SMALLEGANGE ADVOCATEN

Nieuwe wetgeving voor de reisbranche op komst

De reisbranche is sterk veranderd in de loop der jaren. Liep je vroeger nog het reisbureau binnen en haalde je een brochure, nu boek je [..]


Danielle Cloots Advocaat

Nieuwe FENEX-voorwaarden in aantocht

Er zijn weinig mensen in de logistieke branche die ze nog nooit zijn tegengekomen: de Nederlandse Expeditievoorwaarden. [..]

Opvolgend vervoer en de ‘negative Feststellungsklage’

In het internationale vervoer van goederen over de weg komt het vaak voor dat er een lange ‘keten’ is van vervoerders die een [..]

Op 25 mei 2018 is het zover, dan wordt de AVG van toepassing. Hoewel de afkorting AVG bij sommigen wellicht associaties oproept met de welbekende virusscanner, gaat dit artikel over de Algemene Verordening Gegevensbescherming (EU 2016/679).

Dé verordening die ons allemaal raakt als het gaat om bescherming van privacy en dan met name het verwerken van persoonsgegevens.

De verordening zorgt ervoor dat binnen de Europese Unie één privacywet geldt. Zowel ondernemingen binnen als buiten de Europese Unie moeten rekening houden met de AVG. Indien er persoonsgegevens worden verwerkt van betrokkenen die zich in de EU bevinden geldt de AVG, ongeacht of een onderneming het verwerken van data buiten de Europe Unie verricht.

Zodra de AVG van toepassing is, zal de huidige richtlijn bescherming persoonsgegevens worden ingetrokken en zal de Wet bescherming persoonsgegevens niet langer gelden.

De AVG gaat een flinke stap verder in het beschermen van persoonsgegevens dan de huidige regelgeving. Zo dient iedere inbreuk in verband met persoonsgegevens binnen 72 uur bij de Autoriteit Persoonsgegevens gemeld te worden. 
Hoewel men bij persoonsgegevens doorgaans slechts denkt aan bijvoorbeeld adresgegevens of paspoortgegevens, reikt het begrip verder. Zo moet men bij een persoonsgegeven ook denken aan bijvoorbeeld een IP-adres of biometrische gegevens zoals een vingerafdruk of irisscan.

Onder de nieuwe verordening moet elke onderneming met meer dan 250 werknemers in dienst een register bijhouden met alle verwerkingsactiviteiten. Indien het een externe organisatie betreft die data verwerkt, bijvoorbeeld een cloud provider of loonadministratiedienst, dient u hiervoor een verwerkingsovereenkomst met zo’n provider af te sluiten.

Het is in ieder geval van belang dat organisaties en medewerkers bewust worden van het verwerken van persoonsgegevens en deze data extra beveiligen. Met name moet bedacht worden of deze verwerking ook met minder gegevens of anders kan. Denk hierbij aan een ID-cover dat een pasfoto en/of het BSN-nummer verbergt. Gegevens mogen niet langer worden bewaard dan noodzakelijk en degene wiens gegevens worden verwerkt heeft ook het recht om deze gegevens op te vragen en zelfs om vergeten te worden. Het zogenaamde recht op vergetelheid.

Voor fundamentele schendingen van de verplichtingen onder de AVG kunnen hoge boetes worden opgelegd. Dit kan oplopen tot 4 % van de totale wereldwijde jaaromzet met een maximum van 20 miljoen euro. Voor louter administratieve overtredingen gelden er lagere boetes.

Om te beoordelen hoe data wordt verwerkt kan het best worden gestart met een gegevensbeschermingseffectbeoordeling. Die onder de huidige regelgeving bekend is als de PIA: privacy impact assessment. Simpelweg houdt dit een screening in, die het best wordt gestart bij de IT-afdeling waarbij wordt geïnventariseerd welke gegevens worden verwerkt, hoe deze momenteel worden geregistreerd en wie toegang heeft binnen het bedrijf tot deze gegevens.

Heeft u advies nodig over de gevolgen van de AVG voor uw organisatie, en de verplichtingen waaraan u moet voldoen om klaar te zijn vóór 25 mei 2018? Neem dan contact op met één van onze advocaten.