Privacy en de Algemene Verordening Gegevensbescherming (AVG)

Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. Het kan bijna niemand ontgaan zijn. Maar wat houdt deze verordening in en wat moet de ondernemer ermee? Kort door de bocht: de ondernemer dient in ieder geval privacyreglementen te hanteren, verwerkersovereenkomsten te sluiten en een Register van verwerkingsactiviteiten bij te houden. Wij kunnen u hierbij ondersteunen. Voor het opstellen van deze stukken hanteren wij scherpe tarieven.

Europees geregeld, Wbp is vervallen

De AVG is een Europese verordening. Dit betekent dat in de hele Europese Unie dezelfde wetgeving geldt ten aanzien van privacy. De Nederlandse Wet bescherming persoonsgegevens is met ingang van 25 mei 2018 vervallen.

Doel AVG

Het doel van de AVG is de bescherming van persoonsgegevens bij de verwerking daarvan. De AVG is mede ingegeven als gevolg van de snelle digitale ontwikkelingen waaraan de wereld onderhevig is. Deze digitale ontwikkelingen brengen (extra) risico’s met zich ten aanzien van de bescherming van persoonsgegevens. Niet alleen verstrekken personen heel gemakkelijk hun persoonsgegevens (digitaal), ook is het risico op verlies van de gegevens groter geworden. Met de AVG wordt:

  • een versterking en uitbreiding van privacyrechten beoogd,
  • wordt de verantwoordelijkheid van organisaties vergroot,
  • en worden de bevoegdheden voor privacy toezichthouders gelijk getrokken en verstevigd.

Onze diensten

Gezien de verplichtingen die voortvloeien uit de AVG en de controle die de AP uitvoert, adviseren wij ondernemers privacyreglementen op te stellen. Denk bijvoorbeeld aan een privacyreglement voor werknemers, voor klanten, opdrachtgevers en websitegebruikers. Verder adviseren wij ondernemers verwerkingsovereenkomsten te sluiten en een Register van verwerkingsactiviteiten op te stellen en bij te houden.

Desgewenst kunnen wij u hierbij ondersteunen. Wij hanteren vaste prijzen voor het opstellen van deze stukken.

Onze tarieven

Dienst bedrag
Opstellen van een privacyreglement € 295,00
Opstellen van een verwerkersovereenkomst € 500,00
Opstellen van een Register van verwerkingsactiviteiten  € 295,00

 

Deze prijzen zijn exclusief BTW. Wenst u hiervan gebruik te willen maken, kunt u contact opnemen met kantoor.

Inhoudsopgave Algemene Verordening Gegevensbescherming (AVG)

Begrippen AVG

Persoonsgegevens

Bijzondere Persoonsgegevens

Verwerking

Verwerkingsverantwoordelijke

Bescherming privacy: verplichtingen AVG

Grondslagen verwerking persoonsgegevens

Grondslag verwerking bijzondere persoonsgegevens

(Beveiligings)maatregelen (privacy by design & privacy by default)

Bewaartermijnen

Rechten van betrokkenen

Verantwoordelijkheid organisaties

Privacyreglementen

Register van verwerkingsactiviteiten

Register Datalekken

Internationale doorgifte

Functionaris voor de gegevensbescherming (FG)

Data Protection Impact Assessment (DPIA)

Bevoegdheden privacy toezichthouders

Advies

Begrippen AVG

Om de AVG goed te begrijpen en daarmee ook goed invulling te kunnen geven aan de verplichtingen die de AVG organisaties oplegt, is het van belang de (belangrijkste) begrippen van de AVG te benoemen.

Persoonsgegevens

Als eerste het begrip persoonsgegevens. Hieronder worden simpelweg alle gegevens verstaan van een natuurlijke persoon die herleidbaar zijn tot een persoon. Daar vallen dus heel veel gegevens onder. Bijvoorbeeld: naam, adres, woonplaats, telefoonnummers, postcodes met huisnummer, geslacht, geboortedatum, foto, e-mailadres, Burgerservicenummer, CV, bankgegevens, enzovoorts. Let op: het moet dus gaan om gegevens die, al dan niet gecombineerd, te herleiden zijn tot een natuurlijke persoon. Gegevens die herleidbaar zijn tot een rechtspersoon, vereniging of overleden personen, zijn geen persoonsgegevens in de zin van de AVG.

Bijzondere Persoonsgegevens

Onderscheiden worden nog bijzondere persoonsgegevens. Dit zijn simpel gezegd gegevens van personen die gevoelig kunnen liggen, zoals ras, geloof, gegevens over gezondheid, geaardheid, genetische gegevens, enzovoorts. Dit verschil is van belang omdat bijzondere persoonsgegevens extra worden beschermd.

