De AVG/GDPR komt eraan. En daar moet je nu over nadenken!


Categorie

Nieuws

Datum

19-10-2017

Gerelateerde content

De laatste tijd hoor je van alle kanten dat je je als organisatie / bedrijf nu echt moet gaan voorbereiden op de komst van de nieuwe AVG (Algemene Verordening Gegevensbescherming). Dit is een Europese richtlijn, die op 4 mei 2016 al is ingegaan, maar er geldt een overgangsperiode tot 25 mei 2018. Vanaf dat moment is nationale privacywetgeving niet meer van toepassing en geldt de AVG (in het Engels de GDPR, General Data Protection Regulation).

Elke organisatie die persoonsgegevens verwerkt doet er verstandig aan zich te verdiepen in de consequenties. Elk bedrijf heeft een eigen verantwoordelijkheid. Om je een beetje op weg te helpen geven we hieronder de belangrijkste punten waar je je van bewust moet zijn, zodat je een beeld krijgt of het belangrijk is om nu snel actie te ondernemen.

Vooraf is het goed om te weten dat Nederland best voorop liep als het ging om privacywetgeving. Als je met je organisatie voldoet aan alles wat de Web Bescherming Persoonsgegevens (WBP) -die sinds 2001 in Nederland geldt- voorschrijft, dan ben je al een heel eind op de goede weg. Zeker als je ervoor hebt gezorgd dat je bent voorbereid op de Meldplicht Datalekken, die sinds 1 januari 2016 onderdeel uitmaakt van de WBP.

We zitten nu dus in een overgangssituatie. Vanaf 25 mei 2018 kan iedereen met een beroep op de wet afdwingen dat je je houdt aan de bepalingen in de AVG. Dus je moet nu wel weten hoe je er voor staat. Realiseer je daarbij dat je al sneller persoonsgegevens verwerkt dan je je misschien denkt.

Voorbeeld

Heb je een website? En geef je mensen de gelegenheid zich in te schrijven voor je nieuwsbrief? Of een formulier in te vullen om informatie mee aan te vragen? Dan verwerk je al persoonsgegevens en is de AVG op je van toepassing! Weet dat jij als eigenaar van de site in eerste instantie verantwoordelijk bent, en niet de partij die de website heeft gebouwd, of de partij die hem onderhoudt, of de partij die hem host. Daar mag, nee, moet je zelfs eisen aan stellen. Maar daarover straks meer.

Uitgangspunten AVG

Het is belangrijk dat je de voornaamste uitgangspunten van de AVG kent. Want die zorgen ervoor dat je je snel een beeld kan vormen over eventuele risico’s in je organisatie.

  • Iemand van wie je persoonsgegevens verwerkt, moet daarvan op de hoogte zijn en moet daar expliciet toestemming voor hebben gegeven
  • Je mag alleen die gegevens verzamelen, bewaren en verwerken die je nodig hebt voor het doel waarvoor de persoon van wie de gegevens zijn, toestemming heeft gegeven
  • Je mag de gegevens alleen gebruiken voor het doel waarvoor ze zijn verstrekt
  • Als je de gegevens niet meer nodig hebt voor het doel waarvoor je ze hebt verzameld, dan mag je ze niet langer bewaren
  • Je moet serieus werk maken van de bescherming van de persoonsgegevens die je verwerkt om te voorkomen dat onbevoegde derden er toegang tot kunnen krijgen
  • Je moet met documenten kunnen aantonen dat en hoe je aan deze regels voldoet en je moet personen van wie je gegevens bewaart en verwerkt op verzoek inzicht kunnen geven in de status van hun gegevens en wat daarmee is gebeurd. Ook moet je op zijn verzoek de gegevens verwijderen.

