Nieuwsbrief Bergh Stoop & Sanders over het vernieuwde privacyrecht: bent u voorbereid op de AVG?

Privacy proof: bent u voorbereid op de AVG?

Een goed privacy-beleid is vanaf mei 2018 van groot belang: op die datum treedt de nieuwe Europese privacy-verordening in werking. De regels op het gebied van privacyrecht worden strenger, vooral voor bedrijven die op grote schaal persoonsgegevens verwerken. Ook de compliance risico’s nemen toe: betrokkenen krijgen meer rechten en kunnen bedrijven aanspreken wanneer zij niet aan de wet voldoen. Denk aan het recht op informatie, inzage, verwijdering en recht om vergeten te worden. Bij datalekken die niet worden gemeld of andere overtredingen kunnen hoge boetes worden opgelegd.

In deze nieuwsbrief zetten we de belangrijkste veranderingen op een rij. Een eerste stap is kennis over de nieuwe regels. De volgende stap is het implementeren van een goed privacy-beleid, dat is afgestemd op uw organisatie. Het is belangrijk daarmee tijdig te beginnen. Ons kantoor kan u begeleiden bij dit proces.

Waar gaat het om?

Op 25 mei 2018 treedt de nieuwe privacy-verordening (de Algemene Verordening Gegevensbescherming, ook wel afgekort tot de AVG) in werking.

Wie?

De verplichtingen in de AVG gelden voor alle in de EU gevestigde organisaties die persoonsgegevens verwerken. De verordening geldt ook voor bedrijven buiten de EU die producten aanbieden in de EU of gedrag van Europese burgers monitoren, bijvoorbeeld in het kader van targeted advertising.

De regels zijn strenger voor wie zich op grote schaal bezig houdt met het verwerken van persoonsgegevens, zoals bij online marketing. Ook zijn de regels strenger wanneer gevoelige gegevens worden verwerkt (zoals medische gegevens of persoonsgegevens van minderjarigen) of als gebruik wordt gemaakt van profiling, bijvoorbeeld om klantprofielen te maken op basis van online gedrag.

Wat?

De uitgangspunten van het privacy-recht blijven hetzelfde, maar in vergelijking met de bestaande wetgeving wordt een aantal verplichtingen uitgebreid of aangepast. Ook wordt meer ingespeeld op de ontwikkelingen in het digitale tijdperk. Juist daar is privacy het meest relevant. Hieronder geven we een samenvatting van de belangrijkste veranderingen:

• De concrete eisen die gelden voor de Privacy Notice, het inzagerecht en het correctierecht worden in de AVG uitgebreid;
• Voor grotere ondernemingen of ondernemingen die gevoelige gegevens verwerken komt een duidelijke documentatieplicht; zij moeten de AVG niet alleen correct naleven, maar moeten dat bovendien kunnen aantonen door een register van verwerkingsactiviteiten bij te houden;
• Wie persoonsgegevens wil verwerken op basis van toestemming van de gebruiker, moet aan strengere voorwaarden voldoen en ook kunnen bewijzen dat die toestemming is verleend. Zo moet de toestemming in duidelijke en eenvoudige taal worden verzocht en kan deze net zo makkelijk worden ingetrokken als dat hij kan worden gegeven; dat betekent dat verwerking op basis van toestemming niet altijd de meest wenselijke grondslag is voor wie op grote schaal gegevens verwerkt;
• Nieuwe begrippen in de verordening zijn Privacy by Design en Privacy by Default. Al bij het ontwerpen van producten en diensten moeten waarborgen worden ingebouwd om de privacy van gebruikers te beschermen, bij voorbeeld door encryptie (Privacy by Design). Daarnaast moeten er standaard maatregelen worden doorgevoerd om te zorgen dat niet meer persoonsgegevens worden verwerkt dan nodig is voor een specifiek doel (Privacy by Default). Dat betekent bijvoorbeeld dat de standaardinstelling van social media accounts op privé moet staan in plaats van openbaar;
• Outsourcing wordt strenger gereguleerd: de AVG stelt specifieke eisen aan de inhoud van met derde partijen gesloten verwerkersovereenkomsten;
• Als meerdere partijen zijn betrokken bij de verwerking, zijn zij ieder aansprakelijk voor de gehele schade die de betreffende verwerking heeft veroorzaakt;
• Bedrijven die gevoelige gegevens verwerken of op grote schaal verwerken, zijn verplicht een Data Protection Officer aan te stellen. Deze persoon controleert de naleving van de AVG en fungeert als contactpersoon voor de nationale autoriteit;
• Bedrijven buiten de EU die producten aanbieden in de EU of gedrag van EU burgers monitoren, zijn verplicht een Vertegenwoordiger binnen de EU aan te wijzen;
• Voor de beveiliging van verwerkingen gelden zwaardere eisen, zowel technisch als organisatorisch; ook wordt de meldplicht datalekken (die wij in Nederland al sinds 2016 kennen) op Europees niveau geharmoniseerd en moet bij risicovolle verwerkingen een Data Protection Impact Assessment worden uitgevoerd;
• Doorgifte aan landen buiten de EU wordt strenger gereguleerd. Tussen Europa en de VS is daarvoor een speciaal verdrag (Privacy Shield) in het leven geroepen dat de Safe Harbour overeenkomst vervangt;
• De boetebevoegdheid van de autoriteiten wordt groter; boetes kunnen in het meest extreme geval oplopen tot maximaal € 20.000.000,- of 4% van de wereldwijde omzet van een bedrijf

Wanneer?

De AVG treedt op 25 mei 2018 in werking. Dat houdt in dat de AVG in de plaats komt van de bestaande nationale wetgeving (zoals in Nederland de Wet bescherming persoonsgegevens). De AVG is dus vanaf die datum rechtstreeks in Nederland van kracht.

Hoe?

Wij kunnen helpen bij de voorbereiding op de AVG. Met een compliance check kunnen wij nagaan of uw onderneming privacy proof is. Daarbij brengen we in kaart op welke manier u persoonsgegevens verwerkt en welke concrete stappen nodig zijn om op 25 mei 2018 compliant te zijn. Ook kunnen wij concrete adviesvragen beantwoorden, privacy statements en verwerkerscontracten opstellen, en helpen bij het opstellen van een intern privacy beleid dat aan de AVG voldoet.

In het najaar van 2017 zal door ons een workshop worden ingepland voor cliënten om de ins en outs van de nieuwe privacy regelgeving te bespreken en alvast wat concrete tips mee te geven.

Interesse? Bel of mail naar een van onze privacy specialisten:

Esther Schnepper (schnepper@berghstoop.com)

T: + 31 20 620 22 88 – Bergh Stoop & Sanders Advocaten.