Verwerking

Een ander belangrijk begrip binnen de AVG is het begrip verwerking. Onder verwerking van persoonsgegevens wordt verstaan een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens al dan niet uitgevoerd via geautomatiseerde procedés. Dus vrijwel alles wat wordt gedaan met persoonsgegevens, zoals verzamelen, opslaan, ordenen, raadplegen, verstrekken, gebruiken, afschermen, vernietigen, valt onder de noemer “verwerking”.

Verwerkingsverantwoordelijke

Verder kent de AVG het begrip verwerkingsverantwoordelijke. Dit is de (rechts)persoon die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Dat is dus de partij die bepaalt waarom gegevens moeten worden verwerkt en op welke manier en met behulp waarvan dit dient te gebeuren. Een ander begrip is die van verwerker. Dit is de partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Deze doet dat dus voor de verwerkingsverantwoordelijke zonder dat er daarbij invloed wordt uitgeoefend op het vaststellen van het doel en de middelen van de verwerking.

Het bovenstaande komt erop neer dat een onderneming in het ene geval een verwerkersverantwoordelijke is en de andere keer kan worden aangemerkt als verwerker. Het is ook mogelijk dat twee partijen als verwerkingsverantwoordelijken worden aangemerkt. Het onderscheid is van belang omdat elke hoedanigheid rechten en verplichtingen met zich brengt.

Tot zover de belangrijkste begrippen. Maar wat zijn nu de belangrijkste regels die volgen uit de AVG? Op welke wijze worden de privacyrechten versterkt en uitgebreid? Welke verantwoordelijkheid hebben de organisaties hierin en welke bevoegdheden hebben de privacy toezichthouders?

Bescherming privacy: verplichtingen AVG

De bescherming van de privacyrechten begint bij het stellen van een voorwaarde voor de verwerking van persoonsgegevens. Er moet een wettelijke grondslag bestaan voor de verwerking van (bijzondere) persoonsgegevens. Is deze grondslag er niet, dan mogen persoonsgegevens niet worden verwerkt.

Grondslagen verwerking persoonsgegevens

De AVG noemt de volgende grondslagen voor de verwerking van persoonsgegevens:

  • uitdrukkelijke toestemming;
  • noodzakelijk voor de uitvoering van een overeenkomst of om vóór sluiting van een overeenkomst maatregelen te nemen;
  • noodzakelijk om te voldoen aan een wettelijke verplichting;
  • noodzakelijk voor de vervulling van een taak van algemeen belang of een taak in het kader van de uitoefening van openbaar gezag;
  • noodzakelijk ter behartiging van gerechtvaardigde belangen.

Hierbij geldt dat de uitdrukkelijke toestemming als laatste optie moet worden gezien. Er dient dus eerst onderzocht te worden of één van de andere grondslagen uitkomst biedt. Is dat niet het geval, dan dient toestemming te worden gevraagd voor de verwerking van persoonsgegevens. Deze toestemming moet vrijelijk worden gegeven, moet ondubbelzinnig en specifiek zijn. Dit betekent dat de betrokkene op generlei wijze gedwongen dient te worden tot het verlenen van toestemming. Er mogen zogezegd geen negatieve gevolgen worden gekoppeld aan het niet verlenen van de instemming. Dat kan in het geval er sprake is van machtsverhoudingen, lastig zijn.

Dat de toestemming ondubbelzinnig en specifiek moet zijn, betekent dat de betrokkene de toestemming uitdrukkelijk moet verlenen (ondubbelzinnig, er kan geen twijfel over bestaan) en dat deze de toestemming verleent voor een specifieke situatie / verwerking. Dit betekent dus dat een organisatie die toestemming vraagt, de betrokkene dient te informeren over het doel van de verwerking van de persoonsgegevens en duidelijk moet zijn over de gegevens die verwerkt gaan worden. Wordt de toestemming daarvoor verleend, geldt die toestemming ook alleen voor het opgegeven doel en voor de opgegeven verwerking van persoonsgegevens.

Het “nadeel” van de toestemming is dat de toestemming ook op elk moment ingetrokken kan worden. Daarmee vervalt de grondslag voor de verwerking van die persoonsgegevens. Hieruit volgt eens te meer dat het hebben van een andere grondslag de voorkeur heeft.

