Wat is AVG en wat betekent het voor uw organisatie?
U heeft er waarschijnlijk al veel over gelezen of gehoord: op 25 mei a.s. vervangt de Algemene Verordening Gegevensbescherming (AVG) de Wet bescherming persoonsgegevens (Wbp). Als u in uw organisatie met persoonsgegevens werkt en deze “verwerkt”, dan zult u uw organisatie zodanig moeten aanpassen dat u voldoet aan de eisen van de AVG. Doet u dat niet? Dan riskeert u hoge boetes.
Kort gezegd ziet de AVG op de bescherming van persoonsgegevens (en daarmee privacy gevoelige informatie). U moet daarbij denken aan naam, adresgegevens, telefoonnummers, e-mailadressen, geboortedata etc. Maar ook aan indirecte gegevens zoals foto’s, afbeeldingen, e-mails, berichten op social media en dergelijke. Het gaat dus om informatie die verwijst of te herleiden is naar een persoon en waarmee die persoon kan worden geïdentificeerd. Het gaat daarbij om natuurlijke personen (dus geen rechtspersonen).
Van “verwerken” van persoonsgegevens is sprake als de persoonsgegevens worden verzameld, geordend, opgeslagen, geraadpleegd of gebruikt. Maar ook het wissen of vernietigen van gegevens. Het komt er dus op neer dat vrijwel ieder bedrijf of organisatie wel op enige manier persoonsgegevens verwerkt en daarmee is ook de AVG van toepassing.
U zult, als uw organisatie op enige manier persoonsgegevens verwerkt (en dat is al heel snel het geval), daarvoor een grondslag moeten hebben. Deze grondslagen (6) zijn wettelijk vastgelegd. Een van die grondslagen is het vereiste van toestemming van de betrokken personen voor verwerking van hun gegevens. De te verkrijgen toestemming moet bestaan uit een “duidelijke, actieve handeling” van de betrokkenen. Bijvoorbeeld door middel van een schriftelijke of digitale verklaring waarin de betrokkene toestemming verleend. Maar ook het plaatsen van een kruisje of vinkje op een website bij de vraag of de betrokkene toestemming verleend voor het verwerken van persoonsgegevens voldoet. De betrokkene moet dan wel zélf dat kruisje/vinkje plaatsen: een vooraf ingevuld vakje of stilzwijgende toestemming geldt niet als toestemming in de zin van de AVG. Het luistert dus nogal nauw hoe u de toestemming verkrijgt en leg ook vast hoe u de toestemming hebt verkregen, want de bewijslast rust op u. Let er ook op dat u voor ieder afzonderlijk doel waarvoor u gegevens wilt verwerken ook afzonderlijk een grondslag moet hebben. U mag dus – bijvoorbeeld – geen nieuwsbrief versturen die betrekking heeft op een ander onderwerp dan waarvoor u expliciet toestemming hebt gekregen. Het is daarmee een wet die ingrijpt in uw organisatie, uw informatiesystemen en contracten.
Rechten van betrokkenen
De personen van wie u gegevens verwerkt in de hiervoor bedoelde zin hebben bepaalde rechten en u, als organisatie bent ervoor verantwoordelijk dat die personen van hun rechten gebruik kunnen maken. Het gaat daarbij om – onder andere – het recht op inzage van de verwerkte gegevens, rectificatie en verwijdering van die gegevens, beperking van de verwerking van de gegevens, het recht op overdraagbaarheid van de gegevens en het recht op het maken van bezwaar tegen verwerking van gegevens.
Plichten van bedrijven/organisaties
Tegenover de rechten van de betrokkenen wiens persoonsgegevens u wilt verwerken, staan een aantal verplichtingen waaraan u zich, als verantwoordelijke, moet houden bij de gegevensverwerking. Het gaat hierbij met name om de verantwoordingsplicht. Daarnaast kan het in bepaalde gevallen verplicht zijn om een zogenoemd “data protection impact assessment”(DPIA) uit te voeren. Deze plicht bestaat in ieder geval als een organisatie zich bezig houdt met systematische en uitvoerige beoordeling van persoonlijke aspecten, waaronder profiling; en/of met grootschalige verwerking van bijzondere persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen/strafbare feiten; en/of het systematisch en grootschalig personen volgen in openbare ruimten (bijv. middels cameratoezicht). Ten slotte kunnen bepaalde organisaties verplicht zijn om een functionaris voor gegevensbescherming aan te stellen. Deze plicht bestaat bijvoorbeeld voor overheidsinstanties, organisaties die het uitvoeren van verwerkingsactiviteiten waarbij personen worden geobserveerd als kerntaak hebben en organisaties die als kerntaak bijzondere persoonsgegevens verwerken.
De plicht die nu nog bestaat om in het geval van persoonsgegevensverwerking een melding te maken bij de Autoriteit Persoonsgegevens komt met de inwerkingtreding van de AVG (deels) te vervallen. Deze meldplicht blijft alleen bestaan voor gevallen waarin sprake is van gegevensverwerking met een hoog privacy risico, bijvoorbeeld bij grootschalige gegevensverwerking op regionaal of nationaal niveau of als er een nieuwe technologie wordt toegepast om persoonsgegevens te verwerken. In deze gevallen moet niet alleen alsnog een melding bij de Autoriteit Persoonsgegevens worden gedaan, maar ook zal er een DPIA moeten worden uitgevoerd.
Boetes
Als u zich niet houdt aan de eisen die de AVG stelt of de AVG anderszins overtreedt, dan heeft de Autoriteit Persoonsgegevens de bevoegdheid om (hoge) boetes op te leggen. Bij niet nakoming van de verplichtingen op grond van de AVG moet u rekening houden met boetes ter hoogte van maximaal € 10.000.000,– of 2% van de (wereldwijde) jaaromzet. Bij schending van de beginselen of grondslagen van de AVG of van de privacy rechten van betrokkenen kunnen boetes oplopen tot bedragen van maximaal € 20.000.000,– of 4% van de (wereldwijde) jaaromzet. Het is dus van groot belang om te voldoen aan de eisen van de AVG en deze ook goed na te leven.
En nu?
Voldoet uw organisatie al aan de AVG? Of weet u niet wat u moet doen om er wél aan te voldoen? Wij helpen u graag op weg. Voor een scan van uw organisatie om na te gaan in hoeverre u al aan de AVG voldoet of voor hulp bij aanpassing van uw organisatie om de regels van de AVG in uw organisatie in te passen kunt u bij ons terecht. Bij Cooper Advocaten helpen wij u graag!
Voor vragen of meer informatie: bel 020-261 1926 of mail: info@cooperadvocaten.nl