16 november 2017

De AVG: in 6 stappen een boete voorkomen

Door Christiaan Mensink

In mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking.

De AVG vervangt daarmee de oude EU-privacyrichtlijn en onze Wet Bescherming Persoonsgegevens (Wbp) komt eveneens te vervallen. Gezien de directe werking van deze EU-verordening, zal u met ingang van mei 2018 meteen moeten voldoen aan deze nieuwe regels. U heeft dus nog maar een half jaar om u daarop voor te bereiden. In deze blog legden we u uit wat de AVG voor u betekent. In deze blog zullen we u in 6 stappen helpen een boete te voorkomen. Deze boete kan oplopen tot een bedrag van € 20.000.000,- of 4% van de wereldwijde jaaromzet.

Stap 1: Verwerkersovereenkomst

Het is onder de AVG verplicht dat de verwerkingsverantwoordelijke (voorheen verantwoordelijke) en de verwerker (voorheen bewerker) een verwerkersovereenkomst afsluiten. Dit is niet nieuw. Het sluiten van een bewerkersovereenkomst was ook onder de Wbp al verplicht. In deze blog leggen we uit waarom het sluiten van een verwerkersovereenkomst belangrijk is en aan welke vereisten deze overeenkomst moet voldoen.

Belangrijke onderwerpen uit de AVG zijn doelbinding en het inschakelen van subverwerkers. Bij doelbinding gaat het erom dat een verwerker alleen persoonsgegevens verwerkt voor zover dat in lijn is met de doelen die de verwerkingsverantwoordelijke heeft gesteld. Daarnaast heeft een verwerker die een subverwerker wilt inschakelen daarvoor de voorafgaande toestemming van de verwerkingsverantwoordelijke nodig. Ook moet de verwerker er dan voor zorgen dat de subverwerker zich aan dezelfde afspraken houdt als de verwerker.

Stap 2: Rechten van betrokkene

De AVG kenmerkt zich door de focus op transparantie. Daar horen versterking en uitbreiding van de privacyrechten van de betrokkene bij. Naast het bekende recht op verzet, inzage en rectificatie (art. 35 Wbp), krijgt de betrokkene er in de AVG nog twee rechten bij: 1. The right to be forgotten en, 2. Het recht op “data-portabiliteit”. U dient zich hier goed op voor te bereiden.

Stap 3: Privacy by design en Privacy by default

De verantwoordelijk moet tijdens het gehele ontwikkelingsproces van producten en diensten privacy als leidraad nemen. Privacy by design houdt in dat u als organisatie al tijdens de ontwikkeling van producten en diensten ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Privacy by Default betekent dat de instellingen van een programma, app, website of dienst zodanig zijn dat maximale privacy wordt betracht. Kort gezegd, uw producten en diensten moeten dus privacy proof ontwikkeld worden en ingesteld zijn.

Stap 4: Meldplicht datalekken

De verplichting tot het melden van datalekken was al opgenomen in de Wbp. In deze blog leggen we uit wat u moet doen bij een datalek.

Stap 5: Privacy officer

De privacy officer was onder de Wbp niet verplicht, maar is dat onder de AVG voor bepaalde bedrijven wel. De privacy officer is een persoon die toeziet op de omgang met persoonsgegevens binnen een organisatie. Ook controleert hij/zij of de organisatie voldoet aan de wet en toepasselijke regelgeving. De privacy officer mag zowel intern als extern aangesteld worden.

De privacy officer wordt verplicht voor overheidsinstanties, maar ook voor organisaties die stelselmatig op grote schaal personen observeren of die op grote schaal bijzondere persoonsgegevens verwerken (zoals medische of strafrechtelijke gegevens).

Stap 6: Privacy Impact Assessment (PIA)

U bent verplicht om een PIA uit te voeren als het verwerken van persoonsgegevens, in het bijzonder met behulp van nieuwe technologieën, risico’s voor betrokkenen inhoudt. Een register moet in elk geval worden bijgehouden wanneer een organisatie meer dan 250 personen in dienst heeft. Een organisatie met minder dan 250 personen in dienst hoeft alleen een register bij te houden bij risicovolle verwerkingen (zoals het opstellen van klantprofielen, of het verwerken van grote hoeveelheden gegevens), wanneer structureel persoonsgegevens verwerkt worden, of bij het verwerken van gevoelige gegevens.

Mocht u vragen hebben over de gevolgen van de AVG voor uw organisatie. Of heeft u andere privacy gerelateerde vragen? Ik help u graag verder.

 

 

Christiaan Mensink

Christiaan Mensink

Advocaat/partner

‘Superspecialist, gericht op samen winnen’

Gerelateerde blogs

Vorige slide
Volgende slide

5 december 2024

Doorgronden van een overeenkomst

Elke ondernemer heeft baat bij duidelijke en goed afdwingbare afspraken. Maar hoe beoordeelt u een overeenkomst in het algemeen? Is er een stappenplan dat u kan volgen? In deze blog geven wij u enkele tips voor het op een vlotte manier doorgronden en opmaken van contracten

Lees meer

Lees meer over

21 oktober 2024

Koopovereenkomst elektrische auto’s en non-conformiteit

In het recente arrest van de Hoge Raad op 28 juni 2024 over non-conformiteit bij een koopovereenkomst van een elektrische auto, werd een belangrijke beslissing genomen met betrekking tot de actieradius van de auto.

Lees meer

Lees meer over

24 juli 2024

Een opsteker voor bedrijven!

Onlangs heeft de Tweede Kamer het wetsvoorstel Opheffing Verpandingsverboden aangenomen. Deze wet regelt met een kleine aanpassing van art. 3:83 BW dat het niet langer mogelijk is om voor financieringsdoeleinden verpanding van debiteurenvorderingen uit te sluiten.

Lees meer

Lees meer over

10 juli 2024

Betwisten van een factuur wegens toerekenbare tekortkoming

Eerder schreef ik een artikel over het innen van facturen. In dit artikel ga ik verder in op het betwisten van de facturen.

Lees meer

Lees meer over

14 december 2023

Het incasseren van vorderingen

Hoewel de economie lijkt aan te trekken, blijkt uit de praktijk toch dat veel facturen onbetaald blijven. Mocht dat het geval zijn, dan wilt u natuurlijk snel stappen ondernemen om de vordering geïnd te krijgen.

Lees meer

Lees meer over
Alle artikelen