Nieuwe privacywetgeving: wat moet u doen vóór 25 mei 2018?

16.01.2018

NIEUWSBRIEF JANUARI 2018 - PRIVACY

Nieuwe privacywetgeving: wat moet u doen vóór 25 mei 2018? 
 
Bent u al privacymoe? Bedrijven, met name adviseurs en cursusinstellingen, buitelen over elkaar heen om te benadrukken dat actie noodzakelijk is. Wat moet u nu daadwerkelijk doen vóór 25 mei 2018? Omdat privacy lang een onderbelicht onderwerp is geweest, voelen veel bedrijven plots de urgentie om te handelen. Gezien de dreiging met zeer hoge boetes is dat begrijpelijk.
 
In deze nieuwsbrief worden drie belangrijke onderwerpen kort aangestipt: de bewerkersovereenkomst, bewaartermijnen van gegevens en tot slot het overzicht van datalekken.
 
De verwerkersovereenkomst 
 
Een bewerkersovereenkomst (of, na 25 mei 2018: verwerkersovereenkomst) is een overeenkomst met een partij die persoonsgegevens van uw bedrijf verwerkt, bijvoorbeeld uw accountantskantoor, uw Arbodienst of de ICT partij die uw gegevens opslaat in de cloud. U bent verplicht om een verwerkersovereenkomst met hen te sluiten. Doet u dit niet, dan loopt u het risico dat u een boete krijgt opgelegd van ten hoogste € 10 miljoen of 2% van de wereldwijde(!) jaaromzet.
 
Aandachtspunten bij het opstellen van een verwerkersovereenkomst zijn de wijze waarop verantwoordelijkheden en aansprakelijkheden worden verdeeld en of alle verplichte elementen uit de wetgeving zijn opgenomen, zoals geheimhouding, beveiliging, audits en de inschakeling van sub-bewerkers. Van den Herik & Verhulst Advocaten heeft ervaring in het opstellen en beoordelen van verwerkersovereenkomsten en wij kunnen u adviseren.
 
Bewaartermijnen van gegevens
 
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Is er geen wettelijke bewaarplicht (denk aan de fiscale bewaarplicht), dan moet een onderneming bewaartermijnen vaststellen (niet langer dan strikt noodzakelijk voor het doel van de gebruikte gegevens) en die naleven. Per categorie gegevens kan die bewaartermijn anders zijn. Praktisch kan bijvoorbeeld aangesloten worden bij verjaringstermijnen (als gegevens nodig kunnen zijn met het oog op uw juridische (bewijs)positie), of bij de termijn van twee jaar na het einde van de arbeidsovereenkomst die in het nu nog bestaande Vrijstellingsbesluit geldt. Zo nodig kunnen wij met u meedenken of een bewaarbeleid opstellen.
 
Overzicht van datalekken
 
Nieuw is de verplichting om vanaf 25 mei 2018 een overzicht bij te houden van alle datalekken. Een datalek is ‘toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie’. Denk aan het verlies van een USB-stick de diefstal van een laptop of het verlies van gegevens door cryptoware. Voorheen was dit alleen verplicht voor datalekken die daadwerkelijk aan de Autoriteit Persoonsgegevens gemeld moesten worden (dat was niet het geval als een verloren koffer ongeopend werd terugbezorgd). In het overzicht “nieuwe stijl” moeten alle datalekken, inclusief de gevolgen en de genomen corrigerende maatregelen, worden opgenomen. Ook die ongeopende, verloren koffer die wordt terugbezorgd.
 
Overzicht verwerkingen
 
Heeft u meer dan 250 personeelsleden, of is er in uw bedrijf sprake van risicovolle of structurele verwerking van persoonsgegevens (dat laatste criterium is vaag, immers ook een kleine werkgever verwerkt structureel personeelsgegevens), dan moet er ook een overzicht worden opgesteld en bijgehouden waarin onder andere wordt aangegeven: naam en contactgegevens van uw bedrijf, welke persoonsgegevens worden verwerkt, waarom, bij wie (en aan wie wordt doorgegeven), hoe gegevens beveiligd zijn en hoe lang gegevens worden bewaard. Dat overzicht moet u meteen aan de Autoriteit Persoonsgegevens kunnen laten zien als daarom gevraagd wordt.
 
Conclusie: tijd voor actie?
 
Zijn bovenstaande onderwerpen al reden voor actie? Dan is het nu tijd om stappen te zetten.
 
Heeft u bovenstaande zaken onder controle, denk dan eens na over verdere vragen of verplichtingen, zoals:
 
moet ik een functionaris voor gegevensbescherming aanstellen? (Ja, indien er sprake is van een overheidsinstantie, een organisatie die als kernactiviteit individuen volgt zoals bij profiling, cameratoezicht e.d.);
  • moet ik mijn personeelshandboek aanpassen? (Ja, let vooral op een procedure rondom datalekken, bewaartermijnen en transparantie over de gegevens);
  • welke gegevens mag ik registreren over zieke werknemers? Wie heeft toegang tot de persoonsgegevens? (Enkel noodzakelijke gegevens. Geen medische gegevens. Zie de beleidsregels voor zieke werknemers van de Autoriteit Persoonsgegevens);
  • heb ik aan betrokkenen juiste informatie verstrekt? (Weet uw werknemer waar zijn gegevens naartoe worden gestuurd en met welke reden?);
  • kan iemand het recht op vergetelheid uitoefenen bij mij en hoe werkt dat? (Stel een verwijderbeleid op en check of het daadwerkelijk mogelijk is om gegevens definitief te verwijderen, inclusief op back-ups);
  • kan een persoon zijn gegevens opvragen in verband met dataportabiliteit?
In ieder stadium kunt u behoefte hebben aan juridisch advies op het gebied van privacyrecht. Ook bij deze vragen zit Van den Herik & Verhulst ‘boven op de zaak’.