Velden zijn niet correct ingevuld

Privacywet voor Europa vanaf 25 mei 2018

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR), van toepassing. Deze privacywet geldt in elke lidstaat van de Europese Unie. Er verandert met deze wet veel op het gebied van privacy. Zo moet de privacyverklaring transparanter, moet een datalek ook intern worden gedocumenteerd, hebben sommige bedrijven een functionaris gegevensbescherming nodig, moet er een verwerkingsregister worden bijgehouden, et cetera. In dit blog wordt besproken wanneer de AVG van toepassing is.

Wanneer is de AVG van toepassing?

De Algemene Verordening Gegevensbescherming is kortgezegd van toepassing op de verwerking van persoonsgegevens die in een bestand zijn of worden opgenomen. Verwerkt een onderneming persoonsgegevens? Dan moeten de bepalingen van de AVG in acht worden genomen.

Wat is een persoonsgegeven?

De AVG maakt onderscheid tussen ‘gewone’ persoonsgegevens en ‘bijzondere’ persoonsgegevens. Een gewoon persoonsgegeven is bijvoorbeeld een naam, adres, woonplaats, telefoonnummer en gegevens gekoppeld aan IP-adressen. Bijzondere persoonsgegevens zijn onder meer gegevens over ras (pasfoto), religie, politieke opvattingen of gezondheid.

Wanneer is sprake van ‘verwerking’?

Artikel 4 lid 2 Algemene Verordening Gegevensbescherming bepaalt wanneer sprake is van het verwerken van persoonsgegevens.

Artikel 4 lid 2: “Verwerking: (…) zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.”

Oftewel, ‘verwerken’ is een heel ruim begrip. Elke onderneming met een klantenbestand of personeelsbestand verwerkt persoonsgegevens en heeft direct te maken met de AVG.

Toestemming van betrokkene vereist voor verwerking?

De verwerking van persoonsgegevens is slechts toegestaan indien de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens of de verwerking noodzakelijk is. De verwerking is volgens de AVG onder andere noodzakelijk als gegevens worden verwerkt voor de uitvoering van een overeenkomst. Het zou onwerkbaar zijn als voor elke bestelling bij de pizzeria toestemming zou moeten worden gevraagd voor de verwerking van persoonsgegevens. Ook noodzakelijk is de gegevensverwerking van vitale belangen; denk bijvoorbeeld aan de situatie dat iemand acuut medische hulp nodig heeft. Het zou onwerkbaar zijn als een arts eerst uitdrukkelijk toestemming zou moeten krijgen van de betrokkene voordat medische hulp kan worden verleend. De verwerking wordt ook noodzakelijk geacht als de verwerking ziet op een wettelijke plicht (bijv. loonadministratie) en er sprake is van een gerechtvaardigd belang voor de verwerking.

Het verwerken van bijzondere persoonsgegevens is verboden, tenzij uitdrukkelijke toestemming voor verwerking wordt gekregen of de verwerking noodzakelijk is. De verwerking is noodzakelijk als deze berust op een wettelijke grondslag. Een werkgever is op grond van de Wet op de identificatieplicht verplicht om de identiteit van nieuwe werknemers te controleren en een kopie van het identiteitsbewijs te bewaren. Deze verwerking is dus noodzakelijk, daarvoor hoeft geen toestemming van de werknemer te worden gekregen. Dit is anders bij gedetacheerde werknemers of een door de werkgever ingeschakelde ZZP-er. Indien een werkgever van gedetacheerde werknemers of ZZP-er een kopie van een paspoort bewaart, heeft hij daarvoor uitdrukkelijke toestemming van de betrokkene nodig aangezien een wettelijke basis voor de bewaring ontbreekt.

Conclusie

De algehele conclusie is dat de AVG op veel verwerkingsactiviteiten van ondernemingen van toepassing is. Vrijwel elke onderneming krijgt te maken met de nieuwe privacywet. U heeft nog enkele maanden om uw bedrijfsprocessen aan te passen aan de nieuwe wetgeving. De sancties op het niet voldoen aan de wetgeving zijn niet mals. De maximale boete per overtreding kan 2 miljoen bedragen of 4% van uw bedrijfsomzet. Bovendien speelt het niet te onderschatten risico van reputatieschade.

Is uw onderneming voorbereid op de nieuwe privacywet?

Voldoen uw bedrijfsprocessen aan de Algemene Verordening Gegevensbescherming (GDPR) of hebt u hierbij nog advies nodig? Actio staat voor u klaar. Neem contact op met onze gespecialiseerde advocaten in Assen of Hoogeveen.



Naar blogverzicht