Toepassing van de nieuwe regels inzake gegevensbescherming: Een handleiding

In een tijd waarin gevoelige persoonsgegevens voornamelijk digitaal worden beheerd moeten HR-afdelingen en werving-en-selectiebureaus extra aandacht schenken aan het thema gegevensbescherming. In mei 2018 wordt de algemene verordening gegevensbescherming (AVG) van de Europese Unie (EU) van kracht. Vanaf dan moeten de 28 lidstaten van de EU onvoorwaardelijk rekening houden met de nieuwe, aangescherpte richtlijnen. Lees hieronder waar u op moet letten.

Gegevensbescherming: meer transparantie voor de consument

De algemene verordening gegevensbescherming (AVG) moet zorgen voor meer transparantie bij EU-burgers: hoe gaan bedrijven met hun persoonsgegevens om? In dat opzicht heeft de wetswijziging vooral gevolgen voor HR-afdelingen en werving-en-selectiebureaus. In beide gevallen is het beheer van gedigitaliseerde persoonsgegevens immers een vast onderdeel van de bedrijfsvoering. Dat is ook geen probleem – mits personeelsafdelingen en bureaus voldoende rekening houden met de nieuwe wet. Om met het goede nieuws te beginnen: de nieuwe regeling brengt niet alleen maar extra werk met zich mee, maar draagt ook bij aan de vermindering van bureaucratische rompslomp. De meldplicht voor bedrijven die persoonsgegevens verwerken komt bijvoorbeeld te vervallen. Dat beperkt de daarmee samenhangende administratieve procedures.

Overzicht van de belangrijkste punten van de nieuwe verordening

Overige belangrijke punten van de nieuwe verordening in het kort:

• In de hele EU gelden dezelfde regels inzake gegevensbescherming. Dat betekent meer verantwoording en aansprakelijkheid voor alle bedrijven en afdelingen die persoonsgegevens verwerken.
• Vergeetrecht: willen gebruikers niet dat hun gegevens opnieuw worden verwerkt, dan moeten deze binnen een maand worden verwijderd.
• Voor de verwerking van persoonsgegevens moeten gebruikers actief toestemming geven. Voorheen moesten zij actief bezwaar maken.
• Gebruikers hebben recht op transparantie – ze mogen op verzoek weten welke gegevens van hen zijn verzameld en hoe die worden verwerkt.
• De AVG verplicht bedrijven onder meer tot het opzetten van een gegevensregister. Aspecten die daarin aan de orde moeten komen zijn onder andere het doel van de verwerking, het doorgeven van de gegevens naar een ander land, een algemene beschrijving van de technische en organisatorische activiteiten en vermelding van de contactgegevens van de verantwoordelijke persoon.
• Bedrijven moeten in een privacyverklaring aangeven wat ze met de persoonsgegevens doen. Ze moeten consumenten wijzen op hun rechten. Een daarvan is de mogelijkheid om wijzigingen door te voeren en gegevens in te zien of te laten verwijderen.
• In het geval van verlies van gegevens moeten bedrijven en instellingen normaal gesproken zo snel mogelijk, maar in ieder geval binnen 72 uur voldoen aan hun officiële meldplicht.
• Bedrijven hebben nog maar met één toezichthouder te maken, en wel daar waar zij hun hoofdkantoor hebben.
• De EU-richtlijn geldt ook voor bedrijven die niet in de EU gevestigd zijn, maar wel goederen of diensten in de EU aanbieden of zelfs maar online marktonderzoek uitvoeren onder EU-burgers.
• Landelijke gegevensbeschermingsautoriteiten worden in hun bevoegdheden ondersteund, zodat ze de nieuwe EU-regels beter kunnen toepassen. Zo kunnen zij afzonderlijke bedrijven verbieden om gegevens te verwerken.

Strenge straffen bij schending van privacy

Bij het niet nakomen van de wetgeving inzake gegevensbescherming zijn de sancties voortaan aanmerkelijk harder dan tot nu toe. Voorheen gold een maximale boete van € 900.000, vanaf mei 2018 wordt dit bedrag verhoogd tot twintig miljoen euro of 4 procent van de huidige jaaromzet. Het is dan ook des te onrustbarender dat veel ondernemers in het mkb de ernst van het thema gegevensbescherming nog niet lijken in te zien, zo blijkt uit een onderzoek van Veritas Technologies, marktleider op het gebied van informatiemanagement. Slechts twee procent van de ondervraagde bedrijven heeft zich voorbereid op de nieuwe regels inzake gegevensbescherming. Problemen doen zich vooral voor bij de omgang met privacyschending. De meeste bedrijven kunnen niet garanderen dat ze het verlies van persoonsgegevens binnen de voorgeschreven termijn kunnen melden. Ook aan het “vergeetrecht”, op grond waarvan consumenten een volledige verwijdering van hun gegevens kunnen eisen, kan niet door elk bedrijf worden voldaan.

Wat moeten bedrijven nu doen?

Toch dringt de tijd! Wat kunnen bedrijven doen in de resterende maanden tot de inwerkingtreding van de AVG? Hier biedt de wetgever ondersteuning bij de risicobeoordeling. Bedrijven wordt gevraagd een Privacy Impact Assessment, kortweg PIA, uit te voeren. Onder andere de volgende procedures moeten hiervoor worden onderzocht:

• Bevat de website van het bedrijf een privacyverklaring waaruit blijkt met welk doel de gegevens werden opgevraagd, aan welke mogelijke derde partijen ze worden doorgegeven en hoe lang ze worden verwerkt?
• Vraagt het bedrijf om expliciete goedkeuring aan de persoon van wie het gegevens opvraagt?
• Wordt te allen tijde gegarandeerd dat alleen bevoegde personen toegang hebben tot persoonsgegevens?
• Is er bij het bedrijf iemand verantwoordelijk voor gegevensbescherming?
• Hanteert het bedrijf een richtlijn met betrekking tot het opslaan, vernietigen of anonimiseren van gegevens?
• Is het bedrijf in staat gegevens van kandidaten op verzoek onmiddellijk te verwijderen?
• Kan het bedrijf iemand een volledig overzicht geven van de van hem of haar opgeslagen gegevens?

De resultaten van het assessment bieden praktische tips om bedrijfsprocessen en -systemen op het gebied van compliance-eisen te optimaliseren. Wilt u meer weten over hoe u met deze vragen om moet gaan? U leest er alles over in onze whitepaper rond het onderwerp AVG: “GDPR: besteed aandacht aan de bescherming van uw gegevens!”.