Voldoet uw onderneming aan de AVG?

Doe de AVG-check!
Helderecht Hajo Coumou afbeelding illustratie advocaat AVG

Voldoet uw onderneming aan de AVG?

Op de radio en televisie komen er regelmatig spotjes langs. Hoogstwaarschijnlijk zal het u niet zijn ontgaan dat er vanaf 25 mei 2018 een aantal regels over het verwerken van persoonsgegevens zullen veranderen. Op deze datum vervangt de Algemene Verordening Gegevensbescherming (AVG) de thans geldende Wet bescherming persoonsgegevens (Wbp). Los van de vraag of uw onderneming voldeed aan de thans nog geldende verplichtingen op grond van de Wbp, zullen er een aantal wijzigingen binnen uw onderneming noodzakelijk zijn. In deze blog zullen wij kort een aantal onderwerpen bespreken.

Sancties op overtredingen; boete AVG?

Bij overtreding van de verplichtingen uit de AVG kan de toezichthouder, de Autoriteit Persoonsgegevens, een maximumboete van 20 miljoen of een boete ter hoogte van 4% van uw wereldwijde omzet worden opgelegd. Wij maken daarbij wel de kleine kanttekening, dat wij vermoeden dat de Autoriteit Persoonsgegevens niet bij de eerste de beste overtreding zal gaan strooien met (hoge) boetes. De toezichthouder zal naar verwachting voornamelijk toelichting geven en ondersteuning bieden en zij beschikt daarnaast nog over de minder zware sanctiemogelijkheid om een last onder dwangsom op te leggen.

Verwerking van (Bijzondere) Persoonsgegevens

Onder het begrijp “persoonsgegeven” valt “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. De AVG maakt daarbij onderscheid tussen gewone persoonsgegevens, zoals uw voor- en achternaam, en bijzondere persoonsgegevens, zoals uw BSN-nummer. Onder het begrip “verwerken” valt onder meer verzamelen, vastleggen, opslaan, wissen en vernietigen. Het begrip is erg ruim, waardoor u al snel persoonsgegevens verwerkt. De AVG is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijk persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit.

Rechtsgrond en doeleinden

Aan iedere verwerking van persoonsgegevens dient één van de in artikel 6 van de AVG genoemde rechtsgronden en een gerechtvaardigd doeleind ten grondslag liggen. De rechtsgronden zijn:

  1. Toestemming van de betrokkenen;
  2. Noodzakelijk voor uitvoering overeenkomst;
  3. Noodzakelijk om te voldoen aan wettelijke verplichting;
  4. Noodzakelijk om de vitale belangen te beschermen;
  5. Noodzakelijk voor de vervulling van een taak van algemeen belang of openbaar gezag;
  6. Noodzakelijk voor de behartiging van een gerechtvaardigd belang van uw onderneming of een derde.    

Aan de gegeven toestemming, de eerste rechtsgrond, worden strengere eisen gesteld. Het gaat daarbij om een duidelijke actieve handeling, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Een reeds aangekruist vakje op uw website voldoet niet aan deze eisen.

Ben ik Verwerkingsverantwoordelijke, Verwerker of beide?

Afhankelijk van de situatie is het antwoord op een dergelijke vraag niet altijd even simpel te beantwoorden. Het beantwoorden wordt mogelijk gemakkelijker, indien u zich afvraagt of uw primaire opdracht ziet op het verwerken van persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. Indien de verwerking enkel een uitvloeisel van een andere vorm van dienstverlening is, dan bent u verwerkingsverantwoordelijke. Daarbij is ook van belang of uw onderneming zelf de doelen van de verwerking en de middelen bepaalt of dat u enkel gegevens verwerkt onder de verantwoordelijkheid en instructie van de verwerkingsverantwoordelijke. Wij merken nog kort op dat u in bepaalde gevallen een verwerkersovereenkomst dient af te sluiten.

