Skip to main content

De AVG is alweer ruim vier maanden geleden in werking getreden en dat is niet onopgemerkt gebleven. Organisaties besteden aandacht aan de nieuwe privacyregels en werken hard om ervoor te zorgen dat hun organisatie hieraan voldoet. Het privacybeleid is veelal opgesteld, evenals de benodigde documenten zoals een verwerkingsregister, de privacy statement op de website en de verwerkersovereenkomsten. We merken dat de invoering van de AVG op grote lijnen bekend is bij het personeel op de werkvloer, maar dat er ook nog onduidelijkheid bestaat over de wijze waarop bepaalde zaken in de praktijk aangepakt moeten worden.

Zo zien we dat organisaties een datalekkenprotocol hebben ingevoerd waarin de stappen staan omschreven hoe moet worden gehandeld in het geval van een (mogelijk) datalek, maar bestaat er op de werkvloer onduidelijkheid over de afweging wanneer deze ook aan de AP en/of de betrokkenen dient te worden gemeld. We merken dat er ook wordt gevreesd voor negatieve (interne en externe) consequenties. Deze vrees is in de meeste gevallen onterecht.

Ook het sluiten van verwerkersovereenkomsten leidt in de praktijk tot vragen. Organisaties hebben in kaart gebracht welke contractspartijen als verwerker kwalificeren en met welke partijen zij dus een verwerkersovereenkomst dienen te sluiten. Maar hoe dient te worden omgegaan met de situatie waarin een verwerker met een concept verwerkersovereenkomst komt of er discussie over de inhoud van een verwerkersovereenkomst ontstaat? Gelet op onder andere de verschillende wijzen waarop de aansprakelijkheid tussen partijen kan worden vastgelegd in deze overeenkomst is het van belang om een verwerkersovereenkomst niet zomaar te tekenen. Het is raadzaam de inhoud ervan te laten beoordelen indien hier onduidelijkheid over bestaat.

Voorafgaand aan de inwerkingtreding van de AVG werd in de media vooral aandacht besteed aan de mogelijke hoge boetes. In de praktijk is nu gebleken dat de AP niet alleen hoge boetes oplegt. De AP heeft sinds de inwerkingtreding verschillende controles en onderzoeken uitgevoerd. Zo zijn verschillende ziekenhuizen en zorgverzekeraars gecontroleerd op de verplichting om een functionaris gegevensbescherming (FG) aan te stellen. Bij een steekproef van enkele grote organisaties uit private sectoren is onderzocht of zij een verwerkingsregister bijhouden. Ook heeft de AP uitleg gegeven over de privacyregels en de wijze waarop deze dienen te worden nageleefd, bijvoorbeeld over het onderwerp direct marketing.

Het is van groot belang dat uw organisatie ook voldoet aan de privacyregels. Bewustwording bij het personeel op de werkvloer is hier een belangrijk onderdeel van. Wij zijn u hier graag bij behulpzaam. Naast het geven van advies over de te nemen maatregelen en het beoordelen van verwerkersovereenkomsten kunnen wij ook met u in overleg gaan over de wijze waarop bewustwording op de werkvloer kan worden gecreëerd. Wenst u met ons in gesprek te gaan over de mogelijkheden? Neem dan contact op met één van de advocaten van ons team Privacy.

oktober 2018