Privacyrecht

Privacy is een grondrecht en stelt zowel particulieren als ondernemingen in staat om regie te houden over hun gegevens. Door de toename van Europese en de nationale wet- en regelgeving en de strenge controles op naleving daarvan door de toezichthouders kunnen de ondernemingen en instellingen tegenwoordig nauwelijks om privacy recht heen. Het bekendste voorbeeld van wet- en regelgeving waaraan bijna iedere onderneming of instelling dient te voldoen is de Algemene Verordening Gegevensbescherming (AVG). De AVG is in de hele Europese Unie werking getreden. In Nederland zijn aanvullende regels neergelegd in de Uitvoeringswet AVG (UAVG). De kern van de AVG en de UAVG is gelegen in het feit dat iedere onderneming dan wel instelling die persoonsgegevens verwerkt, zorgvuldig en transparant met die persoonsgegevens dient om te gaan.

Het AVG-proof maken van uw onderneming is weliswaar van groot belang, maar juridisch complex. Of het nu gaat om klantgegevens, gegevens van personeel of gegevens van derden, de AVG stelt strenge eisen met betrekking tot de verwerking van persoonsgegevens en versterkt bovendien de rechten van personen van wie gegevens verwerkt worden. De advocaten van Law & More zijn op de hoogte van alle ontwikkelingen met betrekking tot het (steeds veranderende) privacy recht. Onze advocaten verdiepen zich in de manier waarop u met persoonsgegevens omgaat en brengen uw interne processen en gegevensverwerking in kaart. Voorts kijken onze advocaten in hoeverre uw onderneming voldoende volgens de toepasselijke AVG-wetgeving is ingericht en wat de eventuele verbeterpunten zijn. Op deze wijzen helpt Law & More u graag om uw organisatie AVG-proof te maken en te houden.

Maxim Hodak

Advocaat

“Tijdens de kennismaking

werd mij meteen duidelijk

dat Law & More een duidelijk

plan van aanpak heeft”

Toepassingsbereik en toezicht

De AVG is van toepassing op alle organisaties die persoonsgegevens verwerken. Op het moment dat uw onderneming gegevens verzamelt waarmee een natuurlijk persoon geïdentificeerd kan worden, heeft uw onderneming te maken met de AVG. Van verwerking van persoonsgegevens is voorts sprake wanneer bijvoorbeeld een loonadministratie van uw werknemers wordt bijgehouden, afspraken met klanten geregistreerd worden of wanneer gegevens in de zorg worden uitgewisseld. Verder kunt u denken aan de volgende situaties: het uitvoeren van marketingactiviteiten of meten dan wel registreren van productiviteit of computergebruik van werknemers. Gelet op het voorgaande is het onvermijdelijk dat uw onderneming te maken krijgt met privacywetgeving.

In Nederland geldt het uitgangspunt dat men erop moet kunnen vertrouwen dat ondernemingen en instellingen zorgvuldig omgaan met hun gegevens. Immers, in onze huidige maatschappij speelt digitalisering een steeds grotere rol en brengt steeds vaker verwerking van gegevens in digitale vorm met zich mee. Hierdoor kunnen serieuze risico’s met betrekking tot de waarborging van onze privacy ontstaan. Daarom beschikt de Nederlandse privacy toezichthouder, de Autoriteit Persoonsgegevens (AP), over vergaande controle- en handhavingsbevoegdheden. Voldoet uw onderneming niet aan de geldende AVG wetgeving, dan riskeert ze al snel een last onder dwangsom of een flinke boete, dan kan oplopen tot wel twintig miljoen euro. Daarnaast dient uw onderneming, bij onzorgvuldig gebruik van persoonsgegevens rekening te houden met slechte publiciteit en schadevergoedingsacties van gedupeerden.

Inventarisatie en privacy beleid

Om dergelijke ingrijpende gevolgen dan wel maatregelen van de toezichthouder te voorkomen, is het voor uw onderneming of instellingen van belang om over een privacy beleid te beschikken teneinde aan AVG te voldoen. Alvorens over te gaan tot samenstelling van een privacy beleid, is het belangrijk om te inventariseren hoe uw onderneming of instelling in het kader van privacy ervoor staat. Daarom heeft Law & More het volgende stappenplan opgesteld:

• Stap 1: Breng in kaart welke persoonsgegevens u verwerkt
• Stap 2: Stel vast wat het doel en de grondslag voor gegevensverwerking is
• Stap 3: Bepaal hoe de rechten van betrokkenen gewaarborgd worden
• Stap 4: Evalueer of en op welke wijze u toestemming vraagt, krijgt en registreert
• Stap 5: Bepaal of u verplicht bent een Data Protection Impact Assessment uit te voeren
• Stap 6: Bepaal of u een Functionaris voor Gegevensbescherming aan moet stellen
• Stap 7: Stel vast hoe uw onderneming omgaat met datalekken en de meldplicht
• Stap 8: Controleer uw verwerkersovereenkomsten
• Stap 9: Bepaal onder welke toezichthouder uw organisatie valt

Wanneer u deze analyse heeft verricht, dan kan worden bepaald welke risico’s op overtreding van de privacywetgeving zich voordoen binnen uw onderneming. Daarop kan voorts in uw privacy beleid worden geanticipeerd. Bent u op zoek naar ondersteuning in dit proces? Neem dan contact op met Law & More. Onze advocaten zijn deskundig op het gebied van privacy recht en kunnen uw onderneming of instelling bijstaan met de volgende diensten:

• Het adviseren en het beantwoorden van uw juridische vragen: wanneer is er bijvoorbeeld sprake van een datalek en hoe gaat u daarmee om?
• Het analyseren van uw gegevenswerking aan de hand van de doelen en grondslagen uit de AVG en vaststellen van specifieke risico’s: voldoet uw onderneming of instelling aan de AVG en welke juridische maatregelen moet u eventueel nog nemen?
• Het opstellen en beoordelen van documenten, zoals uw privacy beleid of verwerkersovereenkomsten.
• Het uitvoeren van Data Protection Impact Assessments.
• Het bijstaan in juridische procedures en in handhavingstrajecten door de AP.