Enkele specifieke voorbeelden:

  1. Een administratiekantoor dat namens uw onderneming de salarisadministratie voert wordt gekwalificeerd als verwerker.
  2. Een aanbieder van gegevensopslag in de Cloud, indien de dienstverlening enkel ziet op opslag van uw gegevens wordt gekwalificeerd als verwerker.
  3. Een aanbieder van online diensten, zoals bijvoorbeeld een fitnessapp om medewerkers gezond en fit te houden, die daarvoor persoonsgegevens van uw medewerkers verwerkt, wordt gekwalificeerd als verwerkingsverantwoordelijke.

Informatieverplichting

Bij verkrijging van persoonsgegevens van de betrokkenen zelf, dient de verwerkingsverantwoordelijke een aanzienlijke hoeveelheid informatie te verstrekken aan de betrokkenen. Het gaat onder meer om de volgende informatie:

  1. De identiteit en contactgegevens en van de vertegenwoordiger;
  2. De contactgegevens van de Functionaris voor gegevensbescherming;
  3. Verwerkingsdoeleinden en rechtsgronden;
  4. (Categorieën van) Ontvangers van de persoonsgegevens;
  5. Doorgifte aan een derde land of internationale organisatie;
  6. Bewaartermijnen;
  7. De rechten van betrokkenen;
  8. Bestaan van geautomatiseerde besluitvorming.

Indien de persoonsgegevens niet van de betrokkenen zelf zijn verkregen, dient de verwerkingsverantwoordelijke naast de hierboven opgesomde informatie ook (9.) De bron waar de gegevens vandaan komen te verstrekken.

U kunt aan deze verplichting voldoen door het (laten) opstellen van een privacyverklaring en deze op uw website te plaatsen. Deze privacyverklaring kunt u ook als bijlage bijvoegen bij uw opdrachtbevestiging net zoals uw algemene voorwaarden. Ook kunt u een interne privacyverklaring ten behoeve van uw medewerkers in het personeelshandboek opnemen.

Wij merken dat ondernemingen tegen terugkerende problemen en vragen aanlopen op het moment dat zij zich hebben verdiept in deze omvangrijke materie. In de AVG zijn algemene verplichtingen opgenomen voor een heel breed scala aan ondernemingen. Er zijn veel open normen gebruikt en geen specifieke voorbeelden/antwoorden gegeven. De Autoriteit Persoonsgegevens wijst hoofdzakelijk op de voor uw eventuele vraag geldende regel, waarna u zelf een afweging dient te maken. Specifieke antwoorden en voorbeelden zijn zeldzaam, terwijl in de AVG expliciet is opgenomen dat u als verwerkingsverantwoordelijk verantwoordelijk bent om aan te kunnen tonen dat u voldoet aan de verplichtingen uit de AVG.

Is uw onderneming AVG-Proof? Advocaat AVG nodig?

Helderecht Advocaten heeft menig ondernemer geholpen door het opstellen van de juiste documenten voor de AVG. De privacyregelgeving is omvangrijk en risico’s zijn (uiteindelijk) groot. Een advocaat AVG kan problemen voorkomen en rust verzorgen voor de toekomst. Helderecht kan voor uw onderneming onder meer de volgende documenten opstellen:

  1. Verwerkersovereenkomsten;
  2. (Interne) Privacyverklaringen;
  3. Registers, denk aan verwerkingsregister (voor verwerkingsverantwoordelijke en voor verwerker) en datalekken;
  4. Protocollen.

Wij verstrekken advies over uw AVG vraagstukken. Ook bieden wij een AVG-check aan. Aan de hand van het gezamenlijk doorlopen van een door ons opgestelde checklist, kunnen wij in een aantal duidelijke stappen nagaan of uw onderneming AVG-Proof is. Is uw onderneming (nog) niet klaar is voor de AVG, kunnen wij uw onderneming helpen om alsnog op tijd te voldoen aan de verplichtingen uit de AVG.

Mocht u naar aanleiding van het voorgaande nog vragen hebben over de AVG of kunt u onze juridische bijstand goed gebruiken, neem dan vrijblijvend contact op met één van onze specialisten via 055–5212491 of info@helderecht.nl. Onze specialisten helpen u graag.

 

Volg Helderecht op Linkedin en lees wekelijks de interessante blogs van onze advocaten.
Onze eigen mr. H.C.J. (Hajo) Coumou tekent de illustraties bij onze blogs.