Sportclubs zijn er nog niet klaar voor. U wel?

Het klinkt niet al te best. Duizenden sportclubs zijn er nog niet klaar voor, kopte het Algemeen Dagblad begin deze maand. Hetzelfde geldt voor bedrijven, schreef Het Financieele Dagblad vorige maand. Blijkbaar is nog lang niet iedereen voorbereid op de komst van de nieuwe Europese privacywetgeving die 25 mei aanstaande in werking treedt.

Maar het is wel degelijk van belang om erop voorbereid te zijn en te weten wat er staat te gebeuren. Want de boetes die kunnen worden opgelegd bij overtreding van de wet of bij het niet genoeg beschermen van persoonsgegevens zijn niet gering. Daarom brengt Koppel Advies u op de hoogte van deze wet.

Facebook, hacken, datalekken; privacy is van belang

In tijden van social media en datalekken staat privacy hoger dan ooit op de agenda. Want persoonsgegevens blijken geld waard. Niet alleen voor Facebook, maar ook criminele doeleinden, zoals identiteitsfraude of het plunderen van uw bankrekening. De Europese Unie wil voorkomen dat privacygegevens in verkeerde handen vallen.

De Algemene verordening gegevensbescherming (AVG) versterkt en breidt de privacyrechten van burgers uit. Tevens legt het meer verantwoordelijkheid op organisaties. De privacywet is dan ook van invloed op uw onderneming, zowel groot als klein. Wat gaat er veranderen?

• Elk bedrijf moet met documenten aantonen dat er de juiste organisatorische en technische maatregelen zijn genomen om aan de AVG te voldoen. De privacywet reikt de tools aan om hieraan te voldoen.
• Een onderneming hoeft de verwerkingen van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens.
• Een bedrijf kan verplicht zijn een data protection impact assessment uit te voeren.
• Een onderneming kan verplicht zijn een functionaris voor de gegevensbescherming aan te stellen.

Dat het de EU menens is, blijkt wel uit de hoogte van de boetes die kunnen worden opgelegd. Bij overtreding kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro.

Er zijn twee soorten boetes en categorieën. Komt een bedrijf bepaalde verplichtingen niet na, zoals de zogeheten verantwoordingsplicht, dan kan de AP een boete opleggen van maximaal 10 miljoen euro of een boete van 2 procent van de wereldwijde omzet. Erger wordt het als een organisatie de beginselen van de privacywet overtreedt of de privacyrechten van de betrokkenen (de personen van wie de organisatie de gegevens verstrekt) schendt. Dan kan de AP een boete opleggen van maximaal 20 miljoen euro of een boete van 4 procent van de wereldwijde jaaromzet. Dat zijn geen misselijke bedragen.

Wat zit er voor uw organisatie in het vat?

We horen u denken: wat levert de Algemene verordening gegevensbescherming mij als organisatie op? Zeker voor bedrijven die in meerdere EU-landen werken, kan de AVG duidelijkheid scheppen. Wanneer de privacywet vanaf 25 mei in werking treedt, geldt er nog maar één privacywet in de hele EU. Voorheen moest een organisatie rekening houden met 28 verschillende nationale wetten.

Andere voordelen zijn:

• Minder administratieve kosten en nalevingskosten.
• Meer rechtszekerheid.
• Gelijk speelveld, want alle regels zijn hetzelfde voor alle bedrijven in de EU.
• Slechts één toezichthouder.

Daarnaast sluit de privacywet meer aan op de gedigitaliseerde samenleving. Er zijn nog andere maatschappelijke en zakelijke redenen waarom het van belang is dat uw bedrijf voldoet aan de AVG. Die leest u hier onder de kop: Waarom zou mijn bedrijf aan de AVG willen voldoen?

Voor welke organisaties geldt de AVG?

Niemand ontspring de dans. Dus niet alleen grote bedrijven moeten zich schikken aan de nieuwe privacyregels. De AVG geldt voor alle organisaties die persoonsgegevens verwerken. Dus ook voor de kleine mkb’er waarmee u al jaren zakendoet. Of de zzp’er die twee keer per maand een opdracht voor u uitvoert. En dan hoeft het alleen maar al te gaan om het bijhouden van afspraken van klanten, telefoonnummers of personeelsinformatie.

Stappenplan ter voorbereiding op de AVG

Mocht uw bedrijf of u als zzp’er nog niet klaar zijn voor de nieuwe wet dan helpt het volgende stappenplan u op weg.

• Zorg ervoor dat de relevante mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels.
• Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Bereid u daarop voor zodat u op de verzoeken kan reageren.
• Maak een overzicht van uw gegevensverwerkingen. Leg vast welke persoonsgegevens u verwerkt en waarom u dit doet, waar deze gegevens vandaan komen en met wie u ze uitwisselt.
• Onder de AVG kunt u verplicht zijn een zogenoemde data protection impact assessment uit te voeren. Dat is een tool om vooraf de privacyrisico’s van een gegevensverwerking inzichtelijk te maken. Vervolgens kunt u maatregelen nemen om de risico’s te verminderen.
• Maak uw organisatie vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default. Ga na hoe u deze principes binnen uw organisatie kunt invoeren.
• Organisaties kunnen verplicht zijn een functionaris voor de gegevensverwerking te benoemen. Controleer of dit voor uw organisatie geldt.
• De meldplicht datalekken blijft voor een groot deel onveranderd. De AVG stelt wel hogere eisen aan uw eigen registratie van de datalekken die zich binnen uw organisatie hebben plaatsgevonden.
• Besteedt u uw gegevensverwerking aan een bewerker (volgens de AVG ‘verwerker’) uit? Kijk dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers voldoen aan de AVG-eisen.
• Bent u actief in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u vanaf 25 mei alleen zaken te doen met de leidende toezichthouder.
• Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. Straks gelden er strengere eisen voor toestemming.

Wilt u meer weten over dit stappenplan? Verdere informatie vindt u hier. Heeft u verdere vragen of hulp nodig, neem dan contact op met Koppel Advies.