Veel organisaties hebben zich nog niet goed op het netvlies wat de impact is van de Meldplicht Datalekken die sinds 1 januari 2016 onderdeel uitmaakt van de WBP. Qua uitgangspunten komt het erop neer dat:

  • Je mogelijke en feitelijke lekken van data moet melden bij de Autoriteit Persoonsgegevens. Dus ook als iemand bijvoorbeeld een laptop met daarop persoonsgegevens in de trein heeft achtergelaten en twee dagen later weer terugkrijgt, want er is dan sprake van een mogelijk lek. Realiseer je trouwens goed dat het dus niet alleen om online toegankelijke gegevens gaat, maar ook om laptops, USB-sticks, harde schijven, of zelfs uitgeprinte lijsten met persoonsgegevens (bijvoorbeeld klantenlijsten)
  • Je moet afspraken maken met iedereen die namens jou toegang heeft tot persoonsgegevens die jij verwerkt en die eventueel zelf ook bewerkt, en die op papier vastleggen
  • Je moet de mensen van wie de persoonsgegevens (mogelijk) zijn gelekt, daarvan op de hoogte stellen

Verschillen tussen AVG en WBP

Als je al aan de WBP voldeed, dan zijn de belangrijkste verschillen waar je rekening mee moet houden:

  • Onder de WBP had je de plicht om registraties van persoonsgegevens proactief aan te melden bij de Autoriteit Persoonsgegevens. Onder de AVG hoeft dat niet meer
  • Als je gegevens verwerkt met een groot privacyrisico, dan kan het zijn dat je een Data Protection Impact Assessment moet uitvoeren
  • In sommige gevallen ben je verplicht een Functionaris voor de Gegevensbescherming aan te stellen
  • De boetes die je kan krijgen zijn veranderd en kunnen nu oplopen tot liefst € 20.000.000 of 4% van je jaaromzet als dat meer is dan die 20 miljoen

Toestemming of geen toestemming, dat is de vraag…

Onder de WBP was er altijd veel onduidelijkheid over de vraag wanneer iemand nu precies wel of niet toestemming had gegeven voor het verwerken van zijn persoonsgegevens. De AVG is daar een stuk duidelijker in. De letterlijke zin uit de verordening (overweging 32) luidt: “Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt.’’. Het belangrijkste onderdeel is dus dat er sprake moet zijn van een actieve handeling. Dat kan zijn het aanklikken van een vakje bij een formulier op een website, of het geven van een visitekaartje. Het probleem bij die laatste is dat op de een of andere manier duidelijk moet zijn voor welk soort verwerking iemand toestemming geeft en dat is op een website natuurlijk makkelijker te regelen dan als je visitekaartjes verzamelt op een beurs. Daar zal je waarschijnlijk moeten gaan werken met lijsten waar mensen hun e-mail adres op invullen en er een handtekening op zetten. Best gedoe dus. Maar wel verstandig om over na te denken en goed te regelen!

Meer bureaucratie

Dat de nieuwe AVG gaat leiden tot meer bureaucratie is onvermijdelijk. Al was het maar omdat je verwerkerssovereenkomsten moet gaan sluiten met de partijen die betrokken zijn bij de verwerking van de persoonsgegevens die jij verzamelt (overweging 81). Dat moest al onder de WBP maar veel bedrijven hebben dat nog niet goed geregeld. Deze verwerkersovereenkomsten moeten een nadere omschrijving omvatten van het onderwerp en de duur van de verwerking, de aard en de doeleinden van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen. Ook moeten ze  rekening houden met de specifieke taken en verantwoordelijkheden van de verwerker in het kader van de te verrichten verwerking. Gelukkig zijn veel brancheorganisaties actief met het maken van voor hun omstandigheden specifieke model-verwerkersbijeenkomsten. Informeer dus bij je branchevereniging of zij iets voor je kunnen betekenen!

Wat doen wij?

Voor zover dat nog niet gebeurd is, nemen wij de komende maanden contact op met onze klanten en leggen wij hun verwerkersovereenkomsten voor waarin we de afspraken met betrekking tot het verwerken van de gegevens van hun klanten, bijvoorbeeld op websites die wij hebben gemaakt, zullen vastleggen. Heb je in de tussentijd vragen? Aarzel dan niet om contact op te nemen, we helpen je graag!


Stay up to date
Schrijf je in en ontvang maandelijks een update van de belangrijkste ontwikkelingen
Enkele gegevens ontbreken of zijn onjuist

Het formulier kan nog niet worden verzonden omdat het nog niet helemaal (correct) is ingevuld.