Privacyrecht

Elke onderneming verwerkt persoonsgegevens. Persoonsgegevens van klanten, contactpersonen bij leveranciers en niet te vergeten de eigen werknemers. Er gelden strenge normen voor het verwerken van persoonsgegevens. Nu al onder de Wet bescherming persoonsgegevens, en straks onder de Algemene verordening gegevensbescherming (AVG) worden zeker ook de bevoegdheden van de Autoriteit Persoonsgegevens (voorheen College bescherming persoonsgegevens) fors uitgebreid.

Een aantal aandachtspunten uit de strenge wetgeving op het gebied van het privacyrecht:
– U mag alleen persoonsgegevens verwerken als u voldoet aan één van de daarvoor vastgelegde grondslagen voor verwerking;
– U mag niet meer persoonsgegevens verwerken dan die u strikt genomen nodig hebt;
– U mag de gegevens niet langer bewaren dan noodzakelijk;
– De gegevens moeten goed beveiligd zijn;
– U moet er op toezien dat ook werknemers, opdrachtnemers en andere derden die u inschakelt zich aan de strenge normen houden (denk ook aan het sluiten van een bewerkersovereenkomst, onder de AVG verwerkersovereenkomst genaamd);
– Als iemand van wie u gegevens hebt verwerkt daarom vraagt, moet u deze persoon inzage geven
in welke gegevens u waar hebt verwerkt en aan wie verstrekt. Iemand mag u ook vragen alle gegevens die u over hem hebt te verwijderen (en onder de AVG dat ook door te geven aan alle andere organisaties die van u deze gegevens hebben gekregen) – het recht op vergetelheid;

Voordat de AVG op 25 mei 2018 van toepassing wordt, moeten een aantal zaken geregeld zijn:
– Voldoet uw organisatie aan de verantwoordingsplicht? U moet kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de AVG te voldoen. Om u te helpen met het opzetten van een privacybeleid en een verwerkingsregister hebben wij van beide documenten een basismodel ontwikkeld, meer informatie daarover kunt u opvragen bij mw. mr. Cora Blaak-Looij BA.
– Heeft u nagekeken of u een Data protection impact assessment (DPIA) moet uitvoeren?
– Heeft u uitgezocht of u een functionaris voor de gegevensbescherming (FG) moet aanstellen?

De privacyregelgeving is dus streng én kent tegelijkertijd nogal wat open normen. Dat verplicht de ondernemer in feite om kritisch na te denken over de manier waarop u met persoonsgegevens omgaat. Het is belangrijk om te kunnen laten zien waaróm bepaalde keuzes zijn/worden gemaakt, om te kunnen verantwoorden hoe u tot een bepaald privacybeleid gekomen bent. Kan dat beleid de toets van een onafhankelijk rechter doorstaan? Als u daar eens over wilt doorpraten, kunt u contact opnemen met mw. mr. Cora Blaak-Looij BA.