Spring naar inhoud

Privacyrecht en persoonsgegevens

In de huidige tijd van internet, cloudcomputing en social media is privacy soms ver te zoeken. Dat betekent echter niet dat er geen regels zijn waaraan u zich dient te houden met betrekking tot de persoonsgegevens van anderen. Integendeel: de Wet Bescherming Persoonsgegevens (en vanaf 25 mei 2018 de Europese Privacyverordening) stelt strenge eisen aan het verwerken van persoonsgegevens. Vanaf 1 januari 2016 is daar de meldplicht voor datalekken bijgekomen én een uitgebreide en vergaande boetebevoegdheid voor de Autoriteit Persoonsgegevens.

Kent u alle regels die van toepassing zijn op uw situatie?

Persoonsgegevens mogen bijvoorbeeld alleen worden verwerkt als er een zogenaamde ‘grondslag’ is, zoals toestemming of een noodzaak in verband met het uitvoeren van een overeenkomst. Wie iets bij een webshop koopt moet zijn contactgegevens invoeren. De verkoper mag die gegevens gebruiken voor de afwikkeling van die verkoop. Die gegevens mogen echter niet zonder meer ook voor andere doeleinden gebruikt worden.

Alleen als de verkoper de koper van tevoren heeft geïnformeerd dát en waarvoor hij die gegevens nog meer wil gaan gebruiken en de koper daar toestemming voor heeft gegeven mogen de gegevens ook voor die andere doeleinden gebruikt worden.

Of toestemming stilzwijgend of uitdrukkelijk gegeven moet worden is afhankelijk van het soort gegevens. Gevoelige informatie zoals gezondheidsgegevens vereisen een uitdrukkelijke toestemming.

Verder moet u ervoor zorgen dat de verzamelde persoonsgegevens worden beschermd, door passende technische en organisatorische maatregelen. Als u voor de verwerking van persoonsgegevens gebruik maakt van de diensten van een derde moet u een bewerkersovereenkomst sluiten met deze partij. Denk bijvoorbeeld aan de externe salarisverwerker, uw SAAS-leverancier of de cloud.

Meldplicht

Er zijn twee soorten meldplicht; een algemene meldplicht voor het feit dát u persoonsgegevens verwerkt en een meldplicht voor datalekken.

Op grond van de algemene meldplicht moet u de Autoriteit Persoonsgegevens melden dat en wat voor gegevens u verwerkt. Gelukkig gelden hiervoor wel vrijstellingen ten aanzien van de in vrijwel alle bedrijven gebruikelijke verwerkingen zoals voor de personeelsadministratie, het klantenbestand en het ICT-netwerk. Die vrijstellingen bevatten echter wel weer voorwaarden waaraan voldaan moet worden en waarvan de meeste bedrijven zich niet bewust zijn.

Op grond van de meldplicht datalekken moet u een melding doen aan de Autoriteit Persoonsgegevens en onder omstandigheden ook aan de betrokkenen als er sprake is van een datalek. Een datalek is iedere inbreuk op de beveiliging van persoonsgegevens die leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.

Toepassing van alle regelgeving in een concreet geval vergt een diepgaande kennis van die regels en de toepassing daarvan in de praktijk. PlasBossinade heeft die kennis en staat u graag terzijde.

Advocaat privacyrecht

Bent u op zoek naar een advocaat die gespecialiseerd is in privacyrecht? PlasBossinade heeft advocaten die veel kennis en ervaring hebben in privacyrecht: zij staan klaar om u van dienst te zijn. Neem contact met ons op om te zien wat wij specifiek voor u kunnen betekenen.