Wetsverandering bescherming persoonsgegevens: Wbp wordt AVG
22 juni 2017Voor bedrijven gelden strenge eisen bij het verzamelen, gebruiken en uitwisselen van persoonsgegevens. Net nu de meeste bedrijven min of meer bekend zijn met de inhoud van de Wet bescherming persoonsgegevens (Wbp) en de daarin opgenomen meldplicht datalekken, wordt in 2018 een nieuwe wet geintroduceerd: de Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe wet heeft als doel de privacy te beschermen en gegevensverwerking te reguleren.
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking en vervangt de Wet bescherming persoonsgegevens. De AVG vervangt de Wbp niet alleen, er zijn ook belangrijke aanvullingen opgenomen die voor iedere ondernemer in Nederland relevant zijn.
Net als onder de Wbp bent u ook onder de AVG verplicht om de betrokkenen, de personen waarvan u gegevens verwerkt, te informeren. Zo moet u melden welke gegevens u verwerkt, en aan wie en met welk doel u de gegevens ter beschikking stelt. Ook moet u zorgen voor afdoende beveiliging van uw systemen waarin persoonsgegevens zijn opgeslagen en moet u zorgen voor schriftelijke bewerkersovereenkomsten met alle partijen die persoonsgegevens voor u verwerken. Maar in de AVG zijn ook nieuwe verplichtingen opgenomen. De meest in het oog springende nieuwe verplichtingen zijn:
- Aanstelling functionaris voor gegevensbescherming: uw organisatie kan verplicht zijn om een functionaris voor gegevensbescherming aan te stellen. Dit moet in ieder geval als u een overheidsinstantie of overheidsorgaan bent of indien u grootschalige bijzondere persoonsgegevens verwerkt.
- Uitvoeren DPIA: uw organisatie kan verplicht zijn een data privacy impact assessment (DPIA) uit te voeren. Hiermee brengt u in kaart welke privacy risico’s er zijn met betrekking tot de gegevensverwerking, met als doel maatregelen te nemen om deze risico’s te verkleinen. De verplichting voor het uitvoeren van een DPIA bestaat altijd wanneer de verwerking van persoonsgegevens in uw organisatie een hoog risico mee brengt. Of er sprake is van een hoog risico bepaalt u zelf. Hier is in ieder geval sprake van wanneer in uw organisatie op grote schaal bijzondere persoonsgegevens worden verwerkt of wanneer u op grote schaal personen observeert in publieke ruimtes (bijv. cameratoezicht). Maar ook wanneer u persoonsgegevens doorgeeft aan landen buiten de EU bestaat er een grote kans dat u verplicht bent een DPIA uit te voeren.
- Registratie verwerkingsactiviteiten: uw organisatie moet kunnen aantonen dat zij in overeenstemming met de AVG handelt. Dit doet u bijvoorbeeld door een register bij te houden waarin alle in uw organisatie uitgevoerde verwerkingsactiviteiten worden geregistreerd. De Autoriteit Persoonsgegevens is gerechtigd inzage te verlangen in dit register.
- Toepassen Privacy by Design en Privacy by Default: uw organisatie is verplicht om Privacy by Design en Privacy by Default toe te passen. Dit betekent dat u bijvoorbeeld bij het ontwerpen van applicaties of systemen voor gegevensverwerking al rekening moet houden met de bescherming van persoonsgegevens en de rechten van de betrokkene (de persoon wiens gegevens verwerkt worden). Dit doet u bijvoorbeeld door afdoende beveiligingsmaatregelen in het systeem of de applicatie op te nemen. Ook kan dit doel bereikt worden door er voor te zorgen dat de hoeveelheid data die voor het doel verwerkt moet worden zo klein mogelijk is (dataminimalisatie).
Onderneem tijdig actie
25 mei 2018 lijkt nog ver weg, maar het is belangrijk om uw onderneming tijdig voor te bereiden op de introductie van de AVG. Niet in het minst omdat de boetebevoegdheid van de Autoriteit Persoonsgegevens onder de AVG fors zal toenemen. DeHaan Advocaten en Notarissen heeft alle wijzigingen, verplichtingen en valkuilen omtrent de AVG in kaart gebracht. Wij helpen u graag bij het in kaart brengen en doorvoeren van de noodzakelijke wijzigingen voor uw bedrijf, zodat u op het moment van introductie aan alle eisen voldoet. Aarzel niet om contact met mij op te nemen wanneer u meer informatie wenst.
Veelgestelde vragen
De 10 beste tips bij het opstellen van IT-contract
Een goed IT-contract is van groot belang. Maar hoe stel je een goed contract op en hoe controleer je of een aangeboden contract aan de eisen voldoet? Hier vind je 10 tips voor het opstellen en controleren van IT-contracten van onze experts in Groningen, Zwolle en Leeuwarden.
1. Een IT-contract, maar met wie?
Controleer of de juiste partij in de overeenkomst is opgenomen. Dit lijkt voor de hand te liggen maar toch gaat dit vaak fout. Zeker als de andere partij een groep van meerdere rechtspersonen is, liggen fouten op de loer. Heeft u de juiste entiteit opgenomen? Controleer dan ook wie er bevoegd is namens deze partij overeenkomsten aan te gaan. Deze informatie vindt u in het handelsregister van de Kamer van Koophandel.
