Privacy en Gegevensbescherming
Privacy en Gegevensbescherming
AVG
Privacy is een grondrecht en stelt zowel particulieren als ondernemingen in staat om regie te houden over hun gegevens. Door de toename van Europese en de nationale wet- en regelgeving en de strenge controles op naleving daarvan door de toezichthouders, kunnen ook de technology ondernemingen en instellingen tegenwoordig nauwelijks om privacy recht heen. Het bekendste voorbeeld van wet- en regelgeving waaraan ook iedere technology onderneming of instelling dient te voldoen is de Algemene Verordening Gegevensbescherming (AVG). De AVG heeft binnen gehele Europese Unie werking. In Nederland zijn aanvullende regels neergelegd in de Uitvoeringswet AVG (UAVG). De kern van de AVG en de UAVG is gelegen in het feit dat iedere onderneming dan wel instelling die persoonsgegevens verwerkt, zorgvuldig en transparant met die persoonsgegevens dient om te gaan.
Het AVG-proof maken van uw technology onderneming is weliswaar van groot belang, maar juridisch complex. Of het nu gaat om klantgegevens, gegevens van personeel of gegevens van derden, de AVG stelt strenge eisen met betrekking tot de verwerking van persoonsgegevens en versterkt bovendien de rechten van personen van wie gegevens verwerkt worden. De advocaten van Law & More zijn op de hoogte van alle ontwikkelingen met betrekking tot het (steeds veranderende) privacy recht. Onze advocaten verdiepen zich in de manier waarop u met persoonsgegevens omgaat en brengen uw interne processen en gegevensverwerking in kaart. Op deze wijzen helpt Law & More u graag om uw technology organisatie AVG-proof te maken en te houden.
Verwerken van Persoonsgegevens
Verwerking van persoonsgegevens mag enkel plaatsvinden in overeenstemming met deze wettelijke regels. Gevoelige persoonsgegevens, zoals gegevens over iemands religie, politieke voorkeur, seksuele geaardheid en ras mogen bovendien enkel worden verwerkt indien daar een uitdrukkelijke wettelijke grondslag voor aanwezig is.
Enkele centrale verplichtingen op basis van de AVG:
Formulering Van Het Doel Van De Verwerking Van De Persoonsgegevens
Geen Verdere Verwerking Die Onverenigbaar Is Met Het Doel Waarvoor De Gegevens Zijn Verkregen
Geen Verwerking Van Bijzondere Persoonsgegevens, Tenzij Daar Een Wettelijke Uitzondering Voor Is
Rechtvaardigingsgrond Voor De Verwerking, Zoals Ondubbelzinnige Toestemming Of Uitvoering Van Een Overeenkomst
Beveiliging En Meldplicht Datalekken
Informatieverstrekking Aan De Betrokkene
Rechten Van De Betrokkene, Waaronder Recht Op Inzage, Correctie En Verzet
Doorgifte Naar Andere Landen
Het niet-naleven van de AVG kan verschillende gevolgen hebben zoals handhavingsacties door de Autoriteit Persoonsgegevens, waaronder het opleggen van forse boetes, of aansprakelijkheid tegenover de betrokkenen. Wilt u dat te voorkomen? Of heeft u al te maken met de AP? Neem dan contact op met Law & More. Onze deskundige advocaten voorzien u graag van juridisch advies.
Datalekken en Beveiliging
De AVG stelt organisaties verplicht om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Er is sprake van een datalek wanneer er een inbreuk is op deze beveiliging, die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Fikse boetes kunnen het gevolg zijn op het niet (tijdig) melden van een datalek. De boete kan oplopen tot maar liefst 20 miljoen euro of in extreme gevallen zelfs tot 4% van de jaaromzet. Daarnaast kan het melden van een datalek voor onrust zorgen onder uw klanten, leveranciers en werknemers. Dit kan leiden tot reputatieschade.
Is de meldplicht datalekken op uw organisatie van toepassing, maar overtreedt u de regels? Dan kan Autoriteit Persoonsgegevens bestuurlijke boetes opleggen. Heeft uw organisatie de overtreding niet opzettelijk gepleegd én is er geen sprake van een ernstig verwijtbare nalatigheid, dan zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing moeten opleggen voordat ze eventueel een boete oplegt. Bovendien moet de Autoriteit Persoonsgegevens rekening houden met alle omstandigheden van het geval. Denk daarbij bijvoorbeeld aan de omstandigheid dat de gegevens niet door derden zijn ingezien. Gezien het risico op boetes is het aan te raden om met partijen die voor uw organisatie persoonsgegevens verwerken (zogenaamde verwerkers) afspraken te maken over de te nemen beveiligingsmaatregelen. Die afspraken kunnen worden neergelegd in een verwerkersovereenkomst. Het is daarbij ook aan te raden om afspraken te maken over de verantwoordelijkheid voor (het in staat stellen tot) nakoming van de meldplicht datalekken.
Weloverwogen en voorbereid handelen is bij ieder datalek noodzakelijk. Als uw advocaten kunnen wij u voorzien van benodigde tools en u bij staan waar nodig.
Internationale Doorgifte
De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag daarom alleen als een land voldoende bescherming biedt. Voor doorgifte van gegevens naar een land binnen de Europese Unie (EU) gelden andere regels dan voor doorgifte naar een land buiten de EU. Binnen de EU is het niveau van gegevensbescherming gelijk.
Dat komt omdat alle EU-lidstaten zich moeten houden aan de Algemene verordening gegevensbescherming (AVG). Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EU, zogeheten derde landen, gelden aparte regels. De hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau. Doorgifte naar landen buiten de EU is alleen rechtmatig als daarvoor de juiste waarborgen zijn getroffen, zoals het afsluiten van EU Standard Contractual Clauses, Binding Corporate Rules en het in de Verenigde Staten geïntroduceerde Privacy Shield.
Wij adviseren u graag bij het maken van afspraken en vastleggen daarvan met partijen met wie u persoonsgegevens deelt. Uiteraard kunnen wij ook contractteksten voor u opstellen, beoordelen of aanpassen en desgewenst de onderhandelingen voor u voeren.
Procederen
Bij voorkeur worden wij in een vroeg stadium bij een (dreigend) geschil betrokken bij de communicatie tussen partijen. Wij kunnen dan bijdragen aan een oplossing waarin beide partijen zich kunnen vinden, zodat een gerechtelijke procedure mogelijk voorkomen kan worden.
Wanneer er geen schikking tussen partijen kan worden getroffen en een gerechtelijke procedure onvermijdelijk is, begeleiden wij u daarin vakkundig. Wij stellen in samenspraak met u heldere processtukken op. U kunt daarbij denken aan geschillen over verwerkersovereenkomsten of naleving van andere afspraken rondom de verwerking van persoonsgegevens of het al dan niet voldoen aan verzoeken van betrokkenen. Daarnaast kunnen wij u assisteren bij het instellen van bezwaar en beroep tegen besluiten van de Autoriteit Persoonsgegevens.
Tot slot kunnen wij u ook helpen om hoger beroep in te stellen tegen een vonnis van de rechtbank. Ook als u in eerste aanleg bent bijgestaan door een andere advocaat. Als u twijfelt over een advies of de inhoud van een processtuk dat is opgesteld door uw huidige advocaat, dan kunnen wij u voorzien van een second opinion.