Vanaf 25 mei 2018 moeten alle organisaties voldoen aan de eisen van de AVG. Boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. De nieuwe wet breidt privacy- rechten van burgers uit en legt extra verplichtingen op aan organisaties die persoonsgegevens verwerken. En dat zal in de praktijk te merken zijn.
De meeste bedrijven werken dagelijks met persoonsgegevens van klanten en relaties , in de vorm van burgerservicenummers (BSN), adresgegevens, salarisgegevens, maar bijvoorbeeld ook in de vorm van medische gegevens. Verwerking van deze gegevens is niet zomaar toegestaan. Er moet een duidelijk doel zijn en de bewaartermijn is niet oneindig. Een paar voorbeelden.
Wil je een lening of hypotheek aangaan dan wordt je financiële situatie doorgelicht. Hoe is het betaalgedrag van de student die een smartphone wil kopen? Wat is het inkomen van de aanvrager van een leasecontract? Wat is het betaalgedrag van je klanten? Je kunt er snel achter komen, want de handel in dit type persoonsgegevens is groeiende. Enkele grote databedrijven zijn nu al in het bezit van betaalgegevens van meer dan 10 miljoen Nederlanders (bijna iedere volwassene dus). Het lijkt efficiënt, maar het is in strijd met de privacywetgeving.
De Autoriteit Persoonsgegevens oefent toezicht uit. Als voorbeeld een transportbedrijf dat scans maakte van de identiteitsdocumenten van vrachtwagenchauffeurs die goederen kwamen laden. Het verwerkte deze gegevens in het eigen computersysteem voor onbepaalde tijd. Dat is niet toegestaan, zeker niet als er (online) geen extra beveiliging is om identiteitsfraude tegen te gaan. De Autoriteit Persoonsgegevens eiste dan ook beëindiging van de overtreding op straffe van een last onder dwangsom.
Verstandig dus om als bedrijf na te gaan of je voldoet aan de strengere privacy-eisen van de AVG. We noemen er een paar:
- Onder de AVG heeft u een verantwoordingsplicht. U moet kunnen aantonen dat uw organisatie in control is op het gebied van privacy b.v. door middel van een register van verwerkingsactiviteiten.
- Organisaties die grootschalig met data werken zijn verplicht een Functionaris voor de gegevensbescherming (FG) aan te stellen en een data protection impact assessment (DPIA) uit te voeren. Dat geldt ook als u werkt met bijzondere persoonsgegevens. ( etniciteit, seksuele voorkeur, godsdienst, politieke overtuiging, medische gegevens etc.)
- Besteedt u verwerking van persoonsgegevens uit- bv de loonadministratie- dan bent u ook verantwoordelijk voor de verwerker. Ziekenhuizen die medische gegevens lieten scannen draaiden op voor de boetes toen het door hen ingehuurde scanbedrijf per ongeluk de medische rapporten openbaar maakten via een link.
Privacybescherming wordt dus een cruciaal onderdeel van moderne bedrijfsvoering. Klanten en relaties willen nu eenmaal dat hun data in veilige handen zijn. Investering in privacybescherming is dus een verstandige zaak.
Meer leren over gegevensbescherming en de AVG? Bezoek dan het Nieuwspoort Seminar ‘AVG-Proof in 10 kwartier, voor kinderopvang, basisonderwijs en kindcentra’, waarbij Ina Brouwer spreker zal zijn. Start 14 juni.
Voor meer informatie en praktisch advies op maat: Ina Brouwer, advocaat bij Borg advocaten
Hedendaagse jeugdcriminaliteit: nieuwe vragen en enkele antwoorden na een historische daling
Mensen boven Macht – Edwin Tuin
Advocaat-generaal: geen herziening Arnhemse villamoord