2. Hoe krijg ik exact de door mij gewenste software?
Eén van de belangrijkste onderwerpen van de overeenkomst is de dienst of het product dat wordt geleverd. Omschrijf daarom goed wat partijen hiervan mogen verwachten. Hoe uitgebreider, hoe beter. Bent u afnemer? Neem dan ook op welke verwachtingen (bijvoorbeeld gebruikservaringen) u heeft bij de verschillende onderdelen. Als er in de uitvoering discussie ontstaat is vaak juist deze beschrijving van cruciaal belang.
3. Hoe krijg ik de diensten op tijd geleverd?
Software is nooit af en wordt altijd doorontwikkeld. Een leverancier neemt in de overeenkomst vaak een stappenplan op van nieuwe features. Een zogeheten ‘roadmap’. Maak hier concrete afspraken over: welke functies moet de software hebben, wanneer komen deze beschikbaar en wat doen we als de roadmap niet gerealiseerd wordt? Zo voorkom je dat een roadmap enkel bij beloftes blijft.
4. Voldoe aan uw verplichting uit de AVG
Worden er persoonsgegevens verwerkt? Bij veel IT-contracten is sprake van verwerking van persoonsgegevens. In dat geval is het van belang te bepalen wie verwerker is en wie verwerkingsverantwoordelijke. Let op, het kan ook zo zijn dat er sprake is van twee verwerkingsverantwoordelijken.
5. Hoe verkrijg ik het auteursrecht op de software?
Op software (de broncode) komt altijd automatisch een auteursrecht te rusten. Schrijft een extern bedrijf de software voor u, dan verkrijgt zij in beginsel het auteursrecht. De auteursrechthebbende bepaalt wie de software mag gebruiken en wie niet. Zorg er dus voor dat u als opdrachtgever de auteursrechten krijgt. Lukt dat niet, kom dan in ieder geval een exclusief gebruiksrecht overeen En leg dit vast in de overeenkomst.
6. Escrow, waarom is het noodzakelijk?
Als u diensten afneemt, bijvoorbeeld SaaS (Software as a Service) dan is het verstandig af te spreken hoe je ervoor zorgt dat de dienst beschikbaar blijft als de leverancier failliet gaat of anderszins niet meer kan leveren. Dit kan door middel van een escrow regeling. Je spreekt dan bijvoorbeeld af dat jij de broncode ontvangt als de leverancier failliet gaat. Zolang geen van beide partijen failliet is wordt de broncode door een derde partij bewaard en kan de afnemer er niet bij. Met de - na faillissement vrijgegeven - broncode kunt u zelf de software beheren en aanpassen. Zo kunt u de beschikbaarheid van de software voor langere tijd veiligstellen.
7. Hoeveel downtime is toegestaan?
Downtime (de tijd dat een netwerk of een SaaS-product niet beschikbaar is) kan grote gevolgen hebben. Uw bedrijf kan erdoor stil komen te liggen. Controleer daarom goed wat u beloofd wordt. 99% uptime kan veel lijken, maar is dit 99% van alle uren in het jaar? Dan betekent dit dat een downtime van 87 uur geoorloofd is. Dit zijn twee volle werkweken per jaar. Let hier dus goed op en spreek af wat voor u aanvaardbaar is.
8. Wat als ik of mijn contractspartner niet betaal(t)?
Als de afnemer/gebruiker van de software de vergoeding voor de licentie niet betaalt kan u denken dat het gebruik van- of de toegang tot de software tijdelijk kan worden beëindigd. Maar als daar in de overeenkomst niets over is afgesproken, is dat niet zonder meer het geval. Leg dus vast wat de te volgen stappen zijn in het geval van wanbetaling.
9. Wanneer kan ik de overeenkomst opzeggen?
Bij het aangaan van een overeenkomst wordt meestal niet nagedacht over het einde van de overeenkomst. Wie kan er ontbinden, en onder welke voorwaarden? Leg dit goed vast en bepaal ook een redelijke opzegtermijn zodat u genoeg tijd heeft om over te stappen naar een nieuwe aanbieder, ook wanneer de wederpartij opzegt.
10. Hoe bepaal ik een exitstrategie?
Het is van groot belang om bij het begin van de samenwerking een goede exitstrategie te bepalen. Als de overeenkomst eindigt, wat gebeurt er dan bijvoorbeeld met de opgeslagen data? En hoe lang biedt de IT-leverancier de IT-dienst nog aan? Dit is van belang omdat de ander tijd nodig heeft om over te stappen. Zorg dat je alle vragen die je bij een exit hebt al in de overeenkomst beantwoordt. Dan kom je niet voor verrassingen te staan.
Een IT-contract is altijd maatwerk. Met deze 10 tips komt u al een heel eind. Maar wilt u zeker weten of een contract voor u passend en toekomstbestending is, laat u dan adviseren. Wij staan u graag met onze kennis en ervaring terzijde.
Gerelateerde actualiteiten
Op de hoogte blijven?
Meldt u zich vrijblijvend aan voor onze nieuwsbrief.
Bestand downloaden?
Download het bestand.