
Is uw bedrijf voorbereid op de nieuwe Europese Privacywetgeving (AVG)?
Voor veel MKB-ondernemers zal deze vraag weinig tot de verbeelding spreken. Velen van u zullen ongetwijfeld zelfs niet eens op de hoogte zijn van de nieuwe Europese Privacywetgeving. Dit neemt echter niet weg dat er ook voor de MKB-praktijk het nodige gaat veranderen. Sommige van deze veranderingen zijn vrij ingrijpend en zullen ook van u een inspanning vergen. Daarover leest u onderstaand meer.
De Algemene Verordening Gegevensbescherming (AVG), in de Engelse taal aangeduid als General Data Protection Regulation (GDPR), zal vanaf 25 mei 2018 in de gehele EU te gelden hebben. De verordening telt maar liefst 88 pagina’s en 99 artikelen; teveel om allemaal te behandelen, laat staan in dit artikel.
In de komende weken zullen wij dan ook vier artikelen publiceren over de AVG. Dit telkens vanuit een voor de MKB-praktijk relevante invalshoek. De onderwerpen zijn als volgt:
- Deel 1: het register voor verwerkingsactiviteiten
- Deel 2: de Data Protection Impact Assessment (DPIA)
- Deel 3: de ‘rechten’ van de betrokkenen
- Deel 4: de sancties en risico’s
Deel 1 treft u onderstaand aan. Allereerst evenwel een inleidend woord over de AVG.
De AVG heeft betrekking op de bescherming van natuurlijke personen in verband met de verwerking en de bescherming van hun persoonsgegevens. Dit staat als zodanig in het eerste artikel van de AVG.
Als stelregel kan men zeggen dat van een persoonsgegeven sprake is indien het gegeven herleidbaar is tot een natuurlijk persoon. Dit moet u zeer ruim opvatten. Ook een online identificator kwalificeert zich als zodanig.
Van verwerking is sprake indien met dat gegeven “iets” – en dat mag u in de meest ruime zin uitleggen – wordt gedaan. Denk hierbij aan verzamelen, vastleggen, ordenen, bijwerken, gebruiken, verspreiden etc.
Conclusie is derhalve dat er al zéér snel sprake is van de verwerking van persoonsgegevens. Thans wordt stilgestaan bij een van de nieuwe verplichtingen waar u mee te maken krijgt of kunt krijgen.
Deel 1: Het register van verwerkingsactiviteiten
U als ondernemer wordt verplicht een zogenaamd “register van verwerkingsactiviteiten” te gaan bijhouden. Goed nieuws is dat deze verplichting in beginsel alleen geldt voor bedrijven met meer dan 250 werknemers. Het slechte nieuws is dat dit beginsel feitelijk de uitzondering zal zijn, daar de ondernemer die 1) bijzondere persoonsgegevens (zoals ras, etnische afkomst, politieke opvattingen en lidmaatschap van een vakbond) of 2) niet incidenteel persoonsgegevens verwerkt, alsnog verplicht is een dergelijk register bij te houden. In de praktijk komt dit erop neer dat nagenoeg alle ondernemers een register van verwerkingsactiviteiten moeten gaan bijhouden.
In dit register moet u vervolgens allerhande gegevens opnemen, zoals de contactgegevens van degene belast met de verwerking van de gegevens, de doeleinden van de verwerking, een beschrijving van de categorieën van betrokkenen en persoonsgegevens en de instanties waarmee de gegevens (kunnen) worden gedeeld. Op u als ondernemer rust de verplichting om aan te tonen dat u aan de op u rustende verplichtingen voldoet, dus een proactieve houding is aan te bevelen.
Zoals gezegd bevat de AVG 99 artikelen. Deze artikelen bevatten niet elk een of meerdere verplichtingen voor de ondernemer die persoonsgegevens verwerkt, maar er kan nog veel meer geschreven worden over dit onderwerp. In de komende weken zullen diverse artikelen worden gepubliceerd waarin de meest in het oog springende onderwerpen worden besproken. Op die manier kunt u zich als ondernemer gedegen voorbereiden op de AVG.
Het devies is in ieder geval om tijdig te anticiperen op de AVG. Er wordt van u als ondernemer namelijk nogal wat gevergd. Van een individuele vraag tot een volledige AVG-screening van uw organisatie; wij staan u uiteraard graag terzijde!
Mocht u vragen hebben naar aanleiding van dit artikel, of reeds vooruitlopend op de aankomende artikelen nadere informatie wensen over de impact die de AVG op uw organisatie zal hebben, dan kunt u daartoe contact opnemen met de heer mr. R.A. Stoks (0495-536138 / rstoks@abenslag.nl).
