elke lucius

Inmiddels is het alweer één jaar geleden dat de Algemene Verordening Gegevensbescherming (hierna: AVG), in werking trad (25 mei 2018). Met de komst van de AVG, is de Wet Bescherming Persoonsgegeven (Wbp) komen te vervallen. Al tijdens deze wet moesten bedrijven en organisaties voldoen aan een zorgvuldige verwerking van persoonsgegevens. Een groot aantal punten moest u als bedrijf al geregeld hebben. Echter werd dit voor de meeste bedrijven pas echt duidelijk toen de AVG in beeld kwam. Op enkele punten heeft de AVG aan bedrijven en organisaties strengere eisen opgelegd.

Verwerkersovereenkomsten

Bedrijven gingen massaal over tot het verzenden en ondertekenen van verwerkersovereenkomsten, terwijl dit niet altijd nodig bleek te zijn. Een verwerkersovereenkomst is bijvoorbeeld noodzakelijk indien een partij in uw opdracht persoonsgegevens verwerkt. Wordt de salarisbetaling van uw werknemers bijvoorbeeld uitbesteed aan een salarisadministrateur, dan bent u de Verwerkingsverantwoordelijke en de salarisadministrateur de Verwerker.

Als Verwerkingsverantwoordelijke bent u er verantwoordelijk voor dat met de Verwerker een verwerkersovereenkomst wordt gesloten. Indien partijen u  inschakelen, omdat u bijvoorbeeld een ICT-bedrijf heeft en u heeft ook inzage in persoonsgegevens, dan is sprake van verwerking van persoonsgegevens en dient het andere bedrijf met u een verwerkersovereenkomst te sluiten. U bent in dat geval verwerker. In sommige gevallen zijn er ook twee Verantwoordelijken. Een verwerkersovereenkomst is daarom niet altijd noodzakelijk. Verwerken in de zin van het werkwoord verwerken, is wat anders dan het verwerken van persoonsgegevens op basis van de AVG. Het is daarom verstandig u hierover goed te laten adviseren.

AVG wetgeving 1 jaar na dato

Ondanks dat het wellicht alweer een jaar geleden is dat de AVG in werking is getreden, wil dat niet zeggen dat u er geen aandacht meer aan hoeft te besteden. Voldoet u als bedrijf of organisatie niet aan de AVG, dan kunt u een boete krijgen. Neem bijvoorbeeld Menzis, zij heeft bijvoorbeeld een dwangsom opgelegd gekregen van € 50.000, omdat mensen binnen de organisatie mogelijk ongeautoriseerd toegang zouden hebben tot gezondheidsgegevens.

Naast de verwerkersovereenkomst, heeft u wellicht iets gehoord over een register van verwerkingsactiviteiten, een privacyverklaring en organisatorische en technische maatregelen. Als bedrijf moet u een register van verwerkingsactiviteiten opstellen en bijhouden. U houdt hierin bij op welke niveaus u persoonsgegevens verwerkt. Via de privacyverklaring maakt u aan uw klanten en websitebezoeker kenbaar op welke wijze u met de persoonsgegevens omgaat.

Mijn collega Daan Blokland vertelt in zijn blog in het kort de vijf belangrijkste zaken van de AVG. AVG, wat moet ik ermee? 5 belangrijkste zaken

Voor u blijft het belangrijk om na te blijven gaan of u de juiste beveiligingsmaatregelen heeft genomen en alle juridische documenten voor de verwerking van persoonsgegevens op orde hebt. Heeft u dat niet, dan kunt u te maken krijgen met boetes. De Autoriteit Persoonsgegevens heeft immers de bevoegdheid om bij het niet naleven van de AVG boetes op te leggen. Wel zal de Autoriteit Persoonsgegevens u in eerste instantie een waarschuwing geven. Dan dient u natuurlijk wel aan te kunnen tonen dat u wat heeft gedaan om uw organisatie AVG-proof te krijgen.

Heeft u hulp nodig bij de controle van uw AVG-documenten of twijfelt u of uw organisatie privacyproof is, neem dan gerust contact met mij op. Bel 0412-649109 of mail  mij (elucius@zandvoort-legal.nl)