De Algemene Verordening Gegevensbescherming (AVG) geldt voor natuurlijke personen en voor organisaties die persoonsgegevens verwerken. Het doel van de AVG is bescherming te bieden aan natuurlijke personen met betrekking tot de verwerking van zijn persoonsgegevens. Maar wat betekent dit voor de praktijk en wat is een verwerkersovereenkomst?
Wet bescherming persoonsgegevens
Op dit moment kent Nederland de Wet bescherming persoonsgegevens (Wbp). Op grond van deze wet heeft een natuurlijk persoon recht op informatie over en inzage in zijn gegevens. De Autoriteit Persoonsgegevens houdt hierop toezicht. Het door een organisatie verwerken van persoonsgegevens (zowel geautomatiseerd als handmatig) moet in beginsel gemeld worden bij de Autoriteit Persoonsgegevens. Ongemerkt bevinden persoonsgegevens zich in vele bestanden, denk daarbij aan de gemeente, belastingdienst, huisarts, tandarts, apotheker, maar ook aan de werkgever en vergeet niet de winkels via hun klantenkaarten. Vanuit de EU heeft men willen komen tot een uniforme privacywetgeving voor alle EU-lidstaten. Dit heeft geresulteerd in de AVG.
AVG
De AVG is al op 27 april 2016 in werking getreden, maar zal pas op 25 mei 2018 ook echt van toepassing zijn en komt dan in de plaats van de Wbp. Op deze wijze hebben organisaties en de toezichthouders de mogelijkheid gekregen om zich goed voor te bereiden op deze nieuwe wet. In alle lidstaten van de EU gelden dan dezelfde privacyregels.
De AVG zorgt voor een versterking en uitbreiding van de privacyrechten met meer verantwoordelijkheden voor organisaties die persoonsgegevens verwerken. Daarnaast krijgen alle nationale toezichthouders dezelfde bevoegdheden, waaronder het opleggen van boetes tot 20 miljoen euro.
Persoonsgegevens
Naast de persoonsgegevens zijn er ook nog de bijzondere persoonsgegevens (gegevens over ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap vakbond, over gezondheid, met betrekking tot seksueel gedrag of seksuele gerichtheid of strafrechtelijke gegevens). Deze bijzondere gegevens zijn extra beschermd.
Op grond van de AVG is de organisatie die de gegevens over een persoon verwerkt verantwoordelijk voor het (vooraf) informeren van deze persoon, in de AVG de betrokkene genoemd.
Rechten van de betrokkene
Onder de AVG heeft de betrokken natuurlijke persoon een groot aantal rechten, waaronder:
- het recht op informatie dat zijn persoonsgegevens worden verwerkt en waarom;
- het recht op wijziging of aanvulling van zijn persoonsgegevens;
- het recht om zijn persoonsgegevens te wissen;
- het recht op dataportabiliteit, waardoor de betrokkene zijn persoonsgegevens in een standaardformaat kan ontvangen en zo makkelijk kan doorgeven aan een andere organisatie.
Plichten voor de organisaties en bedrijven
Voor organisaties verandert er ook het nodige onder de AVG. De AVG is van toepassing op alle organisaties die persoonsgegevens verwerken, dus ook voor de zzp’er en mkb’ers (het bijhouden van afspraken van klanten, telefoonnummers van klanten en personeelsgegevens). De organisatie heeft een verantwoordingsplicht; zij moet aan de hand van documenten kunnen aantonen dat zij passende technische en organisatorische beveiligingsmaatregelen heeft getroffen. De organisatie hoeft de verwerkingen van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens. Wordt de verwerking van persoonsgegevens uitbesteed dan dient de organisatie een verwerkersovereenkomst te sluiten met deze verwerker, waarin op grond van de AVG een aantal onderwerpen verplicht moeten worden opgenomen, zoals bijvoorbeeld geheimhouding en beveiliging.
Verwerkersovereenkomst belangrijk voor bedrijven !
Wordt de verwerking van persoonsgegevens uitbesteed aan een verwerker, dan dient de organisatie een verwerkersovereenkomst te sluiten met deze verwerker, waarin op grond van de AVG een aantal onderwerpen verplicht moeten worden opgenomen, zoals bijvoorbeeld geheimhouding en beveiliging. En van verwerking is al snel sprake. Denk bijvoorbeeld aan het uitbesteden van de loonadministratie aan uw accountant, het verzuimbeleid aan de Arbodienst en vergeet ook niet uw IT leverancier. De komende maanden zal er op dat gebied dus nog veel moeten gebeuren.
Laat de aangeboden verwerkersovereenkomst toetsen.
U zult ook van dit soort partijen overeenkomsten aangeboden krijgen. Wij zien die momenteel in allerlei varianten voorbij komen. Sommige duidelijk beter en zorgvuldiger dan andere. In de overeenkomst moet een juist evenwicht in verantwoordelijkheden tussen u en de opdrachtgever worden opgenomen en kan het niet zo zijn dat alle risico’s naar u worden verlegd. Dit vraagt dus best wel aandacht en het is zeer verstandig dit soort overeenkomsten ter toetsing aan ons voor te leggen. En als u zelf verwerker bent kunnen we u uiteraard ook helpen met het opstellen van een eigen maatwerk verwerkersovereenkomst.
Neemt u dus bij vragen hierover gerust contact met ons kantoor op.