Privacyrecht

Privacy-recht gaat over uw organisatie en haar persoonsgegevens of data. De kans is vrij groot dat u als organisatie werkt met persoonsgegevens. Van bijvoorbeeld medewerkers, partners, klanten, leveranciers of bezoekers. Dan krijgt u te maken steeds meer ingewikkelde privacyregels. Van de Algemene Verordening Gegevensbescherming (de AVG), de Uitvoeringswet AVG, sectorale privacywetgeving, maar ook in algemenere datawetgeving zoals de Europese Data Act en de Data Governance Act. 

Veel organisaties worstelen met vragen als: ‘Wat mag ik registreren’ en ‘Wanneer is iets een datalek?’. Of 'heb ik alles goed op orde of ligt een boete op de loer?'. Vragen en aspecten die u voor uw organisatie goed geregeld wilt hebben. Want privacyrecht is belangrijk en actueel. 

Privacy

Wat is privacyrecht?

Privacyrecht is het rechtsgebied dat gaat over de bescherming van de persoonsgegevens. Het bepaalt hoe uw organisatie persoonsgegevens mag verzamelen, gebruiken, delen en bewaren.  

Persoonsgegevens
Het begrip ‘persoonsgegevens’ is inherent verbonden aan het privacyrecht. De welbekende AVG (Algemene Verordening Gegevensbescherming) geeft in artikel 4 de definitie van persoonsgegevens:

‘Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’.
Hieronder valt ook informatie die indirect tot een individu te herleiden is. Voorbeelden van persoonsgegevens zijn naam, adres, etnische achtergrond, IP-adres en vakbondslidmaatschap.

Wanneer is er sprake van verwerking van persoonsgegevens?

Wanneer uw organisatie persoonsgegevens verwerkt, moet er worden voldaan aan de regels van de AVG. Uw organisatie is persoonsgegevens aan het verwerken, zodra het iets doet met de persoonsgegevens. En dat begrip is breed. 

Bij het verwerken van persoonsgegevens zijn er verschillende rollen te onderscheiden. De belangrijkste zijn ‘verwerkingsverantwoordelijke’, ‘verwerker’ en ‘betrokkene’. 

Lees hier meer over wat deze rollen betekenen, welke rechten en plichten hierbij horen, en welke rol uw organisatie vervult.

Welke wetgeving hoort bij het privacyrecht?

De Europese regels over data worden steeds strenger en er komen steeds meer. Om er een paar op te noemen: 

  • de e-Privacy Verordening (ePV) - met regels over cookies en elektronische communicatie;
  • de AI-act - over de regulering van AI;
  • de AVG - de basis van de Europese privacybescherming;
  • de UAVG (Uitvoeringswet AVG) - de Nederlandse aanvulling op de AVG;
  • de Data Act en de Data Governance Act - met nieuwe eisen aan hoe uw organisatie met data moet omgaan.

Daar komt nog bij dat data nooit op zichzelf staat. U verwerkt het via ICT-systemen, vaak met kunstmatige intelligentie. Daardoor krijgt u te maken met een heel pakket aan wetten: de AVG, de AI-Act, maar ook het contractenrecht en het intellectueel eigendomsrecht.

We helpen organisaties die met data werken om overzicht te houden. We leggen uit wat de verschillende wetten en regels inhouden, welke voor u gelden, waar risico’s liggen, en hoe u praktisch aan de wet kunt voldoen. Zo voorkomt u verrassingen en houdt u ruimte om te ondernemen.

Wanneer is er sprake van een schending van de AVG?

Er is sprake van een schending van de AVG als persoonsgegevens worden verwerkt zonder dat dit mag of zonder de juiste beveiliging. Dit kan op veel manieren gebeuren. U kunt daarbij denken aan:

  1. het versturen van persoonsgegevens naar de verkeerde ontvanger;
  2. het opslaan van klantgegevens zonder goede beveiliging;
  3. het delen van klantgegevens zonder goede beveiliging;
  4. het niet melden van een datalek bij de Autoriteit Persoonsgegeven.

Ook als u te veel gegevens verzamelt of ze langer bewaart dan nodig is, kan dat een overtreding zijn. Als organisatie wilt u voorkomen dat persoonsgegevens verkeerd worden verwerkt of gedeeld. Dat begint met kennis van de privacywetgeving en duidelijke interne afspraken. Zorg dat medewerkers weten welke gegevens zij mogen gebruiken, met welk doel en onder welke voorwaarden. Een helder privacybeleid op de werkvloer verkleint de kans op fouten en datalekken aanzienlijk.

Wat kunt u doen als u het privacyrecht heeft geschonden?

Meldplicht bij datalek
Komt u erachter dat er persoonsgegevens zijn gelekt of onterecht zijn verwerkt? Het is dan noodzakelijk dat u in kaart brengt wát er is gebeurd, maatregelen neemt om de schade zoveel mogelijk te beperken en beoordeelt of het om een meldplichtig datalek gaat. Het is belangrijk dat u en uw werknemers in eerste instantie zo'n situatie kunnen herkennen, en vervolgens ook op de hoogte zijn van de stappen die genomen moeten worden .

Het kan goed zijn dat u het datalek moet melden bij de AP en soms zelfs bij de betrokkenen of andere partijen. Om dit vast te stellen, moet er een risicoanalyse worden uitgevoerd.

