Reinier adviseert nationale en internationale bedrijven
reinier.russell@russell.nl +31 20 301 55 55Het schandaal rond Facebook en Cambridge Analytica heeft privacy extra op de kaart gezet. Eind mei treedt de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), in werking. Wat moet u in elk geval nog regelen?
Privacy is hot. Mark Zuckerberg moest door het stof vanwege Cambridge Analytica dat via Facebook persoonsgegevens vergaarde van 87 miljoen personen. Ook het Haga Ziekenhuis schond de privacy door onvoldoende maatregelen te nemen om te voorkomen dat ongeautoriseerde medewerkers konden grasduinen in de medische gegevens van een bekende Nederlandse. Vanaf 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking, met daarin zware sancties bij overtreding. Russell Advocaten organiseerde op 16 en 17 april 2018 al een seminar over de AVG waarin (potentiële) cliënten werden bijgepraat over de gevolgen van de AVG. Wat betekent de AVG voor u?
De AVG is Europese wetgeving die direct van toepassing is in alle landen van de EU, maar ook daarbuiten. Het Chinese AliBaba moet ook aan de AVG voldoen, omdat het goederen aanbiedt in de EU.
Het doel van de AVG is om individuen meer controle te geven over hun eigen persoonsgegevens. Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon, zoals naam, adres, DNA, kenteken, persoonlijke voorkeuren, etcetera. Bedrijfsgegevens vallen daar niet onder, maar het 06-nummer van een contactpersoon weer wel.
Dagelijks delen individuen persoonsgegevens met organisaties. Dat gebeurt bewust (bijvoorbeeld als u iets online bestelt of lid wordt van een vereniging) en onbewust (bijvoorbeeld door beveiligingscamera’s). De AVG is daarop van toepassing, tenzij een natuurlijke persoon persoonsgegevens verwerkt voor uitsluitend niet-zakelijke privédoeleinden. De huiselijke verjaardagskalender valt dus niet onder de AVG.
De AVG verplicht organisaties om vooraf inzichtelijk te maken welke persoonsgegevens zij nodig hebben, voor welk doel, met wie zij die persoonsgegevens eventueel deelt en hoelang de persoonsgegevens worden bewaard. Dat kan door middel van een privacyverklaring of privacy statement op de website van de organisatie.
Een dergelijke verklaring dient personen te informeren over de wijze van verwerking van persoonsgegevens – opslag, wijziging, delen, etc. – zodat zij weten wat er met hun gegevens gebeurt en – waar nodig – geïnformeerd toestemming kunnen geven voor die verwerkingen. Verwerking van persoonsgegevens is namelijk uitsluitend toegestaan als het individu daarvoor expliciet toestemming heeft gegeven of dat noodzakelijk is voor:
Ook moet worden aangegeven of gegevens worden gedeeld met derden. Met deze derden moet een verwerkersovereenkomst worden gesloten. Deze verplichting geldt niet alleen voor bijvoorbeeld het beschikbaar stellen van adresgegevens aan PostNL, zodat PostNL de bestelling op het juiste adres kan afleveren, maar ook wanneer uw salarisadministratie uitbesteedt en zo persoonsgegevens van uw werknemers deelt. In de verwerkersovereenkomst wordt ook vastgelegd dat die gegevens niet mogen worden gebruikt voor andere doeleinden.
Verder dient de privacyverklaring de rechten van personen te bevatten en de wijze waarop zij van deze rechten gebruik kunnen maken. Dit betreft de rechten op:
De AVG betekent een flinke administratieve last voor bedrijven en organisaties. Zij zullen in hun processen moeten nagaan over welke persoonsgegevens zij (moeten) beschikken en of daarvoor (nog) een toereikende juridische grondslag bestaat. Is die grondslag of noodzaak er niet, dan zal de organisatie alsnog toestemming moeten vragen aan het individu of de gegevens moeten verwijderen.
Er komt niet alleen meer administratie, maar bedrijven moeten zich ook verantwoorden over het gebruik dat zij maken van persoonsgegevens. Tegenover personen die contact hebben met de organisatie – bijvoorbeeld klanten en leveranciers – kan dit door middel van een privacyverklaring of privacy statement. Omdat de boetes bij overtreding van de AVG zeer hoog kunnen zijn, moet een dergelijke verklaring juridisch goed in elkaar zitten.
Wilt u dat wij een privacyverklaring voor u opstellen of controleren? Of heeft u andere vragen over de AVG en over wat u als organisatie moet doen om ‘AVG-proof’ te worden? Neem dan contact met ons op:
Eind deze week, op 25 mei 2018, treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Die heeft niet alleen gevolgen voor uw website of webwinkel, maar ook voor uw personeelsadministratie. Is die al klaar voor de AVG?
In deze nieuwsbrief zet Russell Advocaten voor u kort op een rij wat de belangrijkste verwachte wijzigingen in de Europese privacywetgeving zijn. Meer gedetailleerde informatie vindt u in onze reeks nieuwsbrieven over dit onderwerp.
Werknemers hebben recht op privacy in hun privéleven. Dat geldt ook voor zieke werknemers. Zij moeten zich echter ook aan hun re-integratieverplichtingen houden en juiste informatie geven over hun ziekte. Welke mogelijkheden heeft de werkgever om te controleren of zij dit ook echt doen.
Werknemers die alcohol en drugs gebruiken tijdens het werk of die onder invloed aan het werk willen gaan, het blijft een probleem voor werkgevers. Welke maatregelen kunt u daartegen nemen? Mag u een werknemer testen als u vermoedt dat deze onder invloed is?
Een earn-out bij een bedrijfsovername biedt kansen en risico’s. De voormalige directeur-grootaandeelhouder (DGA) blijft betrokken bij de onderneming en een deel van de koopprijs blijft afhankelijk van toekomstige prestaties. Welke aspecten zijn hierbij van belang?
Veel bedrijven hebben geen ondernemingsraad, terwijl dat wel zou moeten. Wanneer is het instellen daarvan verplicht? Welke voordelen heeft een OR? Wat zijn de gevolgen als uw bedrijf geen ondernemingsraad heeft?
