Compliance en de Algemene Verordening Gegevensbescherming (AVG)

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De facto zorgt de AVG ervoor dat ‘compliance’ (dat wil zeggen, het voldoen aan wet- en regelgeving) op het gebied van privacy een verplichting wordt. Vanaf april 2016 hebben bedrijven en instellingen 2 jaar de tijd gekregen om zich voor te bereiden op de AVG. Nu het bijna zover is, blijkt dat veel bedrijven de grootste moeite hebben om te voldoen aan deze nieuwe EU-wetgeving.

Wat was ook al weer het idee achter deze wetgeving?

In een steeds meer op data gerichte economie moet de controle over persoonsgegevens weer bij de individuen komen te liggen. Het massaal gebruiken (en doorverkopen) van persoonsgegevens door de grote bedrijven wordt aan banden gelegd. Er moet kortom zicht komen op wat bedrijven doen met persoonsgegevens én de individu bepaald wat er met zijn gegevens mag gebeuren.

Welke bedrijven en instellingen krijgen hiermee te maken?

In principe alle bedrijven en instellingen die persoonsgegevens bezitten of verwerken krijgen met de AVG te maken. Op enkele uitzonderingen of verlichtingen van verplichtingen voor het MKB na.

Wat houden de verplichtingen in?

Hieronder volgt een greep uit de verplichtingen voor bedrijven:
• Rechten van individuen waarborgen. Het zijn immers hun gegevens en zij bepalen wat ermee gebeurd;
• Toestemming van individuen verkrijgen. Inclusief de mogelijkheid voor het individu faciliteren om deze toestemming in te trekken of te wijzigen;
• Het aanstellen van een Data Protection Officer (DPO). Deze let op voor alle verplichtingen uit de AVG (de verantwoordelijkheid blijft bij de directie cq. management!) en is het centrale aanspreekpunt hiervoor voorwerknemers en derden (instanties en individuen);
• Het bijhouden van een register, aangaande de gegevens die worden verzameld;
• Het verplicht melden van datalekken en deze bijhouden in het register;
• Het uitvoeren van een Privacy Impact Assessment. Dit is een risicoanalyse, die interne privacy problemen in kaart moet brengen. Hier moet vervolgens door het bedrijf effectief op gehandeld worden;
• Er voor zorgen dat bij alle producten of diensten die aangeboden worden privacy in het ontwerp wordt meegenomen;
• Verplicht overeenkomsten aangaan met derden die gegevens de door uw bedrijf verkregen gegevens bewerken of bewaren om de privacy van het individu te waarborgen;
• Voor verwerking van bv. medische gegevens, strafrechtelijke gegevens of persoonsgegevens van kinderen gelden extra verplichtingen.

Wat zijn de consequenties?

Behalve op het gebied van bijvoorbeeld mededinging of anti-corruptie zijn er weinig directe consequenties om geen compliance beleid te voeren binnen een bedrijf. Het is soft law. De AVG verandert dit voor privacy. Boetes van 20 miljoen euro of 4% van de totale, wereldwijde jaaromzet zijn mogelijk. Daarbij komt dan nog de enorme imagoschade die een bedrijf hierdoor kan oplopen.

Conclusie

Het is zaak voor bedrijven en instellingen om vóór 25 mei 2018 te voldoen aan de AVG en te blijven voldoen. Privacy compliance is een zaak van de lange adem. Binnen een bedrijf is een cultuuromslag nodig om het privacy denken tussen de oren van alle medewerkers te krijgen. Niet voldoen aan de AVG is geen optie: ‘If you think compliance is expensive, try non-compliance’

Als specialist op het gebied van compliance zal ik u graag adviseren en ondersteunen. Neem vrijblijvend contact op met mr. Sander Derksen.