Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG is een privacywet, waarin regels zijn geformuleerd over de manier waarop ondernemers/instellingen binnen de Europese Unie (EU) met persoonsgegevens om moeten gaan. In de hele EU geldt dus dezelfde privacywetgeving.
De vraag is echter: de AVG, wat moet ik ermee?
Allereerst is van belang dat de AVG van toepassing is als u persoonsgegevens geheel of gedeeltelijk geautomatiseerd verwerkt. Ook wanneer u handmatig persoonsgegevens verwerkt die in een bestand zijn opgenomen of bestemd zijn daarin te worden opgenomen, heeft u te maken met de AVG.
Welke regels vervolgens concreet op uw situatie van toepassing zijn, ligt onder andere aan de vraag of u verwerkingsverantwoordelijke bent of verwerker.
Verwerkingsverantwoordelijke
U bent verwerkingsverantwoordelijke als u bepaalt hoe en waarom er persoonsgegevens worden verwerkt. Het maakt daarbij niet uit of u particulier bent, een rechtspersoon, een kleine zelfstandige ondernemer of multinational. Het gaat erom dat u met een bepaalde reden persoonsgegevens verwerkt op een door u gekozen manier. De verwerkingsverantwoordelijke is hoofdverantwoordelijk voor de manier waarop met persoonsgegevens wordt. Een verwerkingsverantwoordelijke schakelt regelmatig een verwerker in om haar te helpen met de (zorgvuldige) verwerking van persoonsgegevens.
Verwerker
De verwerker handelt in opdracht van de verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens zonder dat de verwerker rechtstreeks onder het gezag staat van de verwerkingsverantwoordelijke. Een werknemer is dus geen verwerker. De verwerker verwerkt de persoonsgegevens alleen met het doel dat door de verwerkingsverantwoordelijke is bepaald. Een voorbeeld van een verwerker is een administratiekantoor dat namens een bedrijf de salarisadministratie voert. De opdracht aan het administratiekantoor is het uitvoeren van de salarisadministratie, wat neerkomt op het verwerken van persoonsgegevens van medewerkers. In het kader van de AVG heeft de verwerker ook zelfstandig verplichtingen, zoals het treffen van passende beveiligingsmaatregelen voor de gegevensverwerking die in opdracht van de verwerkingsverantwoordelijke plaatsvindt.
Verwerking van persoonsgegevens
Bij de verwerking van de persoonsgegevens komt het erop neer dat niet zomaar elk persoonsgegeven mag worden verwerkt. Er moet een specifiek doel zijn waarom de persoonsgegevens worden verwerkt en bovendien mogen geen persoonsgegevens worden verwerkt die niet noodzakelijk zijn om het doel te bereiken, waarvoor de persoonsgegevens worden verwerkt. De verwerking van de persoonsgegevens moet op zorgvuldige en verantwoorde wijze gebeuren. Ook moet vooraf duidelijk zijn welke persoonsgegevens worden verwerkt, voor welke doeleinden en moet vooraf toestemming voor de verwerking zijn verleend.
Rechten van de betrokkene
Op basis van de AVG hebben personen recht op duidelijke informatie over wat met hun persoonsgegevens gebeuren. Om de rechten van personen van wie hun gegevens worden verwerkt (betrokkenen) te waarborgen, zijn in de AVG een aantal rechten opgenomen die een betrokkene kan inroepen tegen de verwerkingsverantwoordelijke:
• het recht op beperking van de verwerking: beperking van het gebruik van persoonsgegevens;
• het recht op inzage: welke persoonsgegevens worden verwerkt?
• het recht op correctie of aanvulling: rechtzetten onjuistheid gegevens;
• het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;
• het recht op verzet tegen de gegevensverwerking: bezwaar maken tegen de verwerking met als gevolg dat de verwerking moet worden stopgezet, tenzij u gerechtvaardigde gronden heeft om de verwerking voort te zetten;
• het recht op overdracht van zijn gegevens (dataportabiliteit);
• het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming: oftewel, het recht op een menselijke blik bij besluiten.
AVG wat moet ik ermee?
U dient dus als verwerkingsverantwoordelijke of verwerker een beleid te hebben waaruit blijkt hoe u de verplichtingen voortvloeiende uit de AVG heeft geregeld. Het is dus belangrijk om goed erover na te denken en vast te leggen: welke persoonsgegevens worden door u verwerkt, met welk doel en hoe worden deze gegevens verwerkt en beschermd? Wordt voldaan aan de AVG en hoe kan dat worden aangetoond? Een van de manieren om te kunnen aantonen dat u aan de regelgeving van de AVG voldoet is het aanpassen van uw algemene voorwaarden, het opstellen van een privacy verklaring en/of het aangaan van verwerkersovereenkomsten.
Als u advies wenst over de vraag of uw onderneming voldoet aan de AVG-verplichtingen, neemt u dan contact op met de advocaten van AdvocatenvanOranje.