Privacy
Gesprekken over privacy zijn aan de orde van de dag. Denk aan Facebook en allerlei verwikkelingen rondom datacommunicatie. Regels rondom privacy werken ook door in organisaties. Hoe gaan zorginstellingen om met hun (medische) cliëntgegevens. Op welke wijze gaan scholen om met de persoonsgegevens van leerlingen in het kader van het leervolgsysteem, digitale leermiddelen en toetsen e.d. De privacywetgeving is van toepassing op het verwerken van persoonsgegevens.
Ook als werkgever krijgt u te maken met de privacy van werknemers op de werkvloer. Welke persoonsgegevens mogen wel/niet onderdeel uitmaken van een personeelsdossier. Hoelang mag een werkgever deze gegevens bewaren. Mag u de inhoud van (privé)mails van uw werknemers controleren, welke informatie van zieke werknemers mag u opslaan. Is het toegestaan om verborgen camera’s op te hangen om diefstal te voorkomen? Dit zijn slechts een handvol vragen die de persoonlijke levenssfeer van uw werknemer raken.
Met ingang van 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) in werking treden. De huidige Wet Bescherming Persoonsgegevens wordt in Nederland door de Europese verordening vervangen met daarin belangrijke nieuwe eisen waar ondernemingen en andere organisaties aan zullen moeten voldoen. Een belangrijke wijziging is de verplichting voor organisaties met meer dan 250 werknemers om een Functionaris Gegevensbescherming aan te stellen.
De reikwijdte van de AVG strekt zich uit tot onder andere het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op een andere wijze ter beschikking stellen, combineren, afschermen, wissen of vernietigen van persoonsgegevens. Ook het anonimiseren van gegevens is een verwerking waarop de wet van toepassing is. In feite alle informatie over een geïdentificeerde of identificeerbare natuurlijke personen.
Verwerking van persoonsgegevens is alleen toegestaan voor specifieke en gerechtvaardigde doeleinden die schriftelijk zijn vastgelegd. De verwerking is alleen rechtmatig indien is voldaan aan een van de in de AVG opgesomde grondslagen: 1) toestemming van de betrokkene, 2) uitvoering van een overeenkomst, 3) een wettelijke verplichting, 4) beschermen vitale belangen, 5) algemeen belang, 6) gerechtvaardigd belang van de verwerkingsverantwoordelijke. In het laatste geval vindt een belangenafweging plaats met de grondrechten van de betrokkene.
Verder gelden er strikte regels ten aanzien van het bewaren en het beveiligen van persoonsgegevens. De Autoriteit Persoonsgegevens is een zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het houden van toezicht op het verwerken van persoonsgegevens. De Autoriteit Persoonsgegevens kan afhankelijk van de soort overtreding boetes opleggen variërend van EUR 10.000 (of 2% van de wereldwijde jaaromzet) tot maximaal EUR 20.0000 (of 4% van de wereldwijde jaaromzet).
Datalek
Van een datalek is sprake als daadwerkelijk de beveiliging van persoonsgegevens is geschonden. Alle datalekken moeten worden gedocumenteerd. Zodra er sprake is van een ernstig datalek moet dit gemeld worden bij het Meldloket Autoriteit Persoonsgegevens. Het gaat niet alleen om een grootschalig inbraak, maar ook het verlies van een USB-stick met persoonsgegevens erop. De boete die door de Autoriteit Persoonsgegevens kan worden opgelegd kan oplopen tot EUR 820.000 of 10% van de jaaromzet per overtreding.
Fritse Advocatuur adviseert u graag over de concrete gevolgen van de AVG voor uw organisatie. Ook kan Fritse Advocatuur u van dienst zijn het bij onderhandelen over of opstellen van verwerkersovereenkomsten. Ook als zich binnen uw onderneming onverhoopt een datalek heeft voorgedaan, kunt u terecht voor advies en bijstand.
