Selecteer een pagina

De Autoriteit Gegevensbescherming van de Duitse deelstaat Nedersaksen is begonnen met de eerste controle op naleving van de nieuwe Europese privacywet.

Nedersaksen is een van de 16 deelstaten (Bundesländer) van Duitsland. Iedere deelstaat heeft een eigen toezichthouder gegevensbescherming.

50 bedrijven in Nedersaksen (waaronder 20 grote en 30 middelgrote ondernemingen), met hoofdzetel in Nedersaksen, moeten duidelijk maken wat zij hebben gedaan om te voldoen aan de DSGVO.

DSGVO is de Duitse afkorting voor Datenschutz-Grundverordnung (DSGVO). Het is dezelfde Europese privacywet die in Nederland bekend staat als Algemene Verordening Gegevensbescherming (AVG).

De 50 bedrijven die nu worden gecontroleerd moeten een vragenlijst met 10 vragen invullen.

De eerste controle van de toezichthouder in Nedersaksen heeft voor bedrijven die nog niets hebben gedaan aan privacybeleid in hun organisatie grote gevolgen. Het is voor met name middelgrote en grote bedrijven onmogelijk om in korte tijd alsnog aan de wet te voldoen. Een excuus is er niet. Alle bedrijven hebben twee jaar de tijd gehad om te voldoen aan de DSGVO.

De toezichthouder in Nedersaksen zegt dat het niet de bedoeling is om meteen boetes op te leggen, maar “dat er uiteraard nog een procedure kan worden ingeleid indien tijdens het onderzoek inbreuken op het DSGVO worden vastgesteld.”

De autoriteit gegevensbescherming stelt de volgende 10 vragen:

1. Hoe hebt u zich als bedrijf voorbereid op de DSGVO?

Beschrijf (beknopt) de procedure, de betrokken gebieden en de genomen maatregelen. Indien nog niet alle maatregelen volledig ten uitvoer zijn gelegd, gelieve dan ook de stand van zaken met betrekking tot de tenuitvoerlegging toe te lichten.

2. Lijst van verwerkingen

Hoe zorgde u ervoor dat al uw bedrijfsprocessen met betrekking tot de verwerking van persoonsgegevens werden opgenomen in een lijst van verwerkingsactiviteiten? Hoe zorgt u ervoor dat het up-to-date is? Voeg een overzicht van uw gedocumenteerde procedures en een voorbeeldprocedure als voorbeeld bij.

3. Toelaatbaarheid van de verwerking

Op welke rechtsgrondslag verwerkt u persoonsgegevens? Indien u ook persoonsgegevens verwerkt op basis van toestemmingen, gelieve dan de door u gebruikte methode om toestemming te vragen bij te voegen.

4. Desbetreffende rechten

Hoe waarborgt u de naleving van de rechten van de betrokkenen (informatie, openbaarmaking, correctie, verwijdering, beperking van de verwerking, overdraagbaarheid van gegevens)? Schets uw processen in dit verband en beschrijf in het bijzonder in detail hoe u uw informatieverplichtingen nakomt. Voeg a.u.b. bestaande voorbeeldinformatie bij.

5. Technische gegevensbeveiliging

a. Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen of die van uw dienstverleners een beschermingsniveau garanderen dat in verhouding staat tot het verwerkingsrisico?

b. Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen worden aangepast aan de huidige stand van de techniek?

c. Hoe verzekert u zich ervan dat u voor uw huidige of toekomstige IT-toepassingen over een gedocumenteerde rol en autorisatieconcept beschikt die in overeenstemming is met gegevensbescherming?

d. Hoe zorgt u ervoor dat bij het wijzigen of ontwikkelen van nieuwe producten of diensten van meet af aan rekening wordt gehouden met de vereisten inzake gegevensbescherming (ingebouwde privacy en standaardgegevens)?

6. Effectbeoordeling op het gebied van gegevensbescherming

a. Hoe zorgt u ervoor dat verwerkingen die waarschijnlijk een hoog risico voor de rechten en vrijheden van de betrokkenen inhouden, worden geïdentificeerd en dat voor deze verwerkingen een effectbeoordeling op het gebied van gegevensbescherming wordt uitgevoerd?

b. Hebt u binnen uw bedrijf processen geïdentificeerd die waarschijnlijk een hoog risico vormen voor de rechten en vrijheden van de betrokkenen? Welke?

