Waar moet u op letten bij de nieuwe privacywet?
Het kan u niet ontgaan zijn: op 25 mei 2018 gaat de nieuwe privacywet in, de Algemene Verordening Gegevensbescherming (AVG). In heel Europa geldt hiervoor dan dezelfde wetgeving. Niet alles in deze wet is nieuw.
Wat wel nieuw is, is dat betrokkenen meer rechten hebben gekregen. Zo hebben betrokkenen het recht om hun eigen gegevens in te zien, om hun gegevens te laten corrigeren, om hun gegevens te laten verwijderen en om hun gegevens te laten overdragen aan een derde, bijvoorbeeld aan een concurrent.
Bedrijven die de gegevens van betrokkenen gebruiken hebben meer plichten. Zij mogen de gegevens alleen nog maar gebruiken als zij daar een in de wet vastgelegde reden voor hebben, of toestemming van de betrokkene. Zij mogen niet méér gegevens registreren dan strikt noodzakelijk, deze alleen gebruiken voor het doel waarvoor ze zijn opgevraagd en deze niet langer bewaren dan noodzakelijk.
In de AVG wordt veel aandacht besteed aan de beveiliging van deze gegevens. Alle bedrijven moeten kunnen aantonen dat de verwerking van de gegevens in overeenstemming is met de AVG. Om deze reden moeten bedrijven beleid opstellen en registreren welke gegevens zij verwerken, waarom zij deze gegevens nodig hebben, waar zij de gegevens opslaan, hoe lang ze die bewaren en welke beveiligingsmaatregelen ze hebben getroffen.
Meestal hebben derde partijen ook toegang tot persoonsgegevens, denk aan de helpdesk van uw ict-bedrijf of het bedrijf dat uw loonadministratie doet. Met deze partijen moet u een overeenkomst sluiten waarin u afspreekt dat deze bedrijven op hun beurt ook voldoen aan de AVG.
De organisatie die toezicht houdt op de naleving van de regels is de Autoriteit Persoonsgegevens (AP). Hier moeten ook datalekken gemeld worden. De AP kan hoge boetes opleggen aan bedrijven die de verplichtingen uit de AVG niet nakomen. De verwachting is dat dit in het begin nog niet zo’n vaart zal lopen, omdat de regelgeving op onderdelen nog voor verschillende interpretaties vatbaar is. Maar als je als bedrijf met bijzondere persoonsgegevens werkt, bijvoorbeeld medische gegevens, ras, politieke overtuiging, of met profilering (verwerking van persoonsgegevens door middel van een geautomatiseerd proces) moet je aan strengere eisen voldoen, en is het belangrijk je zaakjes eerder op orde te hebben.
Wilt u hulp bij uitleg van de AVG of bij het opstellen van een verwerkersovereenkomst? Neem dan contact met ons op.