ArchitectuurNL 04 2017 – pag. 37

ArchitectuurNL 04 2017 – pag. 37

Door: | 29-04-2021

U moet
kUnnen

aantonen
dat Uw
bedrijf

voldoet
aan de
nieUwe

Privacy-
wet

Privacyrecht – hoe ver bent u?
Op 25 mei 2018 is het zover: uw bedrijf moet dan voldoen aan de nieuwe, strengere privacyregels
neergelegd in de Algemene Verordening Gegevensbescherming (AVG). In 2016 schreef ik hier al
over in ArchitectuurNL (nummer 5-2016). Het begint nu urgent te worden. Hoe ver bent u al? Het FD
van 14 augustus 2017 kopt: ‘Bedrijven in paniek over Europese privacywet’. Paniek is wellicht niet
nodig. Er is wel reden tot zorg, als u nog niet bezig bent met het aanpassen van uw organisatie. Dat
dit nodig is staat buiten kijf.
Ieder bedrijf verwerkt immers persoonsgegevens, dus op elk bedrijf – en bij de overheid – is
de nieuwe wet van toepassing. Als u nog niet begonnen bent, begin dan nu. De gevraagde
aanpassingen kosten tijd en die is krap aan het worden.

Bewerkersovereenkomst
Begin met het inventariseren en registreren van alle persoonsgegevens die u verwerkt. Zowel van
uw personeel, als van klanten, potentiële klanten en relaties.
Onderzoek wie binnen en buiten de organisatie toegang tot deze persoonsgegevens heeft, of dit
noodzakelijk is en welke maatregelen getroffen worden tot beveiliging van de persoonsgegevens.
Wanneer dit partijen zijn buiten uw organisatie, zoals uw ICT-bedrijf of een salarisadministratie,
of een bedrijf dat u helpt met het versturen van nieuwsbrieven: Liggen de afspraken vast in een
schriftelijke overeenkomst? Dit is namelijk verplicht. Het is mijn ervaring dat veel bedrijven nog
geen schriftelijke ‘bewerkersovereenkomst’ hebben. Ook hier staat een boete op.
In zo’n overeenkomst staan de verschillende rechten en plichten van u als verantwoordelijke en het
door u ingeschakelde bedrijf als bewerker.

Datalek
Want hoe worden de persoonsgegevens beveiligd en wat gebeurt er als de persoonsgegevens
waarvoor u verantwoordelijk bent kwijtraken, of op andere wijze lekken? Of staan opgeslagen op
een server in een land dat geen goede privacyregelgeving kent? Een voorbeeld van een datalek
is het sturen van een e-mailbericht, terwijl alle geadresseerden in de CC staan in plaats van de
BCC. Het gebeurde één van mijn klanten laatst nog. Of het verliezen van een laptop met daarop
persoonsgegevens. Ook een hack kan een datalek zijn.
Als het datalek ernstige gevolgen voor de persoon kan hebben, dan moet het datalek binnen 72
uur gemeld worden bij de Autoriteit Persoonsgegevens.

Transparantie
Transparantie is vereist over de door u gehanteerde bewaartermijnen. Zo mag een sollicitatiebrief
niet langer dan vier weken worden bewaard, tenzij daarover een duidelijke afspraak met de
kandidaat is gemaakt. Wanneer iemand zich afmeldt voor uw nieuwsbrief, moeten zijn of haar
gegevens direct verwijderd worden.
De personen, van wie u de persoonsgegevens bewaart, hebben het recht te weten wat u daarmee
doet. Zij krijgen uitgebreidere rechten onder de nieuwe wet. Ook daarover moet u transparant zijn.
Zoals het recht op verwijdering van hun persoonsgegevens of het recht om de persoonsgegevens
te laten overdragen.
In het personeelshandboek kan het nieuwe interne privacybeleid worden opgenomen. Ook is
te adviseren om uw personeel een training te geven, zodat ze weten wat persoonsgegevens nu
eigenlijk zijn, hoe daarmee om te gaan en wat een datalek is.
Er is dus heel veel waaraan gedacht moet worden en het is handig om daar binnen uw organisatie
iemand voor verantwoordelijk te maken. Met de taak ervoor te zorgen dat u voldoet aan de nieuwe
wetgeving en blijft voldoen. Grote organisaties moeten daar zelfs een speciale persoon, de Privacy
Officer, voor in dienst nemen.
En last but not least: U moet kunnen aantonen dat u voldoet aan de nieuwe wet. Dit kan met
een document, waarin staat welke persoonsgegevens u verwerkt en welke technische en
organisatorische maatregelen u heeft getroffen om er voor te zorgen dat uw bedrijf voldoet aan de
wet.
Ik wens u veel succes de laatste acht maanden!

RECHT VOLGENS RUBY

37 ArchitectuurNLTekst Ruby Nefkens, advocaat intellectueel eigendom, ICT, design, architectuur, kunst, media

37_rubynefkens.indd 37 29-08-17 08:42

Gerelateerd