orange-legal-update

Wat zijn de belangrijkste onderwerpen van de AVG?

Wat zijn de belangrijkste onderwerpen van de AVG?

De navolgende zes onderwerpen over persoonsgegevens moeten binnen alle organisaties c.q. bedrijven in ieder geval goed geregeld zijn/worden (zowel intern richting werknemers als extern richting burgers/consumenten):

*Bewustwording:

Organisaties moeten de benodigde maatregelen nemen om werknemers bewust te laten worden van het belang om de AVG na te leven en om ervoor te zorgen dat werknemers via de juiste werkprocessen en te volgen protocollen in staat worden gesteld om zo goed mogelijk de benodigde maatregelen te implementeren. Het doel daarvan is dat de kans op beveiligingsincidenten en datalekken drastisch verkleind wordt.

Het proces van bewustwording moet bij organisaties continu onder de aandacht blijven. Dit kan onder meer worden bereikt door periodiek het bewustzijnsniveau in kaart te brengen via effectieve methoden, zoals via werkgroepen, enquêtes, het periodiek uitvoeren van risico-analyses waaruit risicoprofielen kunnen worden gedestilleerd.

*Doel:

De persoonsgegevens mogen uitsluitend worden verzameld en/of opgeslagen voor een concreet gelegitimeerd en noodzakelijk doel. Het doel moet dus worden ingekaderd c.q. gespecificeerd. De verwerking moet aan de hand van ontwerp en standaardinstellingen zodanig worden georganiseerd dat uitsluitend noodzakelijke en voor het doel beoogde persoonsgegevens worden verwerkt. Deze gegevens moeten bovendien juist zijn en als zodanig juist blijven. Er moet bij de verwerking van persoonsgegevens dus zorgvuldig te werk worden gegaan.

*Transparantie:

De persoon van wie gegevens worden verwerkt, dient op de hoogte te zijn (bijvoorbeeld via een zogeten “privacy policy”) en dient uitdrukkelijk toestemming te hebben gegeven. De toestemming dient zonder dwang, specifiek, ondubbelzinnig via een verklaring of actieve handeling te zijn gegeven. Het gebruik van vooraf ingevulde “vinkjes” is niet toegestaan. Deze moeten (indien van toepassing) zelf door de burger of consument voor akkoord worden aangevinkt. Ook moet er een mogelijkheid zijn om te weigeren.

Er dient melding te worden gemaakt of de persoonsgegevens buiten de EER worden opgeslagen, of niet. Doorgifte aan derde landen is mogelijk indien er sprake is van een goedgekeurde gedragscode of certificeringsmechanisme in combinatie met afdwingbare garanties van de verantwoordelijke of verwerker van persoonsgegevens dat passende waarborgen bestaan. Gedragscodes kunnen door toezichthouders worden gepubliceerd zodat organisaties deze, indien van toepassing, het beste hierop kunnen afstemmen.

*Duur:

De persoonsgegevens mogen niet langer worden bewaard dan strikt noodzakelijk voor het beoogde doel. Organisaties moeten dus analyseren wat de noodzakelijke duur van de bewaartermijn is en of dit in overeenstemming is met toezeggingen, afspraken en/of bestaande overeenkomsten met de betreffende persoon. Mogelijk moet de duur van de bewaartermijn worden heronderhandeld. Ook dient de mogelijkheid te zijn geboden om aanspraak te maken op het recht van vergetelheid (verwijderen van gegevens). Er dient voor de burger/consument te worden voorzien in inzage van persoonsgegevens, om persoonsgegevens onder omstandigheden te blokkeren, te wissen/vernietigen en om deze geschikt te maken voor dataportabiliteit in een gestructureerd, gebruikelijk en leesbaar formaat.

*Beveiliging:

De persoonsgegevens moeten worden beschermd tegen verlies en hackers. Er dient sprake te zijn van een “passend beschermingsniveau”. Hiertoe dienen technisch en organisatorisch passende maatregelen door ontwerp en door standaardinstellingen (‘privacy by design and by default’) te worden getroffen om het door de AVG vereiste beschermingsniveau te bereiken. Rekening dient te worden gehouden met de stand van de techniek, de implementatiekosten van de betreffende maatregel, de aard en context van de verwerking en de risico’s van de verwerking.

De Autoriteit Persoonsgegevens noemt op haar website de volgende voorbeelden:

  • een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
  • op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
  • als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Het is bovendien verplicht om voorafgaande aan de verwerking van persoonsgegevens een data-effectbeoordeling uit te voeren, ook wel “privacy impact assessment” genaamd, indien en voor zover de verwerking van persoonsgegevens gezien de aard, omvang, context en doel een hoog risico oplevert voor de rechten van burgers/consumenten. De nadruk moet hierbij komen te liggen op de noodzaak en proportionaliteit. Bedrijven moeten dus inventariseren welke persoonsgegevens worden verwerkt en welke verwerkingen noodzakelijk zijn zodat aansluitend kan worden geselecteerd welke verwerkingen voor de ‘privacy impact assessment’ in aanmerking komen.

