegevens verwerkt. Dit betekent dat u moet kunnen aantonen dat u zich aan de privacywetgeving houdt en u zult in veel gevallen uw betrokkenen ook actief moeten informeren.

U voldoet aan de verantwoordingsplicht indien u, in ieder geval, de volgende documenten heeft ingeregeld én bijhoudt, namelijk:

  • Verwerkingsregister;
  • Verwerkingsovereenkomst(en);
  • Privacyverklaring. 

Verwerkingsregister

Het bijhouden van een verwerkingsregister is een goede manier om aan te tonen dat u aan de privacy regels voldoet. Het opstellen van een verwerkingsregister is verplicht voor organisaties die op niet incidentele basis persoonsgegevens verwerken. Bijv: indien u slechts vier maal per jaar een adreswijziging doorvoert, bent u niet verplicht een register bij te houden.

Dit betekent dat in de praktijk de bakker op de hoek ook een verwerkingsregister op zou moeten stellen. De verplichting om wel of geen register op te stellen is dus niet afhankelijk van de grootte van uw organisatie. Indien u regelmatig nieuw personeel aanneemt, offertes opmaakt voor nieuwe klanten etc. dan bent u structureel persoonsgegevens aan het verwerken.

Verwerkingsovereenkomst(en)

Indien u andere partijen inschakelt om namens u persoonsgegevens te verwerken, dan moet u met deze organisatie afspraken maken welke worden vastgelegd in een verwerkersovereenkomst. U blijft als verwerkersverantwoordelijke verantwoordelijk voor deze persoonsgegevens. Middels de verwerkersovereenkomst waarborgt u dat uw verwerker dezelfde privacy- en beveiligingsmaatregelen in acht neemt als u. U sluit tevens uit dat de andere partij de persoonsgegevens voor eigen (commerciële) doelen verwerkt.

Let op: U heeft dus niet met iedere willekeurige derde een verwerkersovereenkomst te sluiten. Enkel met partijen die de persoonsgegevens ook echt volgens uw instructies mogen verwerken. Met een leasemaatschappij of een pensioenuitvoerder hoeft dus géén verwerkersovereenkomst gesloten te worden, maar wel met de salarisadministrateur.

Privacyverklaring

Onder de AVG bent u verplicht om uw betrokkenen te informeren over wat u met hun persoonsgegevens doet. Deze verplichting geldt zowel voor nieuwe als bestaande betrokkenen. Een online privacyverklaring is de meest handige manier om aan deze informatieverplichting te voldoen.

De AVG stelt als eis dat de informatie omtrent verwerkingen schriftelijk moet worden gegeven. Door het (laten) opstellen van een dergelijke privacyverklaring voldoet u aan dit vereiste. U kunt deze privacyverklaring actief aanbieden aan uw betrokkenen en/ of deze online op uw website aanbieden, zodat deze verklaring voor iedereen goed vindbaar is.

Boetes voorkomen

Indien u bovenstaande maatregelen treft voorkomt u dat de AP u boetes oplegt, welke kunnen oplopen tot 20 miljoen of 4% van uw wereldwijde jaaromzet. Het vergt een eenmalige investering, maar deze weegt niet op tegen de hoogte van de eventuele boetes.

Handhaving AP

In de komende periode zal de nodige jurisprudentie uitwijzen hoe sommige open normen ingevuld dienen te worden. Hieromtrent houdt Recht-oprecht u actief op de hoogte.

De verwachting is dat de AP niet direct tot strikte handhaving zal overgaan en alle organisaties per 26 mei 2018 gaat controleren, mede vanwege een capaciteitsgebrek, maar het is wel van belang om aan te tonen dat u bewust met de nieuwe privacywetgeving bezig bent. Met bovenstaande documenten kunt u deze bewustwording aantonen.

Heeft u naar aanleiding van bovenstaande nog vragen? Dan kunt u contact opnemen met Recht-oprecht via: info@recht-oprecht.nl of 06-18255032.