Overeenkomsten
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. De AVG regelt op Europees niveau de bescherming van persoonsgegevens. De invoering van de AVG heeft ook voor jouw bedrijf gevolgen. Bij schending van de AVG kunnen hoge boetes worden opgelegd.
Hulp bij ondernemingsrecht?
Heb je behoefte aan vakkundig juridisch advies op het gebied van het opstellen van overeenkomsten? Roland, onze arbeidsrecht advocaat, staat voor je klaar om je te voorzien van support.
In het kader van de AVG zijn persoonsgegevens alle gegevens waar direct of indirect mensen mee kunnen worden geïdentificeerd. Dit gaat bijvoorbeeld om naam, adres, geslacht en geboortedatum. Ook telefoonnummers en e-mailadressen zijn persoonsgegevens indien zij direct te koppelen zijn aan een persoon.
Dit betekent dat er al snel sprake is van (het verwerken van) gegevens, waarop de AVG van toepassing is. Verwerken moet heel breed gezien worden. Het gaat in ieder geval om het (automatisch) opslaan, verzamelen, ordenen, structureren, of wijzigen van persoonsgegevens. Deze gegevens mogen alleen met een bepaald doel worden verwerkt. Vooraf dient bekeken te worden of het doel van verwerking voldoet aan de AVG.
In de AVG zijn bestaande rechten van betrokkenen, zoals het recht om informatie in te zien en het recht om informatie te wijzigen, opnieuw opgenomen. Daarin is ook het recht voor betrokkenen opgenomen om gegevens te laten verwijderen.
Verder bestaat nog steeds de verplichting om een datalek bij de Autoriteit Persoonsgegevens te melden. Het gaat om iedere inbreuk op de beveiliging die leidt tot bijvoorbeeld ongeoorloofde toegang tot gegevens. Je dient een datalek binnen 72 uur na ontdekking te melden. In principe dien je dit ook te melden bij de betrokkenen. De meldplicht blijft grotendeels hetzelfde als voorheen. De AVG stelt wel strengere eisen aan de eigen registratie van de datalekken die zich binnen je organisatie hebben voorgedaan. Zo moet je alle datalekken documenteren.
De AVG bevat een aantal nieuwe verplichtingen.
De verwerking van persoonsgegevens moet voldoen aan een aantal beginselen. Bij het ontwerpen van producten en diensten dien je de bescherming van de gegevens te waarborgen (privacy by design). Je mag bijvoorbeeld niet meer gegevens verzamelen dan noodzakelijk voor het doel van de verwerking. Gegevens mogen niet langer bewaard worden dan nodig. Verder moet je technische en organisatorische maatregelen treffen om ervoor te zorgen dat je alleen gegevens verwerkt die noodzakelijk zijn voor het doel dat je wilt bereiken (privacy bij default). Op de website mag bijvoorbeeld het vakje ‘ja, ik wil aanbiedingen ontvangen’ niet standaard aangevinkt zijn.
Ook heb je de verplichting om met partijen, die voor jou deze gegevens verwerken, een verwerkingsovereenkomst af te sluiten. Deze partijen dienen zich ook te houden aan de AVG. Verantwoordelijk is degene die het doel en de middelen van de verwerking vaststelt. De verwerker voert de verwerking uit voor de verantwoordelijke. Grote partijen zullen vaak in algemene voorwaarden bepalingen opnemen waarin staat dat zij zich zullen houden aan de AVG. Verder is het van belang om een verwerkingsregister bij te houden. In dit register houd je onder andere bij welke persoonsgegevens je verwerkt. Ten slotte kan de verplichting bestaan een Data Protection Impact Assessment (DPIA) uit te voeren wanneer de gegevensverwerking mogelijk een hoog privacyrisico oplevert. Of dat zo is, moet je zelf (laten) inschatten.
Heb je behoefte aan vakkundig juridisch advies op het gebied van het opstellen van overeenkomsten?
Roland, onze arbeidsrecht advocaat, staat voor je klaar om je te voorzien van support.
Zakelijk en privé
Altijd direct contact met een van onze advocaten die u bijstaat in uw zaak.
Eersteklas kwalitatief juridisch advies tegen een betaalbare prijs.