Anonieme gegevens vallen buiten het bereik van de AVG. Desalniettemin dient een anoniem persoonsgegeven zodanig te worden verwerkt dat deze zonder aanvullende externe bron(nen) niet tot een persoon kan worden herleid.

*Verantwoording:

De verantwoordelijke en de verwerker van persoonsgegevens moeten aan kunnen tonen dat wordt voldaan aan de AVG.

De organisaties dienen processen met betrekking tot de verwerking van persoonsgegevens daarom zorgvuldig te administreren. Daarbij dient rekening te worden gehouden met het feit dat de Autoriteit Persoonsgegevens om inzage in de betreffende administratie kan verzoeken c.q. eisen. Er geldt dus een administratieplicht.

Daar waar voorafgaande aan de AVG de handhaving vooral gericht was op de verantwoordelijke (en niet op de verwerker), en de verwerker eigenlijk alleen in civielrechtelijke zin kon worden aangepakt via de grondslag van wanprestatie in (hoofdzakelijk) de bewerkersovereenkomsten, voorziet de AVG ook in instrumenten ten gunste van de Autoriteit Persoonsgegevens om zonodig sancties op te leggen aan de verwerker, indien deze niet voldoet aan de verplichtingen van de AVG.

Voor wat betreft de verplichtingen van de verwerker valt te denken aan o.a.: het administreren van verwerkingen, het benoemen van een Data Protection Officer, het verkrijgen van toestemming voor een sub-verwerker, het melden van een datalek aan de verantwoordelijke, het verlenen van ‘privacy impact assessments’, het nemen van passende maatregelen (technisch en organisatorisch) ter voorkoming van onrechtmatige verwerkingen, verlies of diefstal.

Sommige organisaties/bedrijven dienen een zogeheten “Data Protection Officer” (functionaris voor gegevensbescherming) te benoemen. Ook dient een lijst van datalekken te worden bijgehouden en dient te worden voldaan aan de bijbehorende meldplicht.

Grote organisaties doen er goed aan om (ingevolge artikel 47 EU-AVG) “bindende bedrijfsvoorschriften” (‘binding corporate rules’) te implementeren. Deze voorschriften worden goedgekeurd (en moeten zelfs worden goedgekeurd vanwege de conformiteitstoetsing) door de Auroriteit Persoonsgegevens. Voorwaarde is dat de voorschriften juridisch bindend zijn voor, van toepassing zijn op en worden gehandhaafd door alle betrokken leden van het concern, of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, met inbegrip van hun werknemers. Voorts moeten aan betrokkenen uitdrukkelijk afdwingbare rechten worden toegekend met betrekking tot de verwerking van hun persoonsgegevens en de in artikel 47 lid 2 EU-AVG genoemde elementen zijn vastgelegd.

Zowel verwerkers als verantwoordelijken van persoonsgegevens doen er goed aan om hun bestaande bewerkersovereenkomsten te controleren, zonodig tot heronderhandeling over te gaan of om een of meerdere nieuwe bewerkersovereenkomst(en) tot stand te brengen.

Last but not least: organisaties dienen ook verantwoording af te leggen over de processen omtrent de bewustwording. Rapportages naar aanleiding van periodieke enquetes en daaruit voortvloeiende risico-analyses lenen zich daar bij uitstek voor.

Waarom deze post?

Orange Legal maakt zich al vele jaren sterk voor (gratis) kennisdeling en kwalitatief goede rechtsbijstand op het gebied van arbeidsrecht (het specialisme van Orange Legal). Daarnaast zet Orange Legal zich in voor de belangen van de consument en voor onze rechtsstaat.

Orange Legal verkiest wat betreft de informatievoorziening verschillende media, zoals TV en sociale media. Op de website www.orangelegal.nl zijn tal van publicaties te vinden.

De introductie van de privacy-verordening AVG roept vele vragen op bij bedrijven, overheden en consumenten over rechten, verplichtingen, wijze van uitvoeren en over mogelijkheden om in bezwaar/beroep te gaan.

Orange Legal biedt organisaties professionele AVG-oplossingen. Orange Legal beschikt over een uitgebreid advocaten-netwerk en werkt samen met diverse gerenommeerde advocatenkantoren en kantoren met AVG-specialisten.

Naast de informatievoorziening beoogt dit artikel een opstap te zijn voor organisaties om een uitstekende AVG-oplossing te bereiken. Interesse in professionele AVG-oplossingen en/of professionele rechtsbijstand in geval van AVG-sancties? Neem gerust contact op met mr. Floris Zwartkruis via info@orangelegal.nl

Dit artikel is geschreven door mr. Floris Zwartkruis. Zie ook www.orangelegal.nl

Deel dit artikel:

Floris Zwartkruis

Floris Zwartkruis

Orange Legal is een modern en ambitieus juridisch advieskantoor voor bedrijven en particulieren binnen de Randstad, met specialisatie arbeidsrecht.

Laatste nieuws

Stuur ons een bericht

Neem direct contact op

Of vul onderstaand formulier in. We nemen vervolgens zo spoedig mogelijk contact met je op (meestal binnen enkele uren).