Privacyrecht

Wat is privacyrecht?

Iedere persoon heeft recht op de eerbiediging van zijn persoonlijke levenssfeer, oftewel: recht op privacy. De bescherming daarvan wordt onder andere geregeld in de Algemene Verordening Gegevensbescherming (AVG) en de Nederlandse Uitvoeringswet (UAVG).

In de AVG en UAVG zijn regels opgenomen over hoe er door organisaties (privégebruik valt buiten de werkingssfeer van de AVG) met persoonsgegevens moet worden omgegaan. De AVG bepaalt onder andere wat onder de definitie van een ‘persoonsgegeven’ valt en waarborgen die een organisatie moet treffen bij het verwerken van deze persoonsgegevens. Let wel, bijna iedere organisatie verwerkt persoonsgegevens. Denk bijvoorbeeld aan een personeelsdossier of salarisadministratie. Het is dan ook van belang dat u weet aan welke AVG-verplichtingen uw organisatie moet voldoen.

Regels voor verwerking van persoonsgegevens

In de AVG zijn verschillende beginselen vastgelegd waar de organisatie die persoonsgegevens verwerkt, de zogenoemde ‘verwerkingsverantwoordelijke’, aan moet voldoen. Zo mogen persoonsgegevens alleen worden verwerkt op een manier die rechtmatig, behoorlijk en transparant is, voor doeleinden die uitdrukkelijk omschreven en gerechtvaardigd zijn. Organisaties moeten de verzameling van persoonsgegevens daarbij beperken tot het hoogstnoodzakelijke en de persoonsgegevens verwijderen zodra deze niet meer nodig zijn voor de doeleinden waarvoor ze zijn verzameld. Ook moeten er maatregelen worden getroffen de juistheid van de persoonsgegevens te waarborgen en om de persoonsgegevens afdoende te beschermen.

Naast deze algemene beginselen geeft de AVG ook nadere regels voor de verwerking van bijzondere (zoals medische of religieuze) persoonsgegevens. Tevens is bepaald welke informatie de verwerkingsverantwoordelijke moet verstrekken aan de personen van wie persoonsgegevens worden verzameld. Deze personen hebben op basis van de AVG verschillende rechten die zij kunnen uitoefenen, waar de verwerkingsverantwoordelijke aan mee moet werken. De AVG bevat tevens een meldplicht in geval van een datalek, zowel een plicht tot melding aan de Autoriteit Persoonsgegevens als aan de betrokkenen.

Verantwoordingsplicht

De AVG legt aan organisaties die persoonsgegevens verwerken de verplichting op om aan te kunnen tonen dat aan de vereisten van de AVG wordt voldaan. Organisaties zullen een aantal maatregelen moeten treffen en documenteren om aan deze verantwoordingsplicht te kunnen voldoen.

Denk hierbij aan:

  • een privacy- en cookieverklaring;
  • een (intern) privacyreglement;
  • een datalekkenprotocol en datalekkenregister;
  • het opstellen en bijhouden van een verwerkingsregister;
  • het treffen van passende organisatorische en technische maatregelen om de persoonsgegevens afdoende te beschermen;
  • beoordelen of er verwerkingsovereenkomsten dienen te worden gesloten;
  • beoordelen of een Functionaris voor de Gegevensbescherming (FG) dient te worden aangesteld.
In de praktijk

Onze advocaten hebben ervaring met (het bieden van ondersteuning bij het) het implementeren van de (U)AVG en het opstellen van bovengenoemde documenten. Daarnaast helpen zij bedrijven om te gaan met datalekken en de communicatie met de Autoriteit Persoonsgegevens.

Heeft u vragen? Neem contact op met Tom Oerlemans of Frédérique Kuiper.

BG.legal is partner van Legal AIR.

Our specialists

Kim Albert
Jos van der Wijst
Marc Heuvelmans
Mathilde Becking
Liedeke Floris
Daan Schalken
Edith de Koning-Witte
Dirk School
Lisan Vermeer
Rutger Boogers
Rik Wevers
Michael de Marco
Tom Oerlemans
Moos Hovens
Miriam van Ruijven
Hester van den Broek
Frédérique Kuiper
Marlies Hol