Om te laten zien hoe het werkt met de verschillende grondslagen, hier een voorbeeld:

Stel dat een organisatie persoonsgegevens van klanten verwerkt om een product of dienst te leveren, dan gebeurt dit op basis van de grondslag uitvoering van een overeenkomst. Stel dat die organisatie de klant een nieuwsbrief wil versturen met aanbiedingen, dan kan dat alleen nadat de klant daarmee op een juiste wijze heeft ingestemd en de klant op een juiste wijze daarover is geïnformeerd. Trekt de klant de toestemming in, dan is het de organisatie niet meer toegestaan deze klant de nieuwsbrief met aanbiedingen te versturen.

Grondslag verwerking bijzondere persoonsgegevens

Voor de verwerking van bijzondere persoonsgegevens gelden strengere eisen. Het uitgangspunt is dat het verwerken van deze gegevens niet is toegestaan. Alleen wanneer er sprake is van één van in de AVG genoemde uitzonderingen, mag het wel. De AVG kent de volgende uitzonderingen:

  • uitdrukkelijke toestemming van de betrokkene;
  • de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht;
  • de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;
  • de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt;
  • de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
  • de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;
  • de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang;
  • de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten of uit hoofde van een overeenkomst met een gezondheidswerker;
  • de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid;
  • de verwerking is noodzakelijk met het oog op archivering in he vt algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.

(Beveiligings)maatregelen (privacy by design & privacy by default)

Als er persoonsgegevens worden verwerkt door een organisatie, dan is deze organisatie op grond van de AVG ook verplicht de persoonsgegevens deugdelijk te beschermen. Er moeten passende technische en organisatorische maatregelen ter bescherming worden getroffen. Dit betekent niet alleen dat er maatregelen worden getroffen om te voorkomen dat de gegevens verloren of verspreid kunnen worden. Het gaat verder. Al bij het ontwerpen van een product en/of dienst moet al gezorgd worden voor een deugdelijke bescherming (privacy by design). Verder moeten er ook technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat alleen de persoonsgegevens worden verwerkt die noodzakelijk zijn voor het doel. Niets meer en niets minder (privacy by default).

Als organisatie dient u dus na te gaan in hoeverre het nodig is om persoonsgegevens te verwerken. Ook moet worden bezien of het mogelijk is gegevens te anonimiseren en moet worden bezien op welke manieren de persoonsgegevens zo goed mogelijk worden beschermd.

In lijn daarmee is ook de verplichting van een organisatie (als verwerkingsverantwoordelijke) om verwerkersovereenkomsten te sluiten met partijen die zij inschakelt om persoonsgegevens te verwerken. In deze overeenkomst dient onder meer te worden vastgelegd:

  • het onderwerp en de duur van de gegevensverwerking;
  • de aard en het doel van de gegevensverwerking;
  • het soort persoonsgegevens;
  • de categorieën van betrokkenen;
  • de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Bewaartermijnen

Ten aanzien van de duur van het bewaren van persoonsgegevens, verandert er niets. Nog steeds mogen persoonsgegevens niet langer bewaard worden dan noodzakelijk voor het doel van de verwerking. De AVG kent geen wettelijke bewaartermijnen. Wel zijn er andere wettelijke bewaartermijnen. Zo geldt er bijvoorbeeld een bewaartermijn van 7 jaren voor de loonadministratie en 5 jaren voor een kopie ID-bewijs van een werknemer.

Rechten van betrokkenen

Om de privacyrechten verder te versterken / uit te breiden zijn in de AVG rechten opgenomen die de betrokkenen (de personen van wie persoonsgegevens worden verwerkt) hebben. Zij hebben de volgende rechten:

  • het recht op dataportabiliteit, d.w.z. het recht om de persoonsgegevens over te laten dragen naar een andere organisatie;
  • het recht op vergetelheid, d.w.z. het recht om “vergeten” te worden;
  • het recht op rectificatie en aanvulling van de persoonsgegevens;
  • het recht op beperking van de verwerking, d.w.z. het recht om minder gegevens te laten verwerken;
  • het recht met betrekking tot geautomatiseerde besluitvorming en profilering, d.w.z. het recht op een menselijke blik bij besluiten;
  • het recht om bezwaar te maken tegen de gegevensverwerking.

Ook kunnen betrokkenen een klacht indienen bij de Autoriteit Persoonsgegevens als zij vermoeden dat persoonsgegevens zijn verwerkt op een wijze die niet strookt met de AVG. Dit gebeurt ook. In de eerste maand dat de AVG gold, zijn er 600 klachten ingediend. De klachten zagen met name op problemen met verwijderingsverzoeken.

