Algemene Verordening Gegevensbescherming (AVG)

07-05-2018

Door: Koen Konings, NORD advocaten

In mei 2016 trad de definitieve tekst van de Algemene Verordening Gegevensbescherming (AVG of – in het Engels – GDPR) in werking. Bepaald werd (in artikel 99 AVG) dat op 25 mei 2018 de AVG ook daadwerkelijk van toepassing zal zijn. Vanaf dat moment wordt onze Wet bescherming persoonsgegevens (Wbp) definitief vervangen door de AVG. De Europese bedrijven en organisaties hebben daarmee dus twee jaar de tijd gekregen om hun bedrijfsvoering aan te passen op de strengere regelgeving. Er kon dus tijdig worden begonnen met het in kaart brengen van de verwerkingsactiviteiten van persoonsgegevens voor vastlegging in de verplichte privacy-administratie en in het register van verwerkingsactiviteiten. Koen Konings, gastdocent opleiding Data Science en informatierecht advocaat bij NORD advocaten, licht hieronder verder toe:

De eerste stappen naar compliance aan de AVG

Toch blijken in de praktijk de meeste bedrijven en organisaties hun stappen op dit vlak met grote regelmaat te hebben uitgesteld tot het allerlaatste moment. Stel dat u nu wakker schrikt. Wat zijn nu de eerste stappen die gezet moeten worden? De toezichthoudende autoriteit, de Autoriteit Persoonsgegevens, geeft op haar blog een aantal handige beginpunten, zoals bewustwording, rechten van betrokkenen en een overzicht van verwerkingen maken. Veel houvast biedt dat ondernemers niet.


Privacy statements en verwerkersovereenkomsten

Bij de weg naar privacy compliance gaat de meeste aandacht van bedrijven en organisaties uit naar de uiterlijke verschijningsvormen van de privacyregels, zoals privacy statements of verwerkersovereenkomsten. Misschien is dat wel logisch, omdat dat een commercieel effect heeft (of omdat de contractuele wederpartij daarom vraagt), maar onze ervaring leert dat het beter is om intern te beginnen met het optuigen van de wettelijk verplichte privacy-administratie.


Verwerkingen van persoonsgegevens

Onze ervaring leert dat het efficiënt en logisch is om te beginnen met het in kaart brengen van alle verwerkingen die een organisatie doet met persoonsgegevens. Zowel het begrip ‘verwerken’ (artikel 4 sub 2 AVG) als ‘persoonsgegevens’ (artikel 4 lid 1 AVG) zijn zeer ruime begrippen. Eigenlijk valt alles wat een bedrijf of organisatie doet met gegevens die gaan over een geïdentificeerd of identificeerbaar natuurlijk persoon (een levend mens) al onder die combinatie van begrippen. Dat betekent dat de AVG van toepassing is, maar ook dat de verwerkingsactiviteiten in kaart moeten worden gebracht.


Privacy-administratie en register voor verwerkingsactiviteiten

De AVG vraagt aan alle bedrijven en organisaties die binnen de Europese Unie zijn gevestigd zich:

  1. te houden aan de beginselen en regels van de AVG (artikel 5 lid 1 AVG); en
  2. de naleving van die regels aantoonbaar te maken (artikel 5 lid 2 AVG) en hun verwerkingsactiviteiten in kaart te brengen met een register voor verwerkingsactiviteiten (artikel 30 AVG).

Vanuit het in kaart brengen van de verwerkingsactiviteiten komt het bedrijf er al snel achter waar de pijnpunten liggen, zoals het ontbreken van een verwerkingsovereenkomst of van passende beveiligingsmaatregelen. Ook draagt het meteen bij aan de bewustwording. Gebruik vervolgens bij het daadwerkelijke registreren van de verwerkingsactiviteiten een format dat voldoet aan alle eisen die de AVG eraan stelt.


Koen Konings

Koen is informatierecht advocaat bij NORD advocaten in Groningen. Daarnaast geeft hij gastcollege voor de opleiding Data Science van de IT Academy.

"Een informatiemaatschappij vereist een informatierecht advocaat. Dat ben ik. Internet, software, automatisering en verwerking van persoonsgegevens zijn dagelijkse kost voor iedere ondernemer, zowel voor leveranciers als voor afnemers. Ik bestrijk al deze gebieden met mijn specialismen in IT-recht, privacy, intellectueel eigendomsrecht en ondernemingsrecht. Ik maak contracten en voorwaarden, sta bedrijven bij in geschillen en onderhandelingen en help identiteit en intellectueel eigendom te beschermen en te handhaven voor de rechter."

 

  • Deel