Privacyrecht
Het Privacyrecht is als rechtsgebied, door de invoering van de Europese wet: Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018 in een stroomversnelling geraakt.
Iedere onderneming en organisatie ( publiek- of privaatrechtelijk ) moeten voldoen aan de strenge verplichtingen van deze wet. Alle opgeslagen persoonsgevens van klanten en werknemers dienen optimaal beschermd te worden. In artikel 24 van de AVG is het duidelijk gesteld. Het bedrijf of organisatie dient alles in het werk te stellen (te waarborgen zegt de wet) dat de persoonsgegevens technisch en organisatorisch optimaal beveiligd te zijn. Dit betekend een beveiling voor interne handelingen verricht door medewerkers maar ook tegen (criminele) acties die van buitenaf verricht worden. Hierbij kun je denken aan bijvoorbeeld hacking , pishing of ransomware. Ook datalekken door handelingen van medewerkers danwel crimenele handelingen van buitenaf kunnen de leiding van een bedrijf zwaar aangerekend worden. Bij onvoldoende inspanning of verwijtbaar gedrag tan aanzien van de persoonsgegevens kan een onderneming een onderzoek en forse boete verwachten van de Autoriteit Persoonsgegevens.
Daarom is het zaak als bedrijf en organisatie volledig op de hoogte te zijn van je verplichtingen die de nieuwe privacywet stelt. En deze reiken verder dan de invoering van een paar standaarddocumenten in je geautomatiseerde omgeving.
Activiteiten vallen veel sneller onder de privacywetgeving dan voorheen .Ook gedragingen en verplichtingen tegenover de gegevens van de verstrekkers van de gegevens.
Naast reguliere bestanden met algemene persoonsgegevens vallen nu ook bestanden gekoppeld aan IP-adressen en cookies onder de wet. De verstrekkers van de gegevens (alle burgers in Europa) hebben veel meer rechten en de verwerkers van de gegevens veel meer verplichtingen.
Persoonsgegevens mogen niet zomaar, zonder toestemming, worden opgeslagen, opgevraagd of gebruikt worden. Ook mogen ze niet worden doorgegeven( b.v. middels contracten of samenwerkingsverbanden) aan andere organisaties of ondernemingen zonder expleciete toestemming van de verstrekker. Bovendien dient de organisatie of onderneming aan te kunnen tonen dat deze toestemming daadwerkelijk is verleend.
Ook dient alle registratie van persoonsgegevens transparant en rechtmatig te zijn. Daarnaast dient de registratie doelmatig te zijn. Met andere woorden; de persoonsgegevens mogen alleen dan gebruikt worden in relatie tot de zogenaamde doelstelling van de onderneming of organisatie.
De betrokkene burger mag de gegevens inzien en wijzigen of zelfs laten vernietigen. Alle verwerkingen en bewerkingen, intern en extern, moeten door de organisatie gedocumenteerd worden. Daarvoor heeft elke ondernemeing verplicht een zogenaamd verwerkingsregister waarin alle activiteiten ten aanzien van persoonsgegens worden gedocumenteerd en wijzigingen van activiteiten hierin worden opgenomen. Ook dienen er verwerkersovereenkomsten opgestelt te worden op het moment dat een onderneming of organisatie een ander bedrijf inhuurd om werkzaamheden te verrichten waarbij de opgeslagen gegevens inzichtelijk zijn. Ook dient met afnemers of leveranciers een verwerkerssovereenkomst gemaakt te worden waarin de aard van gebruik én de wijze van opslag van de persoonsgegevens wordt vastgelegd. De verstrekker dient hiervoor weer toestemming te geven.
Alle gegevens mogen niet langer bewaard blijven dan strikt noodzakelijk is. Bovendien dient de beveiliging van de (digitale) opslag, veilig te zijn en te blijven. Als er mogelijk risico’s zitten aan de verwerking van persoonsgegevens dan dient er een uitgebreid onderzoek ( een zogenaamde DPIA) plaats te vinden. Dit is aan de orde bij een bijzondere aard van de persoons- gegevens danwel bij een omvangrijke opslag van gegevens. Grotere ondernemingen en organisaties dienen het interne privacybeleid te publiceren in het jaarverslag om zo aan te geven op welke wijze is gewerkt en gewerkt gaat worden aan de privacyverplichtingen.
Als er ondanks alle genomen maatregelen en zorgvuldige werkwijze persoonsgegevens ‘’lekken’’, dan dient dit ongeluk met persoonsgegevens niet alleen intern gedocumenteerd te worden maar ook ten spoedigste gemeld te worden bij de Autoriteit Persoonsgegevens (AP). Bovendien dienen ook de betrokkenen verstrekkers van de persoonsgegevens hiervan op de hoogte te worden gesteld. Publiekrechtelijke organisaties en grote ondernemingen zijn verplicht een Functionaris Gegevensbescherming aan te stellen. Deze heeft als onafhankelijke partij, toezicht op alle aangelegenheden met betrekking tot verwerkingen van persoonsgegevens.
De Functionaris Persoonsgegevens ( FG ) of Privacyofficer dient werknemers en het bestuur van de organisatie of onderneming te adviseren over hun verplichtingen volgens de AVG. Hij/ Zij zorgt voor de naleving van de verordening en adviseert m.b.t. de beveiliging. Tevens organiseert hij/zij de opleidingen voor het personeel. Hij/zij treedt op als contactpersoon tussen de burger en de nationale toezichthouder, de Autoriteit Persoonsgegevens.
Bij de FG kunnen door de verstrekker van persoonsgegevens klachten ingediend worden als er onrechtmatig met de gegevens wordt omgegaan. Deze zal de klacht beoordelen en er al dan niet melding van doen bij de Autoriteit Persoonsgegevens.
Mr. John Peters is zelf opgeleid tot Functionaris Gegevensbescherming (FG)
Worden klachten door de Autoriteit Persoonsgegevens terecht gevonden dan kunnen er boetes opgelegd worden door de AP welke kunnen oplopen tot 4% van de totale (wereldwijde) jaaromzet van een onderneming.
De noodzaak van een zorgvuldige en weloverwogen omgang én opslag van persoonsgegevens is een verworven recht maar brengt voor organisaties en ondernemingen verplichtingen met zich mee die zeer serieus dienen te worden genomen.
Voor een goed advies en/of een zorgvuldige begeleiding bij uw privacybeleid kunt u bij ons terecht. Mocht uw bedrijf of organisatie zelf geconfronteerd te worden met de diefstal of andere criminaliteit ten aanzien van uw opgeslagen gegevens dan kunt u ook bij ons terecht voor een strafrechtelijke traject . Mr Peters kan voor u hiervan bijvoorbeeld aangifte doen bij de Hoofdofficier van justitie met het verzoek op tot strafrechtelijke vervolging over te gaan. Mocht het in een dergelijk geval tot vervolging komen dan kan er tevens in het strafrechtelijk traject uw opgelopen schade gevorderd worden. Ook is het te overwegen om naast een civielrechtelijke procedure gelijktijdig een strafrechtelijk traject te starten waarmee de druk op de wederparij opgevoerd wordt. Een strategie die uw positie versterkt.