Heeft u een grotere organisatie, of heeft u veel te maken met persoonsgegevens en het privacyrecht? Dan kan het zijn dat u verplicht een FG (Functionaris Gegevensbescherming) moet aanstellen. Een FG is een onafhankelijke toezichthouden binnen een organisatie die verantwoordelijk is voor naleving van de privacywetgeving. Ze adviseert management en medewerkers, controleert dat persoonsgegevens goed worden beshermd en beoordeelt dataleken.

Sancties van Autoriteit Persoonsgegevens 
Als uw organisatie privacywetgeving overtreedt, kan de Autoriteit Persoonsgegevens, de autoriteit die toezicht houdt op naleving van privacywetgeving, ook handhavend optreden. Er kunnen bijvoorbeeld boetes of een last onder dwangsom worden opgelegd. Hiertegen kunt u bezwaar indienen. Dit moet wel tijdig gebeuren en goed onderbouwd worden. Het is dan verstandig om juridische hulp in te schakelen.

Privaatrechtelijke aansprakelijkheid privacyschending
Daarnaast kunnen betrokkenen die zijn geraakt door de privacyschending u ook rechtstreeks aanspreken. Dit kunnen bijvoorbeeld de slachtoffers zijn van een datalek. De eerste privaatrechtelijke veroordelingen in dat kader hebben inmiddels plaatsgevonden. Ook hierbij is het verstandig om juridische hulp te zoeken.

Een schending van het privacyrecht kan leiden tot boetes, reputatieschade en aansprakelijkheid. Wat de situatie ook is: het is belangrijk om tijdig en zorgvuldig op te treden.

Juridische hulp bij privacyrecht

Heeft u te maken met privacygeschil of datalek:
- u bent geraakt door een cyberaanval, 
- een medewerker heeft per ongeluk persoonsgegevens gedeeld, 
- u bent het oneens met een sanctie van de AP.

Onze privacyrechtexperts helpen u om uw juridische positie te versterken. Of u nu wordt beschuldigd van een privacyschending of juist slachtoffer bent van een overtreding. Wij hebben ruime ervaring met bezwaarprocedures, handhavingszaken en hoger beroep bij de afdeling bestuursrechtspraak van de Raad van State. Daarbij staan wij zowel verwerkingsverantwoordelijken, verwerkers als betrokkenen bij.

We helpen u ook bij het op de hoogte zijn en blijven van de relevante privacywetgeving. Wij bieden praktische privacycursussen aan, afgestemd op uw situatie en behoeften. Zo weet iedereen binnen uw organisatie wat wel en niet mag. Heeft u vragen over privacyrecht of behoefte aan direct advies? Neem contact met ons op via de onderstaande knop, of lees hieronder meer over relevante onderwerpen binnen het privacyrecht. 
 

Waarmee mogen wij uw organisatie helpen?

Wilt u zeker weten dat uw organisatie juridisch stevig staat in een steeds digitaler speelveld? Wij helpen u graag verder. Vul dit formulier in met uw vraagstuk en we nemen na een analyse contact met u op voor de vervolgstappen. 

  • Bedrijfsgegevens
  • Contactpersoon
  • Vraagstuk

Velden met een * zijn verplicht.

Lees de meest recente artikelen over privacyrecht

Ryoji iwata X53e51 Wfjl E unsplash
Ken uw rol in de privacy-keten! Verwerkingsverantwoordelijke of verwerker?
U ontvangt van een andere organisatie persoonsgegevens. Bent u dan automatisch verwerker voor die organisatie? Moet u dan een verwerkersovereenkomst aangaan? Niet altijd. Het ontvangen van persoonsgegevens van een ander betekent niet gelijk dat u verwerker bent. U kunt heel goed zelf verwerkingsverantwoordelijke zijn. In welke situaties bent u dan wel verwerker? In de praktijk zien wij vaak dat deze kwalificatie niet goed gaat, met alle gevolgen van dien. Tijd om daarover duidelijkheid te scheppen. Immers, de toezichthouder is reeds druk doende met handhaving.
Privacy / Contractenrecht
Sfeer 2
Uitgebreide informatieplicht voor verwerker bij datalek! Uitgebreide informatieplicht voor verwerker bij datalek!
In een verwerkersovereenkomst worden normaliter afspraken gemaakt omtrent de verwerking van persoonsgegevens voor verwerkingsverantwoordelijken door de verwerker. In de verwerkersovereenkomst staan onder andere afspraken over het beheer en de bescherming van persoonsgegevens. Wat nu als de verwerker wordt getroffen door een cyberaanval en als gevolg hiervan sprake is van een datalek? Is een verwerker verplicht om de verwerkingsverantwoordelijke hierover te informeren? Deze vraag stond centraal in het onderhavige kort geding. Lees hieronder meer.
Privacy
Verlichting A Vg
EU versoepelt AVG-regels voor middelgrote bedrijven
De Europese Commissie heeft voorgesteld om de administratieve last van het voldoen aan de AVG voor zogenaamde Small Mid cap-ondernemingen (SMC)-ondernemingen te verlagen. Benieuwd of uw onderneming kwalificeert als een SMC’s? En wilt u weten wat deze versoepelingen betreffen? Hieronder zetten wij het voor u op een rij. 
Privacy

Wij plaatsen functionele en analytische cookies. Eventueel kunnen derde partijen tracking cookies plaatsen. U dient daar dan eerst mee akkoord te gaan. Lees meer in onze Privacyverklaring