Privacyrecht advocaat

mr. Muriel van den Hazenkamp

  • profielfoto muriel van den hazenkamp

Meer weten over

Aangesloten bij

logo nederlandse orde van advocaten

In mijn eerdere blogberichten schreef ik reeds over de enkele gevolgen van de nieuwe privacywet. Op 25 mei 2018 treedt namelijk de Algemene verordening gegevensbescherming (AVG) in werking ter vervanging van de huidige Wet bescherming persoonsgegevens.

Op grond van de nieuwe privacy wet hebben ondernemingen een documentatieplicht om aan te tonen dat aan de AVG wordt voldaan. Daarom zullen de meeste organisaties een register van de verwerkingsactiviteiten moeten gaan bijhouden, ook wel het dataregister of verwerkingsregister genoemd. En dat geldt waarschijnlijk ook voor uw organisatie. Er is namelijk wel een uitzondering gemaakt voor verwerkingsverantwoordelijken met minder dan 250 personeelsleden, die uitzondering is niet van kracht indien het gaat:

  • om risicovolle verwerkingen;
  • verwerkingen van bijzondere persoonsgegevens (waaronder gegevens over gezondheid, godsdienst of politieke opvattingen) of strafrechtelijke persoonsgegevens; of
  • persoonsgegevens worden verwerkt waarvan de verwerking niet incidenteel is.

Door dat laatste punt lijkt de uitzondering die was opgenomen om met name het MKB tegemoet te komen een “wassen neus” te zijn geworden, omdat de verwerking al snel niet meer incidenteel is. En als uw onderneming dus een verwerkingsregister moet bijhouden, welke informatie moet daarin dan (minimaal) zijn opgenomen.

Verwerkingsverantwoordelijke

Stelt u zelf het doel en de middelen van een verwerking van persoonsgegevens vast, dan bent u de zogenoemde verwerkingsverantwoordelijke. In dat geval zal het verwerkingsregister de volgende informatie moeten bevatten:

  • de naam en contactgegevens van:
    • de organisatie als verwerkingsverantwoordelijke of de vertegenwoordiger indien de verantwoordelijke buiten de EU is gevestigd;
    • de eventueel andere gezamenlijke verwerkingsverantwoordelijken als de doelen en middelen van de verwerking gezamenlijk worden bepaald;
    • de functionaris voor de gegevensbescherming (indien aanwezig);
    • de eventueel andere (internationale) organisaties waarmee de persoonsgegevens worden verdeeld;
  • de doeleinden van iedere verwerking (gebruikt u de gegevens voor direct marketing, de werving en selectie van personeel, het bezorgen van producten, het leveren van diensten etc.);
  • de categorieën van betrokkenen (zijn het klanten, patiënten, websitebezoekers, werknemers, potentiële werknemers etc.) en gegevens (zijn het NAW-gegevens, telefoonnummers, beelden, IP-adressen, contactgegevens, betaalgegevens etc.);
  • de categorieën van eventuele ontvangers (aan wie gegevens extern worden verstrekt);
  • de informatie over eventuele doorgifte naar landen buiten de EU;
  • de beoogde bewaartermijnen van de gegevens;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die u hebt genomen voor de beveiliging van de gegevens (gebruikt u bijvoorbeeld: encryptie, logische toegangscontrole, beperking van de toegang, pseudonimisering etc.).

Verwerker

Verwerkt u de persoonsgegevens ten behoeve van een verwerkingsverantwoordelijke, dan zal u een register van de verwerkingsactiviteiten per verantwoordelijke waarvoor u werkt moeten bijhouden. Dat verwerkingsregister zal de volgende informatie moeten ontvangen:

  • de naam en contactgegevens van
    • de organisatie als verwerker en de betreffende verantwoordelijke (of hun vertegenwoordigers)
    • de functionaris voor de gegevensbescherming (indien aanwezig);
  • de categorieën verwerkingen (dit komt overeen met de doeleinden uit het register van de verantwoordelijke);
  • de informatie over eventuele doorgifte naar landen buiten de EU;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn genomen voor de beveiliging van de gegevens.

Goed uitgangspunt

Het opstellen van het verwerkingsregister is in veel gevallen een goede eerste stap om te overzien welke verwerkingen er in een organisatie voorkomen, zodat u ook weet waar u nog actie moet ondernemen. Het benodigde privacy beleid en een te hanteren privacyverklaring kunnen hierop dan, naast de overige verplichtingen uit de AVG, worden afgestemd.

Heeft u voor die tijd dringende vragen op dit gebied, dan kunt u uiteraard ook altijd contact opnemen met onze privacyrecht advocaat.

Bent u woonachtig of is uw bedrijf gevestigd in Veghel, Sint-Oedenrode, Gemeente Meierijstad, Uden, Schijndel, Erp, Gemert, Nistelrode, Beek en Donk of Heeswijk? U kunt dan terecht op onze vestiging in Veghel. U kunt ons op dit kantoor bereiken via +31 413 35 22 11.

Bent u woonachtig of is uw bedrijf gevestigd in Oss, Rosmalen, Berghem, Schaijk, Heesch, Ravenstein of Kerkdriel? Dan is onze dichtstbijzijnde vestiging in Oss. U kunt ons op dit kantoor bereiken op het volgende nummer +31 412 76 02 27.

Neem direct contact op.

Wij adviseren en staan u bij in het geval van juridische kwesties.

Andere expertises van ons kantoor.

Bedrijfsovername

Een fusie of de aan- danwel verkoop van een bedrijf middels een aandelenoverdracht.

Ondernemingsrecht

Het recht dat van toepassing is op rechtspersonen zijnde bv’s, nv’s, vereniging en stichtingen.

Verbintenissenrecht

Het gedeelte van het burgerlijk recht dat regels geeft over verbintenissen die mensen met elkaar sluiten, zoals overeenkomsten.