Algemene verordening gegevensbescherming (AVG)

Inwerkingtreding AVG

Op 25 mei 2018 treedt de Algemene verordening gegevensverwerking (AVG) in werking. Op die dag vervalt de Wet bescherming persoonsgegevens. Die wet was opgesteld om te voldoen aan de eisen van een Europese Richtlijn van 1995. De rechten en verplichtingen op het gebied van privacy worden vanaf 25 mei 2018 voor alle lidstaten van de Europese Unie direct geregeld door de nieuwe Europese Verordening.

Gevolgen

Hoewel grote delen van hetgeen in de AVG wordt geregeld ook al waren opgenomen in de Wet bescherming persoonsgegevens, gaan er vanaf 25 mei 2018 ook nieuwe rechten en verplichtingen gelden. Verder worden de boetes die de toezichthouder (voor Nederland blijft dat de Autoriteit Persoonsgegevens) kan opleggen aanzienlijk verhoogd. Was onder de Wet bescherming persoonsgegevens de maximale boete € 820.000, onder de AVG kan de Autoriteit Persoonsgegevens boetes opleggen tot maximaal € 20 miljoen of, als dat hoger is, 4% van de wereldwijde jaaromzet van een bedrijf.

De inwerkingtreding van de AVG fungeert in de praktijk voor veel bedrijven vooral als een "wake-up call” om te gaan voldoen aan de wettelijke verplichtingen op het gebied van privacy. Veel bedrijven hebben nooit eerder onderzocht of zij aan die verplichtingen voldoen respectievelijk wat zij zouden moeten ondernemen om aan die verplichtingen te gaan voldoen. Ook als er van uitgegaan wordt dat de toezichthouder op 25 mei 2018 niet direct voor de deur staat om boetes op te leggen, is het voor bedrijven belangrijk om aan de wettelijke verplichtingen op het gebied van privacy te voldoen. Schending van die verplichtingen kan immers leiden tot negatieve publiciteit en imagoverlies. 

Hoe kunnen ondernemers voldoen aan de verplichtingen van de AVG?

Ondernemers die willen weten wat zij zouden moeten doen om aan de nieuwe wettelijke verplichtingen te gaan voldoen vinden daarover ruime informatie op het internet. Tegelijkertijd is het allerminst eenvoudig om die informatie op de eigen praktijk toe te passen. En eerlijk gezegd: wie die informatie tot zich neemt, voelt de moed ook wel een beetje in de schoenen zakken. Maar dat kan natuurlijk geen reden zijn om dan maar niets te doen. 

Wie vervolgens echter hulp zoekt bij het inventariseren en het implementeren van de benodigde maatregelen in de eigen organisatie, zal vaststellen dat adviseurs en consultants op dit gebied bezet zijn en/of dat hun inschakeling zeer hoge kosten met zich meebrengt.

Ondersteuning

Hoewel ons kantoor niet is gespecialiseerd in het privacyrecht, willen wij onze cliënten in deze lastige situatie toch van dienst zijn. Althans: in de rol waarin wij die cliënten in onze praktijk bedienen, dus in de rol van werkgever. Met het privacyrecht hadden wij altijd al te maken omdat wij voor werkgevers al sinds 1998 zaken behandelen betreffende arbeidsongeschikte werknemers[1]. De invoering van de AVG is voor de advocaten van ons kantoor reden geweest om zich verder in het privacyrecht te verdiepen.

Om onze cliënten van dienst te kunnen zijn willen wij hen een aantal instrumenten aanreiken, waarmee zij zelf kunnen zorgen dat zij aan de verplichtingen van de AVG gaan voldoen. Gelet op de achtergrond zoals die hierboven is weergegeven, willen wij ons daarbij echter uitdrukkelijk beperken tot het voldoen aan de verplichtingen van de AVG in de rol van werkgever. 

Wij willen de volgende instrumenten aan onze cliënten ter beschikking stellen:

reeds beschikbaar:
  • een model voor een verwerkersovereenkomst (met toelichting)

    N.B.: Een "verwerkingsverantwoordelijke” is op grond van artikel 28 van de AVG verplicht om een dergelijke overeenkomst met een derde te sluiten indien hij persoonsgegevens onder zijn verantwoordelijkheid door een derde laat verwerken.

naar verwachting begin april 2018 beschikbaar:
  • een model voor een informatiebrief (met toelichting)

    N.B.: Een "verwerkingsverantwoordelijke” is op grond van artikel 14 van de AVG verplicht om degene van wie hij persoonsgegevens verwerkt te informeren indien de te verwerken persoonsgegevens niet van die persoon zelf maar van een derde worden verkregen.

  • een model voor een register van verwerkingsactiviteiten (met toelichting)

    N.B.: Een "verwerkingsverantwoordelijke” is op grond van artikel 30 van de AVG verplicht om een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden als bij die verwerkingsverantwoordelijke tenminste 250 werknemers in dienst zijn of als bij de verwerkingsverantwoordelijke meer dan incidenteel bijzondere persoonsgegevens (bijvoorbeeld medische gegevens) worden verwerkt.

  • een protocol voor het melden van datalekken en een register van datalekken  (met toelichting)

    N.B.: Alleen het register is (op grond van artikel 34 lid 8 van de AVG) verplicht. Het hanteren van een protocol is echter aan te bevelen om te waarborgen dat de melding van datalekken in voorkomend geval overeenkomstig de AVG plaatsvindt.

  • een protocol voor het gebruik van e-mail en internet

    N.B.: Het bestaande model dat (als onderdeel van de modellen voor arbeidsovereenkomsten) beschikbaar is voor deelnemers aan het arbeidsrecht abonnement© zal worden aangepast aan de eisen van de AVG.

  • een klokkenluidersregeling

    N.B.: Het bestaande model dat (als onderdeel van de modellen voor arbeidsovereenkomsten) beschikbaar is voor deelnemers aan het arbeidsrecht abonnement© zal worden aangepast aan de eisen van de AVG.
[1] Daarbij gaat het dan om de medische gegevens van die werknemers. Voor het recht om als advocaat inzage te krijgen in deze medische gegevens (zij het dan met een geheimhoudingsverplichting ten opzichte van onze cliënt als werkgever) hebben wij eerst moeten procederen tot de Centrale Raad van Beroep daarover in 2001 een uitspraak deed.

Lees verder en ga naar: