Zorg dat uw organisatie klaar is voor de Europese Algemene Verordening Gegevensbescherming
Vanaf 25 mei 2018 zal de Europese Algemene Verordening Gegevensbescherming (“de Verordening”) in werking treden. De Verordening vervangt de Wet bescherming persoonsgegevens en is rechtstreeks van toepassing op bedrijven en particulieren. 25 mei 2018 lijkt nog ver weg, maar aangezien er veel zal veranderen, brengen wij u nu al op de hoogte van een aantal van de belangrijkste veranderingen.
Ten eerste geldt er straks een verplichting om een Functionaris voor gegevensbescherming in te stellen voor overheidsinstanties, voor organisaties die als kernactiviteit hebben grootschalige en stelselmatige observatie van personen en voor ondernemingen die hoofdzakelijk zijn belast met grootschalige verwerking van bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden. Bijvoorbeeld op een ziekenhuis zal de verplichting rusten om een Functionaris voor gegevensbescherming in te schakelen. Deze functionaris kan een werknemer zijn of een externe. Hij of zij dient deskundig te zijn op het gebied van wetgeving en de praktijk inzake gegevensbescherming en heeft onder meer tot taak om degenen die persoonsgegevens verwerken te informeren over hun verplichtingen op grond van de Verordening en om erop toe te zien of de Verordening wel correct wordt nageleefd.
Ten tweede wordt voor verwerkers van persoonsgegevens een documentatieplicht ingevoerd. Dit houdt in dat zij een register bij moeten houden van onder meer de verwerkingsactiviteiten, de verwerkingsdoeleinden, een beschrijving van de categorieën personen en persoonsgegevens, de categorieën van personen aan wie de persoonsgegevens worden verstrekt en de termijn waarbinnen de gegevens moeten worden gewist. Verwerkingen van persoonsgegevens hoeven niet langer gemeld te worden bij de Autoriteit Persoonsgegevens.
Ten derde worden organisaties verplicht om een zogenaamde gegevensbeschermingseffectbeoordeling (“Privacy Impact Assessment”) uit te voeren indien een verwerking een hoog risico inhoudt voor de rechten en vrijheden van personen. Dit houdt in dat de verwerkingsverantwoordelijke vóór de verwerking een beoordeling dient uit te voeren van het effect van de verwerkingsactiviteit op de bescherming van persoonsgegevens. Dit is met name vereist bij profilering, bij grootschalige verwerking van bijzondere categorieën van persoonsgegevens en bij stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Ten vierde is vanaf 28 mei 2015 het niet hebben van een bewerkersovereenkomst beboetbaar. De bewerkersovereenkomst is de verplichte overeenkomst tussen de verantwoordelijke (een onderneming die persoonsgegevens verwerkt) en een bewerker (iemand die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt zonder dat hij onder het gezag van de verantwoordelijke valt). Wij hebben u eerder geïnformeerd over wijzigingen ten aanzien van de inhoud van de bewerkersovereenkomst (link).
Tot slot, de boetes die opgelegd kunnen worden zijn onder de Verordening aanzienlijk hoger dan de boetes die momenteel opgelegd kunnen worden. Dit geldt bijvoorbeeld bij overtreding van de verplichting van de werkgever om de werknemer te informeren over de persoonsgegevens die worden verwerkt en voor de hierboven genoemde verplichtingen, maar ook bij het onvoldoende beveiligen van persoonsgegevens, schending van de meldplicht datalekken of het onvoldoende waarborgen van de rechten van de werknemer. Deze boete kan oplopen tot 4% van de jaarlijkse omzet of EUR 20.000.000,-.
Als organisatie is het dus verstandig om nu al stappen te ondernemen om straks klaar te zijn voor de Europese Algemene Verordening Gegevensbescherming. Startpunt is een onderzoek naar de vraag of en zo ja, welke processen uw organisatie aan moet passen. Stamoulis Advocaten kan dit onderzoeken en u vervolgens nader adviseren. U kunt hiervoor contact opnemen met Rigje Rosier (r.rosier@stamoulisadvocaten.nl of 010 – 3020 385) of Sophie Mathot (s.mathot@stamoulisadvocaten.nl of 010 – 3020 388).