Opsomming

  • Algemene Verordening Gegevensbescherming (AVG)
  • Uitvoeringswet AVG
  • Verwerkersovereenkomsten
  • Datalekken
  • Privacyverklaringen
  • Verwerkingenregisters
  • Privacy by default en by design
  • Kwalificatie rol verwerkingsverantwoordelijke / verwerker
  • Verzoeken van betrokkenen
  • Telecommunicatiewet
  • E-Privacy-verordening (ePV)
  • Cookies, cookieverklaringen en cookiewalls
  • Elektronische communicatie (direct marketing en nieuwsbrieven)
  • Handhaving en procedures

Op het wereldwijde web, in elke organisatie, in ieder project, u kunt het zo gek niet bedenken of er worden persoonsgegevens verwerkt. In het huidige tijdsgewricht biedt het verzamelen van informatie over personen voor veel organisaties veel kansen. Aan de hand van die informatie kan het aanbod worden afgestemd. Koppeling van diverse databases kan daarnaast een hele hoop nieuwe - interessante - informatie opleveren.

De privacy-wetgeving is echter veel eerder van toepassing dan menigeen denkt. Ieder gegeven dat herleidbaar is tot een natuurlijke persoon is een persoonsgegeven en daarop is in Nederland de Europese Algemene Verordening Gegevensbescherming (AVG - ook wel de GDPR genoemd) en de Uitvoeringswet AVG van toepassing. De AVG verving op 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp). Daarnaast komt de Telecommunicatiewet - en het voorstel voor een Europese e-Privacy Verordening (ePV) - vaak om de hoek kijken met regels over onder meer het gebruik van cookies en elektronische communicatie.

Om de hausse van informatieverwerkingen ordentelijk en in het belang van betrokkenen - degenen van wie de gegevens worden verwerkt - te laten verlopen biedt de wet- en regelgeving veel beperkingen, restricties en waarborgen. Wat mag u wel en wat mag u niet verwerken? Wat moet u daarvoor doen? Moet u betrokkenen van tevoren inlichten over de verwerking? Hoe doet u dat? Mag u persoonsgegevens buiten Nederland brengen? En buiten de EU? Wat als u een deel van de verwerking uitbesteed aan een derde partij, bijvoorbeeld een hostingleverancier? Onder welke voorwaarden mag u cookies inzetten of gebruik maken van elektronische communicatie voor direct marketingdoeleinden of het versturen van nieuwsbrieven? Is een cookiewall toegestaan?

Elferink & Kortier Advocaten heeft jarenlange ervaring in het adviseren op het gebied van privacy en (tele)communicatie. Onder meer ICT-dienstverleners, app-bouwers, woningbouwcorporaties, gemeenten, andere overheidsinstanties, archiefinstellingen en scholenstichtingen behoren tot onze klanten en ook met de accountancy- en administratiebranche hebben wij veel ervaring. Daarnaast adviseren wij regelmatig over de reikwijdte van privacy op de werkvloer. Wat zijn de (on)mogelijkheden voor een werkgever en welke rechten heeft de werknemer?

Wij helpen u graag bij de beantwoording van uw vragen! Zo blijkt in de praktijk bijvoorbeeld het onderscheid tussen het zijn van 'verwerkingsverantwoordelijke' of van 'verwerker' (in de zin van de AVG) een lastige. Welke rol vervult uw organisatie? Elferink & Kortier Advocaten heeft voor diverse organisaties en brancheverenigingen uitgebreid onderzoek gedaan naar dit kwalificatievraagstuk. Daarnaast kunt u bij ons terecht voor het opstellen en redigeren van diverse privacy-gerelateerde overeenkomsten en documenten, waaronder verwerkersovereenkomsten en privacy- en cookieverklaringen.

De wetgeving vereist dat de verwerkingsverantwoordelijke voor de persoonsgegevensverwerking passende technische en organisatorische maatregelen treft om onder meer verlies of onrechtmatige verwerking van persoonsgegevens te voorkomen. Elferink & Kortier Advocaten werkt nauw samen met partijen uit andere disciplines om er gezamenlijk zorg voor te dragen dat uw organisatie compliant is met de geldende wet- en regelgeving; zowel op organisatorisch, technisch als juridisch vlak.

(Privaatrechtelijke) handhaving

En wat als u als verwerkingsverantwoordelijke de zaakjes toch niet goed op orde blijkt te hebben? In sommige gevallen kan de Autoriteit Persoonsgegevens handhavend op treden door u bijvoorbeeld een boete of een last onder dwangsom op te leggen. Daarnaast kunt u ook rechtstreeks aansprakelijk zijn jegens de betrokkenen (degenen van wie de persoonsgegevens worden verwerkt). De eerste privaatrechtelijke veroordelingen in dat kader hebben inmiddels plaatsgevonden. Elferink & Kortier Advocaten staat in dergelijke gevallen zowel verwerkingsverantwoordelijken, verwerkers als betrokkenen bij. Zo nodig procederen wij daarbij voor u.

