Eindejaarstips vanuit het privacyrecht
Geplaatst op: 19 december 2022
2023 is bijna in zicht en hopelijk zal (ook) dat jaar een succesvol jaar zijn voor jou en jouw onderneming. Om het jaar 2023 goed te beginnen is het niet verkeerd om te controleren of je (nog steeds) voldoet aan de verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG). Graag geven wij jou drie tips die daarbij kunnen helpen!
Tip 1: controleer binnen jouw onderneming of (nog steeds) op de juiste wijze met persoonsgegevens wordt omgegaan
Met de AVG heb je als onderneming een verantwoordingsplicht. Je moet kunnen laten zien dat je de regels uit de AVG naleeft en dat vervolgens ook goed documenteren. Het is belangrijk om hier aandacht aan te besteden. Niet alleen ter bescherming van de privacy van betrokkenen, maar het verzuimen van de verantwoordingsplicht kan ook leiden tot hoge boetes. In een eerdere blogartikel hebben we uitgebreid beschreven wat deze verantwoordingsplicht precies inhoudt. Niet verkeerd om dit weer door te lezen.
Mochten zich binnen jouw onderneming wijzigingen hebben voorgedaan, dan is het zeer verstandig om te controleren of alle documentatie (nog) up-to-date is. Denk bij wijzigingen aan het verwerken van andere (gevoelige) persoonsgegevens, het gaan werken met andere (computer)systemen of het aangaan van nieuwe samenwerkingen. Deze wijzigingen vereisen namelijk ook wijzigingen in jouw (interne) privacybeleid. Controleer daarom of dit heeft plaatsgevonden en schroom niet om ons daarbij in te schakelen.
Tip 2: check of jouw privacyverklaring up-to-date is
Onderdeel van de verantwoordingsplicht is het hebben van een privacyverklaring. Met de privacyverklaring laat je aan betrokkenen zien wat je met hun persoonsgegevens doet en waarom je dat doet. In de AVG staat een uitgebreide lijst met wat verplicht in de privacyverklaring moet staan. Niet alleen de inhoud van de privacyverklaring is van belang om aan te tonen dat de AVG nageleefd wordt, maar ook een goede vindbaarheid daarvan. Ter inspiratie vind je hier onze eigen privacyverklaring.
Een voorbeeld van goede vindbaarheid van de privacyverklaring is het plaatsen van deze verklaring op elke pagina van de website onderaan in de voetnoot of onder een speciaal kopje ‘privacyverklaring’.
Aansluitend op de vorige tip is het verstandig om ook te controleren of jouw privacyverklaring nog up-to-date is. Via de privacyverklaring kunnen namelijk betrokkenen zien wat jouw onderneming met hun persoonsgegevens doet. Als hierin wijzigingen hebben plaatsgevonden, is het belangrijk dat je de betrokkene over deze wijzigingen informeert en de privacyverklaring aanpast. Wij kunnen je helpen met het opstellen en aanpassen van jouw privacyverklaring.
Tip 3: deel jij persoonsgegevens met derde partijen buiten de EU? Kijk goed na of dit mag!
Tot slot hebben wij als tip om nog even stil te staan bij de vraag of jij als onderneming persoonsgegevens deelt met derde partijen buiten de EER. Volgens de AVG is dit slechts toegestaan indien dat land een passend beschermingsniveau heeft. Voor sommige landen is dit passend beschermingsniveau via een adequaatheidsbesluit vastgesteld. Bovendien is doorgifte naar derde landen mogelijk wanneer passende waarborgen worden getroffen in het kader van de AVG. Denk bijvoorbeeld aan de standaardcontractbepalingen van de Europese Commissie en de AP. Soms zal nog een Data Transfer Impact Assessment moeten worden verricht. Daarmee wordt in meer detail onderzocht en beoordeeld of een derde land een passend beschermingsniveau biedt.
Wees extra alert als jouw onderneming persoonsgegevens deelt met de Verenigde Staten. Daaronder valt ook het gebruik van (computer)systemen van partijen die persoonsgegevens doorgeven aan de Verenigde Staten, zoals Google Analytics. Door het gebruik van Google Analytics wordt standaard gegevens doorgegeven aan Google en de Verenigde Staten. In het verleden is door (Europese) rechters geoordeeld dat de Verenigde Staten geen passend beschermingsniveau bieden voor de doorgifte van persoonsgegevens. Het is de vraag of het gebruik van Google Analytics wel is toegestaan. Momenteel is de AP dit aan het onderzoeken en in de loop van 2023 zal zij daarover een rapport publiceren. Uiteraard houden wij je op de hoogte van alle ontwikkelingen. To be continued…
Klaar voor 2023?
Op het gebied van privacyrecht zullen er in 2023 veel ontwikkelingen plaatsvinden en wij zullen jou daarover natuurlijk infomeren. Wij kijken er erg naar uit en hopelijk jij ook. Mocht je vragen hebben of graag willen dat iemand met jouw onderneming meekijkt, schakel ons zeker in! Onze privacy specialisten helpen je daar graag bij.