Verantwoordelijkheid organisaties

De AVG legt (veel) meer nadruk op de verantwoordelijkheid van organisaties om aan te tonen dat zij zich aan de AVG houden. Deze verantwoordelijkheid houdt in dat organisaties een informatieplicht hebben en zij aan de hand van documenten moeten kunnen aantonen dat zij zich houden aan de AVG (verantwoordingsplicht).

Privacyreglementen

Organisaties zijn gehouden de betrokkenen duidelijk te informeren over wat er met de persoonsgegevens gebeurt en wat de rechten zijn van de betrokkenen. Daarom adviseren wij organisaties privacyreglementen te maken voor de partijen van wie zij persoonsgegevens verwerken. Denk bijvoorbeeld aan werknemers, klanten en gebruikers van de website.

Wij adviseren om in het privacyreglement in ieder geval op te nemen:

  • welke persoonsgegevens worden verwerkt;
  • met welk doel deze gegevens worden verwerkt (wat is de verwerkingsgrondslag);
  • hoe de gegevens worden verwerkt;
  • door wie de persoonsgegevens zijn te zien;
  • welke passende technische en organisatorische maatregelen er getroffen zijn ter bescherming van de persoonsgegevens;
  • welke bewaartermijnen worden gehanteerd, en
  • welke rechten de betrokkenen ten aanzien van de verwerking van de persoonsgegevens hebben.

Register van verwerkingsactiviteiten

Heeft een organisatie meer dan 250 werknemers, dan dient de organisatie een Register van verwerkingsactiviteiten te hebben. Deze moet kunnen worden getoond als de Autoriteit Persoonsgegevens daarom vraagt.

Zijn er minder dan 250 werknemers, ook dan bestaat vaak de verplichting tot het hebben van het Register van verwerkingsactiviteiten. Een organisatie moet namelijk ook over dat register beschikken wanneer persoonsgegevens worden verwerkt:

  • waarvan de verwerking niet incidenteel is. In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die worden verwerkt. Of van klanten, cliënten, patiënten of inwoners;
  • die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie de persoonsgegevens worden verwerkt;
  • die vallen onder de categorie bijzondere persoonsgegevens.

De wet schrijft voor dat de verantwoordelijke de volgende informatie in het register moeten opnemen:

  • de naam en contactgegevens van:
  1. de organisatie, of de vertegenwoordiger van de organisatie;
  2. eventuele andere organisaties met wie gezamenlijk de doelen en middelen van de verwerking worden vastgesteld;
  3. de Functionaris voor de gegevensbescherming (FG) als die is aangesteld;
  4. eventuele andere internationale organisaties waar persoonsgegevens mee worden gedeeld;
  • de doelen waarvoor de persoonsgegevens worden verwerkt: bijvoorbeeld voor de werving en selectie van personeel, het uitvoeren van overeenkomsten, direct marketing;
  • een beschrijving van de categorieën van personen van wie de gegevens worden verwerkt. Bijvoorbeeld (potentiële) werknemers, opdrachtnemers, opdrachtgevers, klanten;
  • een beschrijving van de categorieën van persoonsgegevens, zoals het BSN, NAW-gegevens, telefoonnummers, IP-adressen, camerabeelden;
  • de datum waarop de gegevens moeten worden gewist (als deze bekend is);
  • de categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt;
  • dat gegevens wel/niet worden gedeeld met een land of internationale organisatie buiten de EU;
  • een algemene beschrijving van de technische en organisatorische maatregelen die zijn genomen om persoonsgegevens die worden verwerkt te beveiligen.

Register Datalekken

Naast een Register van verwerkingsactiviteiten dient een organisatie ook een Register datalekken bij te houden. Hierin dienen alle datalekken te worden opgenomen. Van een datalek is sprake als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet uitgesloten kan worden. Een voorbeeld kan zijn het kwijtraken van een USB-stick, diefstal van een laptop of een inbraak door een hacker. Op grond van de AVG zouden datalekken ook moeten worden gemeld bij de Autoriteit voor de Persoonsgegevens. Vreest een onderneming een datalek, dan adviseren wij eerst contact op te nemen met een specialist om vervolgstappen te bespreken.

Internationale doorgifte

Verantwoordelijk zijn betekent voor organisaties ook dat zij niet zomaar persoonsgegevens buiten de EU mogen doorgeven. Internationale doorgifte van persoonsgegevens aan partijen buiten de EU (buiten toepassingsgebied Privacyrichtlijn) mag alleen als er sprake is van een passend beschermingsniveau. De Europese Commissie heeft een landenlijst (https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal-gegevensverkeer/doorgifte-binnen-en-buiten-de-eu) waarop de landen staan vermeld die een passend beschermingsniveau bieden.

