Filter op

Meldplicht datalekken en de Uber-uitspraak: consequenties voor verwerkers

Op 6 november 2018 heeft de Autoriteit Persoonsgegevens (AP) aan Uber een boete opgelegd van € 600.000,– voor het te laat melden van een datalek. Weliswaar is deze boete opgelegd op basis van de oude Wet bescherming persoonsgegevens (Wbp), maar de conclusies zouden niet wezenlijk anders zijn onder de Avg. Met name de conclusie van de AP dat Uber Technologies Inc. in de VS geen verwerker kan zijn voor Uber BV in Nederland is opmerkelijk.

Avg special: workshop ‘De verwerkersovereenkomst: praktijk en punten van onderhandeling’

28 mrt

Is je verwerkersovereenkomst nog niet Avg-proof? Krijg je talloze verwerkersovereenkomsten van klanten en weet je niet hoe je daarmee om moet gaan? Loop je aan tegen eisen van klanten waar je niet goed aan kunt voldoen of twijfel je of je eigen verwerkersovereenkomst aan de Avg voldoet? Kom dan naar deze praktische workshop over de verwerkersovereenkomst!

Einde overeenkomst, en nu?

Op partijen rust de verplichting onder de Avg om afspraken te maken over het wissen en/of retourneren van de persoonsgegevens na afloop van de overeenkomst. De bedoeling hiervan is dat de verwerkingsverantwoordelijke en de verwerker praktische afspraken maken over het moment waarop persoonsgegevens bij einde overeenkomst gewist of terugbezorgd worden, de wijze waarop dit zal gebeuren en door wie en welke vergoeding hiertegenover staat.

Let op: Nieuwe algemene voorwaarden Rijk bevatten onbeperkte aansprakelijkheid voor privacy

Zaken doen met de overheid? Let dan goed op dat zij in de nieuwe versie van hun standaard algemene voorwaarden volledige aansprakelijkheid bij de leverancier leggen. Als leverancier moet je nu garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen. Dat is een disproportionele eis! We raden leden aan hier op te letten en bij een aanbesteding kritische vragen te stellen over deze clausules.

Opinie: Nieuwe ePrivacy-verordening zal opnieuw vooral het mkb raken

Sinds 25 mei is de Avg van kracht. Vier maanden later is het stof van deze nieuwe Europese privacyregels nog nauwelijks neergedaald. Ondertussen is er in Brussel alweer een aanvullende wet in de maak: de ePrivacy-verordening. Net als de Avg dreigen deze regels het mkb flink te raken. Het kabinet heeft hier vooralsnog geen oog voor en stuurt aan op meer snelheid in Brussel, in plaats van zorgvuldigheid en oog voor de gevolgen voor het mkb.

Neutrale inzetbaarheid maakt Standaard Verwerkersovereenkomst van Nederland ICT bijzonder

Met de komst van de Avg ben je als verwerker verplicht om méér vast te leggen over de omgang met persoonsgegevens dan onder de oude privacywet (Wbp) het geval was. Deze wetsaanpassing vraagt om een aangepaste verwerkersovereenkomst. In de praktijk blijkt dat veel verwerkingsverantwoordelijken dit als kans aangrijpen om eenzijdig alle risico’s naar de verwerker te verleggen. Nederland ICT heeft juist een neutrale standaard geïntroduceerd die bruikbaar is zowel richting klant als richting subverwerker.

Verwerken op basis van toestemming personeel in arbeidsrelatie werknemer-werkgever & de Avg

Net als bij de Wbp bestaan er onder de Avg verschillende grondslagen voor verwerking. Zo kun je bijvoorbeeld verwerken op grond van een ‘wettelijke plicht’, ‘toestemming’ of een ‘gerechtvaardigd belang’. Maak je gebruik van toestemming? Dan moet de toestemming onder de Avg: specifiek, vrij, op informatie berustend en ondubbelzinnig worden gegeven.

De Avg uitgelegd deel 11: voorbeeld privacy statement

Organisaties die persoonsgegevens verwerken moeten op basis van de Avg de personen van wie zij persoonsgegevens verwerken (betrokkenen) hierover informeren. Dit gebeurt in de praktijk vaak door middel van een zogenoemd ‘privacy statement’: een verklaring van de verwerkingsverantwoordelijke aan de betrokkene. Nederland ICT heeft een voorbeeld privacy statement opgesteld.

Autoriteit Persoonsgegevens ziet toch uitzondering registerplicht voor mkb 

In de Avg (GDPR) staat dat alle bedrijven die persoonsgegevens verwerken daar een register van moeten bijhouden. Dat levert een flinke administratieve last op. De Avg bevat echter ook een uitzondering op deze registerplicht voor bedrijven met minder dan 250 werknemers. De meningen over de precieze interpretatie van de wettekst lopen echter uiteen. Een recente uitspraak van Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, lijkt nu toch de weg vrij te maken voor een brede uitzondering.

Analyse: wat valt op bij de Nederlandse invulling van de Avg?

De Algemene Verordening Gegevensbescherming (Avg) trad al in 2016 in werking. Vanaf 25 mei 2018 is hij ook daadwerkelijk van toepassing. In de tussenliggende twee jaar moeten niet alleen bedrijven zorgen dat ze hun zaken op orde hebben, ook onze wetgever moet aan de bak. Deze week werd de zogenaamde ‘uitvoeringswet Avg’ (uAvg) aangenomen door de Tweede Kamer. Een formaliteit? Niet helemaal. In de uAvg zit een aantal punten die het vermelden waard zijn.

Minister Dekker schuift aanpassingen Avg op de lange baan

Bedrijven zijn op dit moment hard bezig om per 25 mei te voldoen aan Avg (GDPR). Maar ook het kabinet moet aan de bak. De Europese regels moeten namelijk nog vastgelegd worden in de Nederlandse wet. Onlangs bleek echter dat minister Dekker in tijdnood komt en voorstelt een aantal vernieuwingen op de lange baan te schuiven. En dat betekent dat bedrijven mogelijk ook na 25 mei nog te maken kunnen krijgen met aanpassingen in de wetgeving.

Nieuwe quickscan: Ben je verwerker?

Nu de ingangsdatum van de Avg (GDPR) nadert, wordt onze helpdesk Avg steeds vaker gevonden door bedrijven met vragen over de nieuwe privacywet. Een belangrijke afweging daarbij is welke wettelijke rol je als ICT-bedrijf hebt: ben je alleen ‘verantwoordelijke’, of ook ‘verwerker’? Het blijkt dat dit voor veel bedrijven nog onduidelijk is. Onze nieuwe quickscan biedt dan uitkomst.

Wetsvoorstel Uitvoeringswet Avg (UAvg) naar Tweede Kamer

Er is geen Nederlandse wet nodig om de Avg in Nederland te laten gelden. De Avg werkt in Nederland rechtstreeks vanaf 25 mei 2018. Wel zijn er een aantal punten waarop landen de vrijheid hebben de Avg nader in te vullen of de uitvoering praktisch te regelen. In Nederland komt er daarom een Uitvoeringswet Avg (UAvg). Een wetsvoorstel daartoe is in de kerstvakantie ingediend bij de Tweede Kamer.