Voeg de relevante documentatie bij de effectbeoordeling voor gegevensbescherming.

7. Opdrachtverwerking

Heeft u uw bestaande contracten met contractverwerkers aangepast aan de nieuwe regels van de DSGVO? Indien u gebruik maakt van voorbeeldcontracten, gelieve deze dan bij te voegen; voeg daarnaast een lopend voorbeeldcontract bij met één van uw contractverwerkers.

8. Functionaris Gegevensbescherming (FG)

Hoe is uw functionaris voor gegevensbescherming geïntegreerd in uw organisatie? Welke kwalificaties heeft hij?

9. Meldingsplichten

Hoe zorgt u ervoor dat uw bedrijf schendingen van gegevensbescherming tijdig meldt aan de toezichthoudende autoriteit? Schets uw relevante processen.

10. Documentatie

Hoe kunt u aantonen dat u aan alle in de punten 2 tot en met 9 genoemde verplichtingen hebt voldaan?

Downloaden vragenlijst

Hier kunt u de Duitstalige vragenlijst van de Autoriteit Gegevensbescherming inzien.

Controle antwoorden

De autoriteit geeft aan dat de antwoorden van de bedrijven voor november 2018 worden geëvalueerd en er vervolgens met een selectie van de bedrijven afspraken worden gemaakt voor controle door de autoriteit in het bedrijf zelf. Het eindverslag van deze audit zal in mei 2019 beschikbaar zijn.

De toezichthouder in Nedersaksen hoopt dat deze grootste audit sinds de oprichting van de toezichthoudende autoriteit ook aanwijzingen zal geven voor haar toekomstige werk. In bepaalde sectoren zouden bijvoorbeeld gerichte controles kunnen volgen.

Daarnaast verwacht de overheid aanwijzingen over waar nog een bijzondere behoefte aan advies en informatie bestaat. Als gevolg hiervan zouden bijvoorbeeld nieuwe oriëntatiehulpmiddelen kunnen worden ontwikkeld.

Door de gedetailleerde informatie die nu nodig is, zullen waarschijnlijk tal van betrokken bedrijven onder enorme druk komen te staan om in actie te komen. Want voor de gedetailleerde verwerking en notering is knowhow op het gebied van gegevensbescherming vereist en kost het ook tijd en mankracht.

Het zal met name moeilijk zijn voor bedrijven die het DSGVO en zijn eisen nog niet ten uitvoer hebben gelegd. Aangezien ook om een procedureoverzicht wordt gevraagd, kan de instantie gemakkelijk bepalen of er op 25 mei of later een implementatie heeft plaatsgevonden die in overeenstemming is met het DSGVO.

De aankondiging van de audit en de bekendmaking van de verwachte auditpunten zullen ertoe bijdragen dat opnieuw de nadruk wordt gelegd op de tenuitvoerlegging van de gegevensbescherming in de onderneming.

Het onderzoek moet volgens Duitse deskundigen serieus worden genomen. Er bestaat geen twijfel dat het gevaar bestaat dat er een eerste boete wordt opgelegd. De betroffen bedrijven hebben maar zeer kort de tijd om de vragen te beantwoorden. Bedrijven die hun privacybeleid niet op orde hebben kunnen zonder deskundige hulp amper nog effectieve verbeteringen doorvoeren.

De actie van de autoriteit in Nedersaksen toont aan hoe belangrijk het voor ondernemers is om hun privacybeleid op orde te hebben. Nederlandse ondernemers die ook in Duitsland actief zijn en denken dat dit voorbeeld aantoont dat ze nog wel even tijd hebben, omdat er immers begonnen wordt met een selecte groep van 50 Duitse bedrijven, wijzen we er met nadruk op dat in Duitsland behalve de autoriteit ook concurrenten en particulieren kostbare Abmahnung procedures kunnen beginnen.

Deskundig advies inwinnen

Laat uw Duitse site doorlichten door AhaErlebizz. Wij kunnen u in samenwerking met PrivacyZone.nl ook helpen uw zowel uw Nederlandse als uw Duitse site privacyproof te maken. Wij werken samen met het Duitse advocatenkantoor Alpmann Fröhlich uit Rheine en het Nederlandse advocatenkantoor Rein uit Assen. Beide advocatenkantoren zijn gespecialiseerd in grensoverschrijdend ondernemen tussen Nederland en Duitsland.

Bel: 0598-468860