Meer over de AVG/PDPL
Wat is de Algemene verordening gegevensbescherming (AVG/PDPL)?
De AVG/PDPL is de wet die de verwerking van persoonsgegevens regelt, met als doel de privacy van mensen beter te beschermen. Deze wet regelt dat organisaties zorgvuldiger omgaan met de persoonsgegevens van klanten, personeel en andere individuen. De AVG/PDPL zorgt voor een uniforme privacywetgeving en verplicht organisaties niet alleen om de wet na te leven, maar ook om aan te tonen dat zij dit doen.
Wat zijn persoonsgegevens en voor wie geldt de AVG/PDPL?
Persoonsgegevens zijn gegevens waarmee een individu direct of indirect identificeerbaar wordt, zoals een naam, adres, woonplaats of telefoonnummer. Dit zijn slechts een paar voorbeelden. Er zijn ook bijzondere persoonsgegevens, zoals gegevens over etniciteit of gezondheid, die extra bescherming en acties vereisen. De AVG/PDPL is van toepassing op alle bedrijven en organisaties die structureel persoonsgegevens verwerken, ongeacht hun grootte en of het nu handmatig of geautomatiseerd wordt verwerkt. Dit betekent dus ook dat zzp’ers en mkb’ers zich aan de AVG/PDPL moeten houden.
Misverstanden over de AVG/PDPL
Veel ondernemers denken onterecht dat ze al aan de AVG/PDPL voldoen omdat ze algemene voorwaarden hebben of een cookiebanner gebruiken. Dit is echter een foutieve veronderstelling en is niet voldoende voor de naleving van de wet. De algemene voorwaarden zijn namelijk iets anders dan de AVG/PDPL en de cookiebanners, die worden gebruikt, zijn meestal niet in overeenstemming met de wetgeving. Om aan de AVG/PDPL te voldoen, zijn specifieke stappen en documenten vereist, zoals een gedetailleerde privacyverklaring, een cookieverklaring en een protocol meldplicht datalekken, die in veel organisaties ontbreken maar volgens de wet wel verplicht zijn.
Waarom is de AVG/PDPL ingevoerd?
De AVG/PDPL is ingevoerd om de privacyrechten van individuen te versterken en uit te breiden en om organisaties meer verantwoordelijkheden bij de verwerking van persoonsgegevens te geven. Dit houdt bijvoorbeeld in dat er een gerechtvaardigde reden moet zijn voor het verzamelen en het gebruiken van data en dat de verzamelde informatie beperkt moeten blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Wat betekent het verwerken van persoonsgegevens?
Het verwerken van persoonsgegevens omvat alle activiteiten die een organisatie met persoonsgegevens kan doen zoals verzamelen, inzien, vastleggen, opslaan, verwijderen, gebruiken, doorsturen, verspreiden of samenbrengen. Het is essentieel dat organisaties en individuen, die met persoonsgegevens werken, zich bewust zijn van de verplichtingen en de juiste maatregelen nemen om de privacy van betrokkenen te waarborgen.
Verantwoordelijkheden onder de AVG/PDPL
Onder de AVG/PDPL moeten organisaties kunnen aantonen dat ze passende organisatorische en technische maatregelen hebben genomen om persoonsgegevens te beschermen. Daarnaast dienen verwerkingen van persoonsgegevens rechtmatig te zijn en mogen deze data alleen voor specifieke, vooraf bepaalde doelen worden verwerkt. Wanneer de door u verzamelde persoonsgegevens met derden worden gedeeld voor verwerking, kan het onder bepaalde omstandigheden verplicht zijn om duidelijke afspraken in een verwerkersovereenkomst vast te leggen.
Toezicht en boetes
De Omani Wet op de Bescherming van Persoonsgegevens voorziet in hoge boetes tot OMR 500.000 (ongeveer USD 1,3 miljoen), die zowel voor kleine als grote ondernemingen kunnen worden opgelegd. Schending van de privacy kan in sommige gevallen ook bestraft worden met een gevangenisstraf van maximaal 1 jaar (volgens de Omani Strafwet). Bovendien wordt de naleving van deze wet strikt in de gaten gehouden.
Wettelijke verplichtingen onder de AVG/PDPL
Om aan de AVG/PDPL te voldoen, moeten ondernemingen een reeks acties uitvoeren en hun documentatie op orde hebben. Dit omvat het opstellen van een privacyverklaring, een cookieverklaring en een correcte cookiebanner. Daarnaast moeten ze ook een verwerkingsregister bijhouden, mogelijk verwerkersovereenkomsten afsluiten en/of een DPIA (data protection impact assessment) uitvoeren. Het is ook belangrijk om AVG/PDPL-trainingen voor medewerkers te organiseren, een protocol meldplicht datalekken op te stellen en een datalekregister en toestemmingsformulieren voor het gebruik van camerabeelden van medewerkers in te stellen. Sommige organisaties zijn bovendien verplicht om een functionaris gegevensbescherming (FG) aan te stellen om toezicht te houden op de naleving van de regels binnen de organisatie.
