Bent u al AVG-proof?
Ondernemers sociëteit voedingsindustrie
B2B Communications
Wallbrink Crossmedia
Kijk ook eens op

Bent u al AVG-proof?

  • 14 november 2017
  • Door: Joost Mosselman (advocaat ICT en privacy) en Thijs van Liempd (advocaat arbeidsrecht en privacy)

Op 25 mei 2018 vervangt de AVG (Algemene Verordening Gegevensbescherming) de huidige privacywet. De nadruk ligt - meer dan nu - op de verantwoordelijkheid van organisaties te kunnen aantonen dat zij zich aan de wet houden. Voldoet uw onderneming al aan de aangescherpte informatieverplichting?

Met de AVG (ofwel ‘General Data Protection Regislation’: GDPR) is er straks één privacywet voor de hele Europese Unie. De AVG geldt met ingang van 25 mei 2018 voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen. Denk aan de salarisadministratie, en de verwerking van klantgegevens (waaronder ook gegevens van eenmanszaken). Naast namen en adressen kunnen ook gegevens gekoppeld aan IP-adressen, cookies, enzovoort onder de wet vallen, mits herleidbaar tot een natuurlijk persoon. Personen krijgen extra privacyrechten, zoals het recht op vergetelheid.

Verwerkingsregister

Een belangrijk nieuw beginsel van de AVG is het ‘accountability principe’. Dit houdt in dat iedere onderneming op ieder moment moet kunnen aantonen dat zij de verplichtingen uit de AVG naleeft.  Zo is het straks verplicht, voor iedere onderneming met 250 of meer personen in dienst, om een ‘register van verwerkingsactiviteiten’ bij te houden. Kleine ondernemingen (met minder dan 250 personen in dienst) moeten zo’n register alleen bijhouden als de verwerking van persoonsgegevens een risico inhoudt voor de rechten en vrijheden van diegene waarvan de persoonsgegevens worden verwerkt, de verwerking niet incidenteel is, of als bijzondere categorieën van persoonsgegevens (zoals ras, gezondheid of politieke opvattingen) worden verwerkt.

Tijd dus om aan de slag te gaan met voorbereiden op de AVG. Het niet nakomen van de verplichtingen uit de AVG kan leiden tot forse boetes (maximaal € 20.000.000 of 4% van de wereldwijde omzet)!

Stappenplan

Het opzetten en bijhouden van een verwerkingsregister maakt onderdeel uit van de register- en documentatieplicht. Naleving van de AVG moet aantoonbaar gemaakt worden: het verwerkingsregister draagt hieraan bij en is in sommige gevallen dus verplicht. Wat moet er zoal in het verwerkingsregister staan? Het volgende stappenplan helpt u op weg:

Maak inzichtelijk welke persoonsgegevens worden gebruikt, en categoriseer de betrokkenen: zoals personeel, werknemers van toeleveranciers, consumenten;
Meldt er bij met welk doel de gegevens worden verwerkt, waar ze worden opgeslagen en wie er toegang tot hebben. Verwerk alleen die persoonsgegevens waarvoor u een wettelijke grondslag hebt. Denk aan ‘noodzakelijk voor het uitvoeren van een overeenkomst (zoals een bankrekeningnummer van een natuurlijk persoon om betalingen te kunnen doen)’, wettelijke verplichting of een gerechtvaardigd belang (de belangenafweging tussen uw belang en het privacybelang van de werknemer);

De AVG verplicht grootschalige gegevensverwerkers een functionaris gegevensbescherming aan te stellen. Inventariseer of dat voor uw organisatie van toepassing is. Het is verplicht om de contactgegevens van uw onderneming en/of die van de eventuele vertegenwoordiger of functionaris gegevensbescherming in het verwerkingsregister op te nemen.

Inventariseer aan wie uw onderneming de persoonsgegevens doorgeeft, ook als dit naar het buitenland of internationale organisaties is. Doorgifte van persoonsgegevens  aan een partij buiten de EU is aan zeer strikte voorwaarden verbonden. In het verwerkingsregister moet u aangeven welke waarborgen u heeft genomen om aan deze voorwaarden te voldoen.

Bepaal en leg vast, per categorie, hoe lang het noodzakelijk is de persoonsgegevens te bewaren.

Controleer de beveiliging van uw systemen. In het register omschrijft u alle genomen technische én organisatorische beveiligingsmaatregelen. Maak een data protection impact assesment (DPIA).

Is het verwerkingsregister eenmaal gemaakt, dan blijft het belangrijk om periodiek te controleren of het nog steeds actueel is. Bent u meer of minder persoonsgegevens gaan verwerken, is beschikbare techniek veranderd waardoor uw beveiligingsmaatregelen zijn aangepast? Het register moet altijd up-to-date zijn. Weet u al wie in het bedrijf hiervoor verantwoordelijk wordt?

Aangescherpte informatieverplichting

De AVG stelt strenge eisen aan de informatieverplichting aan de natuurlijke personen. Ondernemingen moeten kunnen aantonen dat ze vóór de verwerking van persoonsgegevens de natuurlijke personen hebben geïnformeerd over de betreffende verwerking. Dit kan worden geregeld met een privacystatement. De informatie over de verwerking van persoonsgegevens moet eenvoudig toegankelijk zijn en in duidelijke en eenvoudige taal zijn opgeschreven. De persoonsgegevens moeten op een transparante wijze worden verwerkt.

Kortom

Bent u nog niet ‘AVG-proof’? Dat is het de komende maanden essentieel om tijd en budget beschikbaar te maken voor alle aanpassingen die nodig zijn! In Vakblad Voedingsindustrie besteden we de komende tijd geregeld aandacht aan de wet en noodzakelijke maatregelen.

www.dvan.nl
www.autoriteitpersoonsgegevens.nl

Bron: ©Neirf/Shutterstock.com