Iedere onderneming verzamelt en verwerkt persoonsgegevens. Dit kan op zeer kleine schaal plaatsvinden maar het kan ook de corebusiness van een onderneming zijn. Daarnaast veranderen de regels en wetten omtrent ICT en internet voortdurend. Na de invoering van de AVG (Algemene Verordening Gegevensbescherming) in mei 2018 en de eerste boetes van de (AP) Autoriteit Persoonsgegevens hebben veel ondernemers vragen die betrekking hebben op de privacywetgeving.
Onder het ICT-recht vallen onder meer het privacyrecht, ICT-contracten en intellectueel eigendomsrecht. Al deze zaken kunnen terugkomen in één plan, contract of idee. Of een ondernemer nu een website, werknemers of klanten heeft, via e-mail berichten stuurt of online aan marketing doet, in al deze gevallen heeft een ondernemer te maken met regels en weten die onder het ICT-recht en privacyrecht vallen.
Iedere onderneming heeft te maken met persoonsgegevens. Denk alleen al aan namens en/of e mailadressen. Zodra een onderneming persoonsgegevens van Europese burgers verzamelt, opslaat, doorgeeft of op een andere manier verwerkt, val je onder het bereik van de AVG. Dat geldt dus ook voor een buiten Europa gevestigde onderneming die zich (tevens) richt op gebruikers of consumenten in Europa. De persoonsgegevens worden verwerkt met ICT-toepassingen of bijvoorbeeld softwareprogramma’s. Iedere onderneming dient zich bewust te zijn van (het bestaan van) wettelijke regels op het gebied van persoonsgegevens. Het feit dat bepaalde informatie beschikbaar is en kan worden verwerkt, betekent niet altijd dat deze informatie mag worden gevraagd, opgeslagen of gebruikt. Als je bepaalde persoonsgegevens nodig hebt en mag gebruiken is het van belang ervoor te zorgen dat je aan de regels en wetten voldoet. Denk aan een informatieplicht.
Wanneer een organisatie een ander inschakelt voor de verwerking van persoonsgegevens die jouw organisatie verzamelt, vereist de AVG dat met die derde een overeenkomst wordt gesloten. Dit is de zogenaamde ‘verwerkersovereenkomst’. Dit geldt bijvoorbeeld voor de verwerking van de salarisadministratie of bij gebruik van een CRM-systeem voor de klantinformatie.
In de verwerkersovereenkomst wordt vastgelegd hoe de derde (de ‘verwerker’) met de persoonsgegevens van de organisatie (de ‘verwerkingsverantwoordelijke’) dient om te gaan.
Iedere onderneming die verantwoordelijk is voor de verzameling van persoonsgegevens is verplicht ‘passende technische en organisatorische maatregelen’ te nemen om te waarborgen dat de persoonsgegevens worden beschermd tegen verlies, diefstal, ongeoorloofde toegang en misbruik. Oftewel het voorkomen van een datalek. Maar als onverhoopt toch sprake is van een datalek dient dit gemeld te worden bij de AP en in sommige gevallen ook bij de betrokkenen.
Wat die technische en organisatorisch maatregelen exact moeten inhouden, is overigens niet in de AVG vermeld. De AVG geeft enkel aan rekening moet worden gehouden met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsmede de eventuele privacy risico’s. Zo wordt bijvoorbeeld bij de verwerking van bijzondere persoonsgegevens (bijvoorbeeld gezondheid of godsdienst) een hoger beveiligingsniveau verwacht dan bij de verwerking van een bestand met slechts een tiental namen en e-mailadressen.
Wij helpen je graag om op een verantwoordelijke én praktisch haalbare manier om te gaan met de privacywetgeving.Zo zorgen we er samen voor dat jouw privacy beleid op orde is en voldoet aan de wetgeving en dat je (juridisch) bent voorbereid op een datalek of op vragen van de Autoriteit Persoonsgegevens.
Steeds meer bedrijfsprocessen worden geautomatiseerd en uitbesteed (ook wel outsourcing genoemd). Alhoewel op ICT-overeenkomsten ook het “gewone’ overeenkomstenrecht van toepassing is, zijn daarnaast wel degelijk andere vragen van belang. Dat begint met de vraag wat wordt gekocht of afgenomen? Gaat het om software, hardware of cloud diensten? En om welk soort contract gaat het? Bekende (onderdelen van) contracten zijn bijvoorbeeld de cookie-verklaring, de algemene voorwaarden, een hostingovereenkomst, een onderhoudscontract, een SaaS-overeenkomst of een Service Level Agreement (SLA).
Het is belangrijk om te weten welk product of dienst je koopt, welk contract je aangaat en wat de gevolgen, kansen en risico’s daarvan zijn. Dit geldt niet langer alleen voor ICT-ondernemingen maar ook voor iedere andere ondernemer. Overeenkomsten met IT leveranciers of ontwikkelaars zijn heel belangrijk om de kwaliteit en continuïteit van jouw bedrijfsprocessen en (bedrijfsgevoelige) informatie te waarborgen. Hoe is de hosting geregeld? Bij wie berusten de auteursrechten of andere intellectuele eigendomsrechten als de software wordt ontwikkeld in een samenwerkingsovereenkomst? Kan onze organisatie nog wel bij de data na afloop van de overeenkomst, dient de IT leverancier mee te werken aan een overdracht van mijn data als ik overstap naar een andere leverancier? Is de IT leverancier aansprakelijk bij het niet halen van de afgesproken oplevertermijnen?
Wat kunnen wij bijvoorbeeld voor jou doen:
Equitize Value is een consortium van experts op het gebied van fiscale, financiële, juridische en bedrijfskundige zaken. Ze richten zich op het optimaliseren van ondernemingen door herstructurering van onrendabele onderdelen, optimalisering van ondernemingsactiviteiten en facilitering van financiering en werkkapitaal, om zo de ondernemingswaarde te versterken.
Wij helpen u graag verder. Vul gerust onderstaan formulier in en wij bellen u z.s.m. terug.
Nijverheidsweg 7
2102 LJ Heemstede
+31(0)23 – 531 0060
heemstede@hautlegal.nl
Hooghiemstraplein 167
3514 AZ Utrecht
+31 (0)30 2718844
utrecht@hautlegal.nl
