Dit heeft u gemist over de AVG

0

Persoonsgegevens, de verwerking ervan en de Uitvoeringswet AVG. Het kwam allemaal aan bod tijdens het XpertHR College over de nieuwe Europese privacyregels. Advocaat Steffie Schepers besprak daarnaast de belangrijkste stappen om te nemen om goed voorbereid te zijn op de Algemene Verordening Gegevensbescherming (AVG).

Advocaat Steffie Schepers is gespecialiseerd in arbeidsrecht en houdt zich daarnaast dagelijks bezig met het privacyrecht. Samen met haar collega’s bij RWV Advocaten maakte zij een stappenplan om organisaties op weg te helpen om AVG-proof te raken. In het webinar ging zij in op de veranderingen die de AVG met zich meebrengt. Vervolgens besprak ze de te doorlopen stappen met een toelichting.

Nieuwe wetgeving

De huidige Wet Bescherming Persoonsgegevens (WBP) is de uitwerking van een uit 1995 daterende Europese richtlijn. ‘Toen stond internet nog in de kinderschoenen. Er is inmiddels zoveel veranderd dat de regels ook aan een herziening toe zijn’, legt Schepers uit in het college. Daarom vervangt de Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018 de huidige wetgeving.

Boetebeleid van de AVG

De boete die organisaties kunnen ontvangen bij het overtreden van de privacyregels, kan met de nieuwe regels flink hoger uitvallen, waarschuwt Schepers. Is dit onder de WBP nog maximaal 820.000 euro of 10 % van de jaaromzet, kan dit onder de AVG oplopen tot maximaal 20 miljoen euro of 4 % van de wereldwijde jaaromzet. ‘Nieuw is ook dat de Autoriteit Persoonsgegevens direct een boete kan uitdelen zonder waarschuwing vooraf’, zegt Schepers. Zij benadrukt wel dat de Tweede Kamer de Autoriteit Persoonsgegevens wel nadrukkelijk heeft gevraagd om niet direct met boetes te gaan strooien. ‘Het eerste jaar heeft met name een adviserende en voorlichtende functie, juist omdat er ook nog wat onduidelijkheden zijn in de wetgeving.’

MKB-Nederland en VNO-NCW deden begin dit jaar nog een oproep om de handhaving per 25 mei uit te stellen. Veel bedrijven zijn nog onvoldoende voorbereid, zo vonden de werkgeverspartijen. Ook de kijkers van het webinar werken nog hard aan hun AVG-proofheid, zo blijkt uit een peiling. Slechts 3 procent heeft de voorbereidingen afgerond, 83 procent is nog bezig en 14 procent moet nog beginnen.

Het verwerken van persoonsgegevens

Bij persoonsgegevens draait het om informatie die ofwel direct over iemand gaat of naar deze persoon te herleiden zijn. Denk bijvoorbeeld aan naam, adres, woonplaats of geboortedatum. Maar ook uiterlijke kenmerken, stemmen of vingerafdrukken en sociale en/of economische kenmerken kunnen persoonsgegevens zijn. ‘Zoals je ziet gaat het bij informatie in verband met levende mensen al snel om persoonsgegevens. Ga er bij twijfel daarom altijd van uit dat het om een persoonsgegevens gaat’, zegt Schepers. Let er op dat bijna alles wat je met deze persoonsgegevens doet valt onder het begrip verwerken van persoonsgegevens.

Implementatie AVG

Vervolgens bespreekt Schepers alle stappen van het stappenplan:

  1. Bepaal of u een functionaris voor de gegevensbescherming dient aan te stellen
  2. Breng in kaart welke presoonsgegevens u verwerkt
  3. Bepaal of u verplicht bent een Data Protection Impact Assessment uit te voeren
  4. Stel een privacybeleid op
  5. Maak een register verwerkingen en register datalekken
  6. Stel vast wat uw doel is en wat de grondslag is voor de gegevensverwerking
  7. Evalueer de manier waarop u toestemming vraagt, krijgt en registreert
  8. Stel de wijze vast waarop informatie wordt verschaft aan de betrokkene
  9. Controleer uw bewerkers- en verwerkersovereenkomsten.
  10. Bepaal onder welke toezichthouder u valt.

Voor een uitgebreide toelichting op deze stappen kunt u het webinar hier terugkijken of meer lezen in XpertHR.

Lees meer over:

Over Auteur

Marloes Oelen

Marloes Oelen is redacteur van XpertHR Actueel. Met haar journalistieke blik zorgt zij ervoor dat jij helemaal niks mist op HR-gebied.

Reageer