Algemene Verorderning Gegevensbescherming in een notendop

Wat is de Algemene Verordening Gegevensbescherming?
De General Data Protection Regulation (GDPR) is de Europese privacywetgeving met als doel het beschermen van persoonsgegevens. De Nederlandse implementatiewet genaamd Algemene Verordening Gegevensbescherming (AVG) is hier de uitwerking van. Elke ondernemer komt er mee in aanraking gewild of ongewild en zodoende is een goede implementatie cruciaal.

Wat is het doel van de AVG?
De AVG heeft – kort en zakelijk - als doel dat personen (betrokkene) de gegevens opgeslagen bij bedrijven ter zake hun personalia (persoonsgegevens) in kunnen zien, laten verwijderen en aan kunnen laten passen. Simpel uitgelegd personen moeten een betere grip krijgen over hun persoonsgegevens. Een tweede doel van de wetgeving is dan ook transparantie te bieden aan een persoon (betrokkene) omtrent hoe en waar hun gegevens worden opgeslagen en dit moet bijdragen aan bewustwording bij zowel de persoon (betrokkene) én bedrijven.

Moet ik aan de AVG voldoen?
Het korte antwoord is ja. U moet als ondernemer altijd voldoen aan de AVG, tenzij u niet bent gevestigd binnen de Europese Unie. Welke specifieke (aanvullende) regels gelden voor een onderneming kan echter per lidstaat verschillen.

Dit betekent dat ook uw onderneming op technologisch en procesmatig vlak de wetgeving binnen de organisatie op een juiste wijze dient te implementeren. Indien een ondernemer dit bewust of onbewust nalaat wetgeving kan in Nederland de Autoriteit Persoonsgegevens (AP) als toezichthouder optreden. Dit kan de AP doen door het geven van een waarschuwing of in het uiterste geval door het opleggen van boetes.

Hoe start ik met de implementatie van de AVG?
Met de implementatie van de AVG dient een ondernemer ten eerste niet (te) lichtzinnig om te gaan. Het is immers voor veel ondernemers in de praktijk een behoorlijke klus om aan alle wet- en regelgeving te voldoen en zodoende is volledig voldoen aan de AVG zeker niet eenvoudig.

Vaak is het zodoende verstandig om professionele hulp in te schakelen die u tijdens dit proces kunnen begeleiden. Volledig voldoen aan de AVG is namelijk meer dan het opstellen van een privacyverklaring.

Zo moet uw onderneming voldoen procesmatig en op organisatorisch vlak dienen privacy-vriendelijke werkwijzen te worden geïmplementeerd. Op het vlak van ICT dienen systemen op dusdanige wijze te worden geprogrammeerd met oog op de privacy van personen (betrokkene) en als sluitstuk dienen uw juridische documenten hierop in volledigheid aan te sluiten.

Ik heb een privacyverklaring, ben ik nu klaar?
Het korte antwoord is nee. Veel ondernemers zijn in de veronderstelling dat het opstellen van een privacyverklaring voldoende is om te voldoen aan de AVG. Dit is echter onjuist, immers betreft de privacyverklaring eigenlijk het sluitstuk. Met andere woorden pas als alle andere zaken op orde zijn is de privacyverklaring het document waarin u alles vast zult leggen.

Hoe moet het dan wel?
Het is raadzaam niet zelfstandig met de AVG aan de slag te gaan, maar hiervoor een jurist ter hand te nemen gelet op de complexiteit van de wetgeving. Wij ontraden te allen tijde om een privacyverklaring of disclaimer te kopiëren van derden, omdat deze verklaringen vaak zijn opgesteld voor een afwijkende situatie en het hier het sluitstuk betreft van wellicht een andere organisatie, geheel los van de auteursrechtelijke vraag die dit op kan roepen.