In Europees verband is de Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018 van toepassing. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De nieuwe verordening is rechtstreeks van toepassing in alle EU-landen en in alle landen gaan dezelfde privacyregels gelden.
Privacy en AVG
De nieuwe regels moeten op die datum door ondernemers zijn geïmplementeerd. Ieder land heeft nu nog eigen privacy-wetgeving met onderlinge verschillen.
Een bedrijf moet zelf kunnen aantonen, dat het voldoende
'in control' is met alle privacyregels. Er moet privacy- en beveiligingsbeleid zijn. Dit beleid moet zijn vertaald in concrete maatregelen en procedures.
Voorbereiding op de AVG
Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om aan te tonen dat zij zich aan de wet houden. Voldoet uw bedrijf aan de nieuwe privacy wet- en regelgeving? Voldoen aan de AVG vereist een continue inspanning.
Hoe bereidt u zich voor op de eisen die de AVG stelt?
- U moet kunnen aantonen dat u er alles aan heeft gedaan om de privacy te waarborgen. TLN-leden krijgen 50% korting op het AVG-programma van 'Stichting AVG voor Verenigingen'. Dit programma ondersteunt ondernemers. Lees meer over deze AVG-tool.
Kijk voor meer informatie en nieuwe ontwikkelingen op de website van Autoriteit Persoonsgegevens (AP):
Handboek privacy TLN
Brexit & AVG
Recent hebben de Europese privacy toezichthouders meer duidelijkheid gegeven over privacy-regelgeving wanneer er een harde Brexit (no-deal) komt.
Bij een no-deal Brexit zal het Verenigd Koninkrijk een 'derde land' worden. De Europese Commissie kan in een later stadium oordelen dat het niveau van gegevensbescherming in een 'derde land' gelijkwaardig is aan de Europese regelgeving. Dit wordt een adequaatheidsbesluit genoemd. In de situatie van een no-deal Brexit zal er niet direct een adequaatheidsbesluit voor het Verenigd Koninkrijk worden afgegeven.
Dit betekent dat het uitwisselen van persoonsgegevens met organisaties binnen het Verenigd Koninkrijk gebaseerd moet worden op andere instrumenten waaronder een aantal modelcontracten die door de Europese Commissie zijn vastgesteld.
Het is belangrijk dat ondernemers die zaken doen met het Verenigd Koninkrijk (doorgifte en opslag van persoonsgegevens vallen hier ook onder) zich voorbereiden en het stappenplan (hieronder) van de Autoriteit Persoonsgegevens volgen:
Stappen om u voor te bereiden
- Breng in kaart of en zo ja, welke persoonsgegevens u met organisaties in het Verenigd Koninkrijk deelt.
- Bepaal welk instrument voor de doorgifte van persoonsgegevens het beste past bij uw situatie.
- Zorg ervoor dat het gekozen instrument vanaf 30 maart 2019 werkzaam kan zijn.
- Zorg ervoor dat u in uw interne documenten aangeeft dat uw organisatie persoonsgegevens doorgeeft aan een 'derde land', namelijk het Verenigd Koninkrijk.
- Pas uw privacyverklaring aan.
|
Voorbeelden modelcontracten (NL):
N.B. Deze modelcontracten zijn op de website van de Autoriteit Persoonsgegevens in alle talen van de EU-lidstaten beschikbaar.
Meldplicht datalekken
Op 1 januari 2016 is de meldplicht datalekken (beveiligingsinbreuken) ingevoerd. Dit betekent dat niet later dan 72 uur na de ontdekking een melding moet worden gedaan bij de Autoriteit Persoonsgegevens.
Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens op basis waarvan een natuurlijke persoon - redelijkerwijs, direct of indirect, zonder onevenredige inspanning- kan worden geïndentificeerd.
Ook gegevens zoals een IQ, geslacht of hobby’s zullen persoonsgegevens zijn, als deze gegevens gekoppeld zijn aan gegevens zoals een naam, geboortedatum of adres, waardoor de persoon geïdentificeerd kan worden.
Bedrijfsgegevens zijn doorgaans geen persoonsgegevens. Echter, als de gegevens wel iets zeggen over een natuurlijke persoon, kan dit anders zijn. Hierbij kunt u denken aan informatie over een eenmanszaak. De winst van de eenmanszaak zegt immers iets over het inkomen van de eigenaar.
Verwerker persoonsgegevens
Een verwerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt.
Wat vindt TLN?
TLN onderschrijft het belang van privacy, maar ook het grote belang van veiligheid. TLN is van mening dat privacy en veiligheid in balans dienen te zijn. Privacy moet bij iedere werknemer op het netvlies staan en niet alleen bij directie en MT-leden.
- TLN participeert in de landelijke bedrijfsleven-brede werkgroep in VNO-NCW verband.
- TLN heeft contact met de Autoriteit Persoonsgegevens over diverse onderdelen van de Wbp en de AVG.
Autoriteit Persoonsgegevens
In Nederland is de Autoriteit Persoonsgegevens (AP) toezichthouder in het kader van de Wet bescherming persoonsgegevens (Wbp). De AP is de nieuwe naam van het College Bescherming Persoonsgegevens. De AP zal ook toezicht gaan uitoefenen op de AVG.