Strippenkaart en tarieven

Heeft u regelmatig vragen over persoonsgegevens? Neem dan een strippenkaart-abonnement op onze privacy-helpdesk. U krijgt snel en pragmatisch antwoord tegen gereduceerde tarieven. Daarnaast bestaat de mogelijkheid om voor veelvoorkomend privacyadvies speciale tariefafspraken te maken.

Help! Mijn organisatie is gehackt en er zijn persoonsgegevens gestolen.

Privacy

Ik ben verantwoordelijke en ik krijg een claim van een betrokkene. Wat te doen?

Onder de AVG kunt u aansprakelijk zijn voor schade die bijvoorbeeld een betrokkene heeft geleden omdat u verplichtingen uit de AVG niet bent nagekomen. Ook de Autoriteit Persoonsgegevens kan handhavend optreden en u bijvoorbeeld een boete of een last onder dwangsom opleggen. Voor de omvang van die aansprakelijkheid dient gekeken te worden naar de kaders die de wet daarvoor biedt. Daarnaast zijn de boetebedragen die de Autoriteit Persoonsgegevens hanteert uitgewerkt in zogenaamde boetebeleidsregels. Elferink & Kortier kent de kaders en kan u bijstaan bij de vraag óf u aansprakelijk bent en zo ja, in welke mate. Waar nodig procederen wij voor u.

Mijn medewerker heeft gevoelige persoonsgegevens verstuurd naar een derde. Is dat erg?

Of het erg is hangt van de omstandigheden af. Nu het gevoelige gegevens betreft is het goed mogelijk dat het een ernstig datalek betreft. U moet dan snel handelen. Wanneer zich een 'datalek' voordoet waarbij persoonsgegevens op straat komen te liggen of verloren raken, moet u dat - onder omstandigheden - melden bij de Autoriteit Persoonsgegevens (AP) en soms zelfs bij de betrokkenen. Indien u nalaat te melden kan dat grote gevolgen hebben. De AP kan boetes opleggen. Nu recentelijk de Europese Algemene Verordening Gegevensbescherming (AVG) in werking is getreden zijn die boetes alleen maar hoger geworden. Elferink & Kortier Advocaten kan u behulpzaam zijn bij het vaststellen van een datalek én het antwoord op de vraag of u moet melden.

Mijn klantenbestand staat in de cloud. Moet ik iets regelen?

In een dergelijk geval bent u wettelijk verplicht om een verwerkersovereenkomst met deze derde partij - de verwerker - te sluiten. Daarin regelt u onder andere de verplichtingen over en weer, de mate van beveiliging en toegang tot de gegevens. Tevens maakt u afspraken over aansprakelijkheid; bijvoorbeeld voor het geval zich datalekken voordoen. Bovendien stelt de AVG allerlei eisen aan de inhoud van verwerkersovereenkomsten. Elferink & Kortier Advocaten heeft jarenlange ervaring met het opstellen van verwerkersovereenkomsten. Wij staan uiteraard niet alleen verwerkingsverantwoordelijken bij. Ook verwerkers zijn immers gebaat bij goede - evenwichtige - afspraken.

Aansprakelijkheid beperkt in de verwerkers-overeenkomst, maar toch een hogere claim. Hoe zit dat?

Verwerkingsverantwoordelijken en verwerkers maken vaak specifieke afspraken met betrekking tot hun aansprakelijkheid in een verwerkersovereenkomst. De AVG kent echter dwingendrechtelijke aansprakelijkheidsregels ten aanzien van inbreuken op de AVG. Van deze regeling kan contractueel niet worden afgeweken. Betrokkenen hebben bijvoorbeeld recht op een volledige en daadwerkelijke schadevergoeding. Daarvoor kunnen zij zowel de verwerkingsverantwoordelijke als de verwerker aanspreken; beiden kunnen dan worden aangesproken tot vergoeding van de gehele schade. Zij hebben dan onderling een mogelijkheid om (een deel van) de schade op elkaar te verhalen. Maar wat als de schade van betrokkenen hoger is dan het bedrag waarvoor u volgens uw aansprakelijkheidsbeperking in de verwerkersovereenkomst aansprakelijk bent? Gaat deze aansprakelijkheidsbeperking dan wel altijd op? Kunt u die (gehele) schade verhalen op de andere partij? Elferink & Kortier Advocaten kan u adviseren over de haken en ogen aan een aansprakelijkheidsbeperking/regeling in het licht van de AVG. Wij kunnen u eveneens ondersteunen bij het opstellen van een gedegen aansprakelijkheidsregeling in uw verwerkersovereenkomst.