AVG zorgt voor strengere privacy-eisen in 2018

AVG

Vanaf de 25ste van de volgende maand is de nieuwe Wet Algemene Verordening Gegevensbescherming van toepassing in Nederland en de rest van de Europese Unie. De tweejarige voorbereidingstijd op de AVG is dan voorbij. Deze nieuwe Europese regels over de bescherming van persoonsgegevens raken vrijwel iedere organisatie die zich bezighoudt met de verwerking van persoonlijke data.

Daarom heeft Borg advocaten besloten een 4-delig blog te schrijven over de relevante aandachtspunten die bij de AVG om de hoek komen kijken. Wij starten deze week met een algemene beschouwing van de AVG.

Algemene Verordening Gegevensbescherming

Vanaf 25 mei 2018 moeten alle organisaties voldoen aan de eisen van de AVG. Boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. De nieuwe wet breidt privacy- rechten van burgers uit en legt extra verplichtingen op aan organisaties die persoonsgegevens verwerken. En dat zal in de praktijk te merken zijn.

Wet AVG

De meeste bedrijven werken dagelijks met persoonsgegevens van klanten en relaties , in de vorm van burgerservicenummers (BSN), adresgegevens, salarisgegevens, maar bijvoorbeeld ook in de vorm van medische gegevens. Verwerking van deze gegevens is niet zomaar toegestaan. Er moet een duidelijk doel zijn en de bewaartermijn is niet oneindig.  Een paar voorbeelden:

  • Wil je een lening of hypotheek aangaan dan wordt je financiële situatie doorgelicht.
  • Hoe is het betaalgedrag van de student die een smartphone wil kopen?
  • Wat is het inkomen van de aanvrager van een leasecontract?
  • Wat is het betaalgedrag van je klanten? Je kunt er snel achter komen, want de handel in dit type persoonsgegevens is groeiende.

Enkele grote databedrijven zijn nu al in het bezit van betaalgegevens van meer dan 10 miljoen Nederlanders (bijna iedere volwassene dus). Het lijkt efficiënt, maar het is in strijd met de privacywetgeving.

Toezicht

De Autoriteit Persoonsgegevens oefent toezicht uit. Als voorbeeld een transportbedrijf dat scans maakte van de identiteitsdocumenten van vrachtwagenchauffeurs die goederen kwamen laden. Het verwerkte deze gegevens in het eigen computersysteem voor onbepaalde tijd. Dat is niet toegestaan, zeker niet als er (online) geen extra beveiliging is om identiteitsfraude tegen te gaan. De Autoriteit Persoonsgegevens eiste dan ook beëindiging van de overtreding op straffe van een last onder dwangsom.

Verstandig dus om als bedrijf na te gaan of je voldoet aan de strengere privacy-eisen van de AVG.  We noemen er een paar:

  1. Onder de AVG heeft u een verantwoordingsplicht. U moet kunnen aantonen dat uw organisatie in control is op het gebied van privacy b.v. door middel van een register van verwerkingsactiviteiten.
  2. Organisaties die grootschalig met data werken zijn verplicht een Functionaris voor de gegevensbescherming (FG) aan te stellen en een data protection impact assessment (DPIA) uit te voeren. Dat geldt ook als u werkt met bijzondere persoonsgegevens. ( etniciteit, seksuele voorkeur, godsdienst, politieke overtuiging, medische gegevens etc.)
  3. Besteedt u verwerking van persoonsgegevens uit- bv de loonadministratie- dan bent u ook verantwoordelijk voor de verwerker. Ziekenhuizen die medische gegevens lieten scannen draaiden op voor de boetes toen het door hen ingehuurde scanbedrijf per ongeluk de medische rapporten openbaar maakten via een link.

Privacybescherming wordt dus een cruciaal onderdeel van moderne bedrijfsvoering. Klanten en relaties willen nu eenmaal dat hun data in veilige handen zijn.

Kortom: Investering in privacybescherming is dus een verstandige zaak.

Dit artikel van mr. Ina Brouwer is eerder gepubliceerd op de website van Veiligheid en Leefbaarheid in Nederland.