Privacy en ondernemingen
Ook bij ondernemingen is de aandacht voor privacyregelgeving en voor de verplichtingen die zij in dat kader hebben (terecht) toegenomen. Inmiddels zal voor iedereen duidelijk zijn dat die verplichtingen niet alleen gelden voor bedrijven die op grote schaal persoonsgegevens verwerken (zoals de grote social media-platforms), maar ook voor bedrijven waarvan het business model helemaal niets te maken heeft met persoonsgegevens.
Eigenlijk verwerken alle bedrijven persoonsgegevens. En dus hebben alle bedrijven te maken met de privacyregelgeving. In Nederland zijn dat met name de AVG, de Uitvoeringswet AVG (UAVG) en de daarvan afgeleide lagere regelgeving.
Verplichtingen van ondernemingen
Nagenoeg alle ondernemingen houden er een digitale personeelsadministratie op na en beschikken over een CRM-pakket waarin gegevens van contactpersonen worden geregistreerd. Met dergelijke systemen worden persoonsgegevens verwerkt en dus moet aan bepaalde voorwaarden worden voldaan. Daarbij is vooral van belang dat de documentatie goed op orde is (compliance). Het is namelijk aan de onderneming om aan te tonen dat wordt voldaan aan de eisen van privacywetgeving.
Zo moet de onderneming kunnen aantonen dat de betrokkenen (werknemers, relaties) tijdig en volledig zijn geïnformeerd over de verwerking van hun persoonsgegevens. Daarbij moet onder meer informatie worden verstrekt over hoe, waarom en hoe lang de persoonsgegevens worden verwerkt. Ook moet met alle verwerkers een zogenaamde verwerkersovereenkomst worden gesloten.
Verder kunnen persoonsgegevens niet zomaar met derden worden gedeeld. Er zal telkens een (gedocumenteerde) afweging gemaakt moeten worden ten aanzien van de vraag of het delen van persoonsgegevens in overeenstemming is met wet- en regelgeving.
Wordt er een datalek geconstateerd? Dan moet dit lek in ieder geval door de organisatie zelf worden geregistreerd. Ook moet er in veel gevallen een melding worden gedaan bij de Autoriteit Persoonsgegevens (AP).
Wie houdt toezicht op de naleving van de regels?
In Nederland wordt het toezicht op de privacywetgeving uitgeoefend door de Autoriteit Persoonsgegevens (AP). De AP controleert met name of ondernemingen hun documentatie goed op orde hebben. Dat betekent dat zij bijvoorbeeld controleert of er juist beleid is en of de digitale systemen op een juiste wijze zijn ingericht. Als de AP een overtreding van de AVG constateert kan zij handhavend optreden, onder meer door het opleggen van een last onder dwangsom en/of een forse boete.
Onze advocaten Privacyrecht
De privacyspecialisten van Nysingh hebben veel ervaring met het opstellen van privacybeleid en privacystatements. Daarnaast helpen we ondernemingen onder meer bij het uitonderhandelen en opstellen van verwerkersovereenkomsten en adviseren we onder meer over (het melden van) datalekken, inzageverzoeken en het uitwisselen van persoonsgegevens, al dan niet in internationaal verband.
Neem voor advies gerust vrijblijvend contact op met een van onze specialisten. Wij helpen u graag.