Functionaris voor de gegevensbescherming (FG)

Een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de privacywetgeving. In de volgende drie situaties is een FG verplicht:

  • voor overheidsinstanties en publieke organisaties;
  • voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables;
  • voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is.

Het is nog de vraag wat onder “grote schaal verwerking bijzondere persoonsgegevens verwerken” wordt verstaan. Zo behoeft een huisarts (éénpitter) geen FG aan te stellen, maar een ziekenhuis wel. Hiertussen zit nog een groot gebied. De toekomst zal leren wat hieronder moet worden verstaan.

Stelt een organisatie wel een FG aan, terwijl zij daartoe niet verplicht is, dan dient deze ook te voldoen aan alle wettelijke vereisten. Het is dus belangrijk om hier goed over na te denken zodat niet onverplicht allerhande verplichtingen op de hals worden gehaald.

Data Protection Impact Assessment (DPIA)

Organisaties kunnen verplicht zijn een data protection impact assessment (DPIA), ook wel gegevenseffectenbescherming beoordeling, uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen. Dat is in ieder geval zo als een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Wordt een DPIA uitgevoerd terwijl deze niet verplicht is, dan heeft dit geen verdere gevolgen.

Profilering is een geautomatiseerde verwerking van (persoons)gegevens met als doel een individu te evalueren, te classificeren of een beslissing over die persoon te nemen, dit door persoonsgegevens te vergelijken en samen te brengen. Bedrijven kunnen dit doen voor verschillende commerciële doelen. Bijvoorbeeld om een specifieke winstgevende klantengroep te behouden of om gerichte advertenties te tonen op basis van voorspelde interesses. Of juist om ongewenste klanten te weren, zoals bij een aanvraag voor een lening.

Gezien het bovenstaande brengt de AVG nogal wat verplichtingen voor organisaties met zich mee. Sommige verplichtingen bestonden al, velen zijn ook nieuw. Het is van belang om hier als organisatie serieus mee om te gaan. De Autoriteit Persoonsgegevens heeft een mooi stroomschema (stappenplan) opgesteld om organisaties te helpen te voldoen aan de AVG. De Autoriteit Persoonsgegevens heeft ook een handleiding AVG opgesteld. Het is ook van belang om aan de AVG te voldoen. Dit heeft (onder andere) te maken met de consequenties die verbonden zijn aan niet naleving van de AVG.

Bevoegdheden privacy toezichthouders

In Nederland ziet de Autoriteit Persoonsgegevens (AP) toe op de naleving van de AVG. Deze heeft verschillende mogelijkheden tot haar beschikking om organisaties te bewegen tot nakoming van de AVG. Zo kunnen er (hoge) boetes worden opgelegd, organisaties kunnen worden berispt of verboden om verwerkingen uit te voeren of certificeringen kunnen worden ingetrokken. Ook kan de AP een last onder dwangsom opleggen. Oftewel kan de AP een organisatie iets verplichten. Doet zij dat niet, dan volgt er direct een boete.

Naast deze bestuursrechtelijke consequenties, is het ook denkbaar dat organisaties aansprakelijk worden gesteld als deze zich niet houden aan de AVG en dit schade oplevert voor de betrokkene. Ook kunnen verwerkingsverantwoordelijken en verwerkers elkaar aanspreken omdat zij tekort zijn geschoten in de wederzijdse verplichtingen. Tot slot kan het schenden van de privacyregels ook leiden tot negatieve publiciteit. Het advies is derhalve om de AVG serieus te nemen en kritisch te kijken naar de verwerking van persoonsgegevens.

De Autoriteit Persoonsgegevens is op dit moment vooral bezig met het onderzoeken naar naleving van de privacy van de grote ondernemingen.

Advies

Gezien de verplichtingen die voortvloeien uit de AVG en de controle die de AP uitvoert, adviseren wij ondernemers privacyreglementen op te stellen. Denk bijvoorbeeld aan een privacyreglement voor werknemers, voor klanten, opdrachtgevers en websitegebruikers. Verder adviseren wij ondernemers verwerkingsovereenkomsten te sluiten en een Register van verwerkingsactiviteiten op te stellen en bij te houden.


Deel deze pagina:


Een afspraak maken

Absolute Advocaten

Geschikte Specialisten

Maak direct een afspraak
of
Stuur ons een bericht