Bijna iedere organisatie verzamelt en verwerkt vandaag de dag wel in meer of mindere mate persoonsgegevens en krijgt dus met de AVG te maken. Denk maar eens aan de financiële administratie van waaruit klanten gefactureerd worden, aan de salarisadministratie of aan het gebruik van CRM systemen. Voor organisaties die grote hoeveelheden persoonsgegevens verwerken (banken, verzekeraars, internet- en telecomproviders, overheidsinstellingen etc.) gelden extra strenge eisen. Datzelfde is het geval bij verwerkers van bijzondere privacy gevoelige data. U moet daarbij denken aan bijvoorbeeld medische gegevens (huisartsen, apothekers, ziekenhuizen etc.), financiële gegevens (accountants, boekhouders, hypotheekadviseurs etc.) of (strafrechtelijke) antecedenten (advocaten, maar ook verzekeraars, kredietbeoordelaars etc.).
Als verwerker van persoonsgegevens rust op u straks de verantwoordelijkheid om een (intern) privacy beleid te formuleren, waarbij aandacht wordt besteed aan onder meer veiligheidsmaatregelen, het waarborgen en faciliteren van rechten van betrokkenen (zoals inzagerecht, rectificatierecht en het recht om ‘vergeten te worden’), het herkennen, registreren en melden van datalekken, minimalisatie van datahoeveelheid en bewaartermijn. Ook moeten registers worden bijgehouden van verwerkingsactiviteiten en datalekken. In sommige gevallen dient een ‘gegevensbeschermingseffectbeoordeling’ (GEB; ook wel Privacy Impact Assessment (PIA) of Data Protection Impact Assessment (DPIA) genoemd) te worden uitgevoerd en verplicht de verordening tot de aanstelling van een zogenaamde ‘functionaris gegevensbescherming’.
De AVG schrijft voor dat transparantie wordt geboden aan de personen wier gegevens worden geregistreerd. Het is aanbevelenswaardig om daartoe een privacy statement te formuleren dat wordt gepubliceerd op bijvoorbeeld uw website. Daarin wordt met begrijpelijk taalgebruik voor betrokkenen aangeduid op welke wijze hun gegevens worden verwerkt, wat het doel daarvan is, wat de bewaartermijn is, wat hun rechten zijn met betrekking tot de gegevensverwerking en hoe zij deze kunnen verwezenlijken.
Wie de AVG voorschriften niet (tijdig) implementeert, neemt het risico om door de Autoriteit Persoonsgegevens (AP) te worden beboet en loopt een vergroot aansprakelijkheidsrisico.
ScheerSanders helpt u daarom graag op weg in de route naar ‘AVG-compliance‘.
Voor meer informatie kunt u contact opnemen met Mr A.S. Douma
