Werkt jouw bedrijf met persoonsgegevens in bijvoorbeeld mailings of heb je een adressenlijst met contactpersonen? Dan is het goed actie te ondernemen, want per 25 mei 2018 verandert de wetgeving hierover. Er komt een nieuwe privacywet. De Wet bescherming persoonsgegevens (Wbp) wordt vervangen door Europese regelgeving, de Algemene verordening gegevensbescherming (AVG). En deze Europese privacywet kan financiële consequenties hebben voor elk bedrijf.

Grenzen vervagen en het recht op privacy houdt niet op bij de Nederlandse grens of de grens van de EU. ‘Mensen moeten er op kunnen vertrouwen dat bedrijven en overheden netjes met hun persoonsgegevens omgaan. Met de nieuwe regels ontstaat in de gehele Europese Unie een gelijk niveau van bescherming’, aldus minister Dekker. Op de website Rijksoverheid tref je een toelichting aan over de achtergrond waarom we te maken krijgen met nieuwe regelgeving.

Hieronder informeer ik je in vogelvlucht over de gevolgen die de nieuwe wetgeving met zich meebrengt. Ook voor jouw onderneming. Er is namelijk al snel sprake van gegevensverwerking.

Boete
Hoe klein of groot je bedrijf ook is, ook voor jou gelden de regels en loop je een risico. Als jij je niet houdt aan de nieuwe privacywetgeving dan heeft dat vanaf 25 mei 2018 financiële consequenties: de Autoriteit Persoonsgegevens kan sancties opleggen van maximaal 20 miljoen euro of 4% van je wereldwijde omzet.

Persoonsgegevens
De Wet bescherming persoonsgegevens (Wbp) omschrijft een persoonsgegeven als elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent informatie die ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.

De wet maakt een onderscheid tussen gewone en bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken. Bijzondere persoonsgegevens zijn ook genetische en biometrische gegevens die direct herleidbaar zijn tot een persoon.

Je bedrijf (1) mag persoonsgegevens verwerken als je hier een reden voor hebt. Er moet een verwerkingsdoeleind zijn. Bij bijzondere persoonsgegevens moet je bovendien voldoen aan een van de extra vereisten uit artikel 9 lid 2 AVG. Verwerking van bijzondere persoonsgegevens mag alleen als er een verwerkingsdoeleind is en:

  • Als de persoon op wie de gegevens betrekking heeft, de betrokkene, hier expliciet toestemming voor heeft gegeven en het verwerkingsdoeleind hem op voorhand duidelijk is gemaakt; of
  • de verwerking noodzakelijk is voor de uitvoering van specifieke verplichtingen op het gebied van arbeidsrecht of socialezekerheidsrecht of verplichtingen die voortvloeien uit een cao. Zo kun je denken aan een medewerker die zwanger is. Als werkgever zal je dit medische persoonsgegeven op enig moment moeten gebruiken om haar aan te kunnen melden voor zwangerschapsverlof.

Het verwerken van gegevens. Wat wordt hiermee bedoeld?
Het begrip verwerking is ruim. Hieronder valt het verzamelen, vastleggen, opslaan, bijwerken of wijzigen, raadplegen, gebruiken, wissen en vernietigen. Bekijk vooral de wet voor de volledigheid.

Betrokkene, verantwoordelijke en bewerker
De betrokkene is de natuurlijke persoon en degene op wie de persoonsgegevens betrekking heeft. De verantwoordelijke is de ondernemer (1) die verplicht is ervoor te zorgen dat de wet- en regelgeving op het gebied van privacy wordt nageleefd en die persoonsgegevens verwerkt. De bewerker is de persoon of organisatie die wordt ingeschakeld door de verantwoordelijke om de persoonsgegevens te verwerken. Een zzp’er is vaak verantwoordelijke en bewerker ineen.

In het geval van de zwangere werknemer is het dus de werkneemster die de betrokkene is, de werkgever en eigenaar van de onderneming de verantwoordelijke en eventueel de salarisadministrateur die de bewerker is. Volg je het nog?

Privacyrechten
Onder de AVG krijgen betrokkenen meer en verbeterde privacyrechten. Te denken valt aan de bestaande rechten, zoals het recht op inzage en het recht op verwijdering. Het recht op dataportabiliteit is een nieuw recht en hiermee dient jouw bedrijf rekening te houden. Dataportabiliteit van gegevens heeft betrekking op het kunnen toesturen van de desbetreffende persoonsgegevens. En ben je al bekend met – ook een leuke – het recht om vergeten te worden?

Deze nieuwe rechten zijn per 25 mei 2018 van kracht. Vanaf dat moment kunnen mensen bij de Autoriteit Persoonsgegevens (AP) klachten indienen over de manier waarop je met hun gegevens omgaat. De AP is vervolgens verplicht deze klachten te behandelen. En zo komt die mogelijkheid een boete te ontvangen toch niet zo onwaarschijnlijk voor.

De oplossing
Onder de privacywet, de AVG, heb jij als ondernemer een verantwoordingsplicht. Dat houdt in dat jij moet aantonen dat je organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten (verwerkingsregister) is onderdeel van de verantwoordingsplicht. Stel zo’n register op en breng de gegevens verwerkingen in kaart. Documenteer welke persoonsgegevens jij verwerkt en met welk doel, waar die gegevens vandaan komen en met wie je ze deelt.

Schakel jij als ondernemer een derde in om een deel van de persoonsgegevens te verwerken, zoals een salarisbureau of administratiekantoor? Maak dan gebruik van een bewerkersovereenkomst. Op die manier kun jij als verantwoordelijke aantonen dat je transparant en verantwoordelijk omgaat met persoonsgegevens.

Tot slot, het voorgaande is de nieuwe privacywetgeving in vogelvlucht. In een volgend blog ga ik nader in op deze nieuwe wet en de oplossingen. Binnenkort geven ondergetekenden een workshop in Broek op Langedijk waarbij wij je helpen je onderneming AVG-proof te maken!

Auteur mr. S.B. Punt en I. Masselink

 

Noot 1 De wet is dus niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Dus je boekje met adresgegevens voor het verzenden van je kerstwensen valt niet onder deze wet!

Juriste Punt

css.php