Een nieuwe privacywet voor de hele EU!

Op 25 mei 2018 treedt de nieuwe Algemene Verordening Gegevensbescherming in werking.  De Verordening is van toepassing op activiteiten van vestigingen van verwerkers in de EU, ongeacht of de verwerking zelf binnen de EU plaatsvindt.

Op dit moment is ten aanzien van de Uitvoeringswet Algemene verordening gegevensbescherming een adviesaanvraag aanhangig bij de Raad van State, maar omdat de verordening rechtstreekse werking heeft, geldt deze in elk geval van 25 mei 2018, ongeacht of de verordening al dan niet tijdig is geïmplementeerd.

Belangrijkste uitgangspunten van de Verordening:

  •  Persoonsgegevens zijn niet alleen namen, adressen enzovoorts, maar ook zogenaamde online identificators, zoals IP-adressen.
  • Natuurlijke personen van wie de persoonsgegevens worden verwerkt worden aangeduid met betrokkenen.
  • De ondernemer die de persoonsgegevens verwerkt wordt verwerkingsverantwoordelijke genoemd.
  • Voor de betrokkenen dient transparant te zijn dat hun persoonsgegevens worden verwerkt en met welk doel.
  • De verwerking is slechts rechtmatig indien toestemming is verkregen.
  • Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling.
  • Het verzoek om toestemming dient duidelijk en beknopt te zijn.
  • De ondernemer dient de betrokkene te wijzen op zijn rechten.
  • De informatieverstrekking moet eenvoudig toegankelijk en begrijpelijk zijn.
  • De ondernemer dient passende technische en organisatorische maatregelen te nemen ter waarborging van de beveiliging van persoonsgegevens.
  • De ondernemer dient een register bij te houden van de verwerkingsactiviteiten.
  • In geval van uitbesteding van diensten aan derden (waarbij persoonsgegevens worden verwerkt) dient toestemming te zijn gegeven door de betrokkene.
  • Een inbreuk in verband met persoonsgegevens dient binnen 72 uur te worden gemeld bij de Autoriteit Persoonsgegevens.
  • Inbreuken op verplichtingen uit de Verordening zijn onderworpen aan administratieve geldboetes.

Wat moet de ondernemer doen?

De ondernemer moet in kaart brengen welke persoonsgegevens zullen worden verwerkt en waarvoor. Inventariseren dus!

Na inventarisatie dienen de verschillende soorten verwerkingen te worden beschreven in een privacybeleid dat op de website van de ondernemer wordt geplaatst.

Ook moet worden geborgd dat de betrokkene vooraf toestemming geeft. Dat kan door middel van een klik op een vakje op de webpagina waarop de betrokkene persoonsgegevens invult. Het is van belang dat de betrokkene kennis kan nemen van het privacy beleid en dat hij (actief) toestemming verleent voor verwerking van zijn persoonsgegevens.

 

Voor meer informatie of voor hulp bij het opstellen van een privacybeleid kunt u contact opnemen met Astrid Lof via: lof@schipperenlof.nl