Inloggen
Login met InkopersCafé account Account aanmaken

Premium logo's

Premium logo's

Premium partners

Sidebar premium

Sidebar premium

Gold partners

Sidebar gold

Sidebar gold

Silver partners

Sidebar silver

Sidebar silver
13
11
17
Joost Jacobs
1 Star2 Stars3 Stars4 Stars5 Stars
Door Joost Jacobs
Dossier: Column
Soort:

D-Day!

25 Mei 2018 wordt een juridische D-day. De dag dat de AVG (Algemene Verordening Gegevensbescherming) de huidige wet- en regelgeving op het gebied van gegevensbescherming binnen de Europese lidstaten vervangt. Maar wat zijn de gevolgen hiervan? Waar moeten organisaties bij de verwerking van persoonsgegevens aan voldoen en wat kunnen de gevolgen zijn voor uw organisatie indien uw organisatie niet ‘AVG compliant’ is?

Het meest vernieuwende aspect van de AVG ten opzichte van de huidige wetgeving is dat organisaties zelf verantwoordelijk zijn voor de bescherming van de persoonsgegevens die zij verwerken. De AVG vereist dat organisaties moeten kunnen aantonen dat zij de risico’s die met de verwerking gepaard gaan, in kaart hebben gebracht en hierop maatregelen hebben getroffen om die risico’s te beperken of weg te nemen en dat zij tevens de naleving van die maatregelen binnen de organisatie controleren. Indien de verwerking onder verantwoordelijkheid van een organisatie door een andere partij plaatsvindt worden de verplichtingen van de verantwoordelijke middels een verwerkersovereenkomst doorgelegd naar de verwerker.

De handelswijze van organisaties dient daarbij doorspekt te zijn van het ‘transparantiebeginsel’. Dit houdt in dat betrokkenen (zoveel mogelijk vooraf) in duidelijke en eenvoudige taal moeten worden geïnformeerd over de verwerking van hun persoonsgegevens en in hoeverre dat gebeurt. Ook moeten betrokkenen worden gewezen op hun rechten als aanpassing, inzien of verwijdering van hen betreffende gegevens en de mogelijkheid tot het indienen van een klacht bij de toezichthouder (Autoriteit Persoonsgegevens).

De AVG verplicht organisaties om, zowel door ontwerp als door standaardinstellingen, passende technische en organisatorische maatregelen te treffen die nodig zijn om te waarborgen dat aan de voorschriften van gegevensbescherming wordt voldaan.
Anders gezegd moeten organisaties hun producten en diensten ‘privacy proof’ ontwikkelen, bijvoorbeeld door de toepassing van technische versleuteling (pseudonimisering). Daarnaast is de voorgeschreven standaard dat organisaties alléén die persoonsgegevens verwerken die noodzakelijk zijn voor het te bereiken van het omschreven doel.

In de preambule van de AVG wordt expliciet bepaald dat gegevensbescherming door ontwerp en door standaardinstellingen ook bij openbare aanbestedingen in aanmerking moeten worden genomen. Dat houdt in dat bij de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten waarbij persoonsgegevens worden verwerkt, de producenten van die producten, diensten en toepassingen dienen te worden gestimuleerd rekening te houden met het recht op bescherming van persoonsgegevens en, met inachtneming van de stand van de techniek, erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.

Ten slotte moeten organisaties kunnen aantonen dat zij organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Daarbij valt mede te denken aan het intern documenteren van (alle) datalekken en in voorkomend geval het melden hiervan bij de aangewezen partij(en). Ook het verplicht bijhouden van een register omtrent de door de organisatie uitgevoerde verwerking van persoonsgegevens wordt door de AVG voorgeschreven. Dit register dient als naslagwerk voor de nationale toezichthouder die dit register ter controle kan opvragen en inzien. Overigens zijn organisaties met minder dan 250 medewerkers over het algemeen vrijgesteld van het bijhouden van een register.

Kort en goed gezegd dienen organisaties een actief beleid te gaan voeren waaruit blijkt dat zij de AVG naleven.

Over het algemeen zijn organisaties reeds goed op de hoogte van de forse boetebedragen die bij niet naleven van de AVG kunnen worden opgelegd. Deze kunnen oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet indien dit bedrag hoger is.
De mogelijkheid tot het opleggen van zeer hoge boetes dient mijns inziens vooral te bewerkstelligen dat organisaties in actie komen om de organisatorische en technische maatregelen te treffen die nodig zijn om aan de AVG te voldoen. Vooralsnog trek ik hier de tussentijdse conclusie dat de Europese wetgever in díe opzet is geslaagd. Nu is het zaak ervoor te zorgen dat betreffende organisaties erin slagen hun bedrijfsvoering AVG compliant in te richten en te voorkomen dat operatie AVG D-Day binnen organisaties uitmondt in ‘a bridge too far’.

Joost Jacobs
Door Joost Jacobs
Joost Jacobs is aanbestedingsjurist / consultant bij Het NIC.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.