Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. Deze verordening is in de plaats gekomen van de Wet bescherming persoonsgegevens (Wbp) en beschermt de verwerking van persoonsgegevens van natuurlijke personen. Deze verordening is vooral in het nieuws gekomen vanwege hoge boetes die kunnen opgelegd worden als de verordening niet wordt nageleefd. Deze boetes kunnen namelijk oplopen tot twintig miljoen euro of 4% van de jaaromzet van een bedrijf .
In 2018 zijn er al verschillende boetes opgelegd. Zo heeft een Duitse sociale media dienst € 20.000,-- boete opgelegd gekregen en een Portugees ziekenhuis zelfs € 400.000.--. Dit baart zorgen bij bedrijven. Wat kunnen bedrijven doen om deze boetes te voorkomen? In deze weblog zal ik een aantal maatregelen hiervoor kort uiteenzetten. 1. Bekijk welke persoonsgegevens op dit moment worden verwerkt en of dit is toegestaan. Een persoonsgegeven is informatie over een geïdentificeerde natuurlijke persoon. Dit kunnen bijvoorbeeld adresgegevens, inkomensinformatie of personalia zijn. Verwerking van persoonsgegevens mag niet zomaar. Deze verwerking moet noodzakelijk zijn of er moet toestemming zijn van de betrokkene. Het is bijvoorbeeld voor een webshop vaak noodzakelijk om adresgegevens te hebben van een betrokkene, anders kunnen goederen niet naar de juiste persoon verzonden worden. Maar voor bijvoorbeeld, een website die digitale nieuwsbrieven verstuurt, zijn adresgegevens niet van belang. Deze website zal dan ook toestemming moeten vragen voor de verwerking van dit persoonsgegeven voor specifieke doeleinden. Belangrijk is dus om te kijken of er een rechtmatige grondslag is voor de verwerking van de persoonsgegevens. Daarnaast moet het doel van de verwerking specifiek zijn. Zo is het enkel noemen van optimale dienstverlening als doel niet voldoende. 2. Beveilig alle persoonsgegevens. De AVG schrijft voor dat er technische en organisatorische maatregelen genomen moeten worden om persoonsgegevens te beveiligen. Dit kan bijvoorbeeld een versleuteling van de persoonsgegevens zijn of een beperkte toegang van werknemers tot de gegevens. Het eerder genoemde beboete Duitse sociale media bedrijf had bijvoorbeeld bijna twee miljoen wachtwoorden ongecodeerd opgeslagen. Daarnaast had het eerder genoemde beboete Portugese ziekenhuis toegang tot patiëntgegevens verschaft aan meer dan 900 onbevoegden. Dit waren bijvoorbeeld ex-werknemers of tijdelijk aangestelde artsen die er inmiddels niet meer werkzaam waren. Van belang is dus om persoonsgegevens voldoende te beveiligen, om boetes te voorkomen. Hierbij kan bijvoorbeeld een datalekfilter helpen. 3. Meld datalekken. Op het moment dat er een inbreuk is geweest op de beveiliging van de persoonsgegevens of als de persoonsgegevens in gevaar komen dan geldt er een meldplicht. Er moet een melding van het zogenoemde datalek gemaakt worden bij de toezichthoudende autoriteit. Dit is in Nederland de Autoriteit Persoonsgegevens (hierna te noemen: “AP”). Ieder datalek moet binnen 72 uur gemeld worden bij de AP. Daarnaast moeten de betrokkenen worden geïnformeerd indien er sprake is van een hoog risico voor de rechten en vrijheden van de betrokkenen. Het eerder genoemde beboete Duitse sociale media bedrijf had een melding gedaan bij de toezichthoudende autoriteit van het lek in haar beveiliging. Volgens de Duitse AP was de boete veel hoger geweest als deze melding niet was gedaan. Dit verklaart het feit dat de boete voor de Duitse sociale media dienst relatief veel lager was dan de boete voor het Portugese ziekenhuis, die het datalek niet gemeld had. 4. Herschrijf uw privacyverklaring. Het informeren omtrent de verwerking van persoonsgegevens van betrokkenen gebeurt in de privacyverklaring. In deze verklaring moeten onder andere de verwerkingen en de doelen hiervan benoemd worden. De rechten van de betrokkenen moeten worden genoemd, bijvoorbeeld het recht op inzage van gegevens. Toegelicht moet worden welke beveiligingsmaatregelen zijn genomen om de persoonsgegevens te beschermen, of eventuele derden de persoonsgegevens verwerken en in hoeverre de persoonsgegevens buiten de Europese Unie verwerkt worden. Daarnaast is het van belang om de bewaartermijnen van de persoonsgegevens te vermelden. De privacyverklaring moet duidelijk en goed leesbaar zijn voor alle betrokkenen. Op een online spelletjessite voor kinderen zal de privacyverklaring er dus anders uitzien dan een informatiesite voor juristen. Ten slotte moet de privacyverklaring gemakkelijk te vinden zijn. 5. Vraag hulp Om aan te AVG te kunnen voldoen, zijn vaak veel aanpassingen nodig. Niet iedere ondernemer is een privacy-expert. Daarom loont het vaak om hulp te vragen. Zo bestaat er bijvoorbeeld www.hulpbijprivacy.nldit is een website in het leven geroepen van de Autoriteit Persoonsgegevens, hier wordt informatie verstrekt over waar precies aan voldaan moet worden. Daarnaast kunnen wij u uiteraard ook behulpzaam zijn. Tot slot kunnen brancheverenigingen ook een helpende hand bieden. Elke onderneming moet immers voldoen aan de nieuwe privacywetgeving en het zal daarom effectief kunnen zijn om elkaars inzichten en referenties omtrent privacy te delen. Kortom, een privacy boete is te voorkomen, maar daar moet u wel moeite voor doen. Niet alle persoonsgegevens mogen zomaar verwerkt worden; er moet een grondslag zijn voor deze verwerking. De persoonsgegevens moeten goed beveiligd worden. Indien er datalekken ontstaan, dienen deze gemeld te worden. De verwerkingen van de persoonsgegevens en grondslagen hiervoor moeten omschreven worden in een duidelijke en leesbare privacyverklaring. Het AP zal bij een kleine misstap niet meteen torenhoge boetes opleggen, maar waakzaamheid omtrent de privacy van personen moet worden betracht. Wees daarbij niet bang om hulp te vragen. Als het gaat om privacy is een goed begin het halve werk. Als u meer informatie over dit onderwerp wil, neem dan gerust contact met ons op ([email protected]).
0 Comments
|
Auteur
Kim van Berkel Archieven
June 2021
Categorieën
|