Welke veranderingen brengt de Algemene Verordening Gegevensverwerking (AVG) voor organisaties met zich mee? Bent u klaar voor deze nieuwe Europese ‘privacywet’ en geldt de AVG ook voor kleine MKB bedrijven en voor ZZP-ers of geldt deze alleen voor datagiganten?

Inleiding

Vanaf 25 mei 2018 zullen vrijwel alle ondernemingen en organisaties moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG)[1]. De  Wet bescherming persoonsgegevens zal dan niet langer gelden[2]. Deze wet werd als ingewikkeld beschouwd, vooral door de vage normen en open begrippen. Als u verwacht dat de nieuwe ‘privacywet’ deze problemen oplost, dan komt  u bedrogen uit. De AVG kent namelijk veel (zelfs nog meer) open normen en vage begrippen, die de praktijk zal moeten gaan invullen. Dat leidt dus nog steeds tot (rechts)onzekerheid.

Algemene opmerkingen vooraf 

De AVG bevat aangescherpte privacyregels. Eenvoudig gezegd, versterkt de AVG de positie van mensen, van wie (persoons)gegevens worden verwerkt. Hun (privacy) rechten worden uitgebreid en versterkt. Organisaties, die (persoons)gegevens verwerken, krijgen meer verantwoordelijkheden, dit op straffe van hoge boetes. En binnen alle Europese lidstaten geldt vanaf 25 mei a.s. dezelfde wetgeving[3].

Het belangrijkste uitgangspunt van de AVG vind ik de zogenoemde omgekeerde bewijslast[4]. De AVG legt – kort gezegd - de bewijslast bij de organisatie neer en dus niet bij de toezichthouder (Autoriteit Persoonsgegevens). De organisatie dient er op toe te zien dat de beginselen van de AVG worden nageleefd en zij moet in staat zijn (via documenten) aan te tonen dat zij de privacyregels naleeft. Kan zij dat niet, dan is sprake van een boetewaardige overtreding van de verordening. De boetes zijn enorm[5]. Van belang is om hierbij wel direct op te merken dat de toezichthouder niet meteen boetes gaat uitdelen als u op 25 mei a.s. niet voldoet aan de (nieuwe) Europese regels, aldus onze Minister van Rechtsbescherming. De toezichthouder richt zich vooral op voorlichting. Dat betekent uiteraard niet dat u achterover kunt leunen. 

Wanneer gelden de regels uit de AVG?

De regels zijn van toepassing als u persoonsgegevens verwerkt. Het begrip persoonsgegeven is zeer ruim. Het gaat om informatie die tot een persoon herleidbaar is. Een bepaald individu kan hierdoor dus geïdentificeerd worden. Denk hierbij niet alleen aan de N.A.W.-gegevens[6], maar ook aan bijvoorbeeld (profiel)foto’s, IP-adressen (een IP-adres kan te herleiden zijn naar een specifiek persoon. Is het een adres dat door heel veel personen wordt gebruikt, dan kan dat weer anders zijn),

e-mailadressen of zelfs Track & Trace gegevens. Hieronder vallen bijvoorbeeld ook cookies, voor zover deze cookies een gebruiker uniek identificeren. Hebt u  een ondernemingswebsite, dan is de AVG ook van toepassing. Gegevens van ondernemingen zijn in principe uitgesloten, omdat het geen persoonsgegevens zijn. Dat ligt weer anders bij een eenmanszaak.

Van verwerken is sprake als u (samengevat) iets met deze persoonsgegevens onderneemt (bijvoorbeeld opslaan, vernietigen, verzamelen, vastleggen, wijzigen, doorzenden, verstrekken, maar ook het kunnen inzien of het verliezen ervan).  De verwerking ziet niet alleen op het digitaal verwerken van persoonsgegevens.

U heeft recht om deze (gewone) persoonsgegevens te verwerken als u zich kunt baseren op een van de grondslagen uit de AVG, te weten: toestemming, vitale belangen, wettelijke plicht, overeenkomst, algemeen of gerechtvaardigd belang. Bij toestemming geldt dat de burger actief en ondubbelzinnig toestemming moet hebben gegeven. Is geen van deze grondslagen van toepassing, dan is het opslaan of verwerken van persoonsgegevens verboden.

Alle ondernemingen verwerken persoonsgegevens, waaronder bijvoorbeeld gegevens van klanten en/of personeel.

Geldt de AVG ook voor kleine MKB bedrijven en voor ZZP-ers?

Inhoudelijk is de wetgeving hetzelfde voor alle organisaties, dus van eenmanszaak tot multinational. De regels zijn vooral bedoeld om personen beter te beschermen tegen de bekende ‘datagiganten’ als (bijvoorbeeld) Facebook en Google, maar ze hebben ook gevolgen voor ‘kleinere’ bedrijven, die persoonsgegevens verwerken. Dus ook voor  MKB bedrijven en ZZP-ers. Die zullen dus, kort gezegd, ook in kaart moeten brengen waar data vandaan komt, wie daar toegang tot heeft en hoe data wordt beveiligd.

Wat verandert er voor uw bedrijf

Er verandert veel[7]. Zo zullen organisaties zelf een overzicht moeten bijhouden van alle verwerkingen van persoonsgegevens. Er mogen niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk is voor het doel. Natuurlijke personen krijgen meer en verbeterde (privacy)rechten, zoals het recht op informatie, inzage en correctie van persoonlijke gegevens. Ook krijgen zij het recht om vergeten te worden en verwijdering van hun gegevens te vragen (zij kunnen zelfs eisen dat organisaties de verwijdering doorgeven aan andere organisaties, die zij van deze gegevens hebben voorzien) alsmede het recht (onder bepaalde voorwaarden) om persoonsgegevens in een bepaald standaard (elektronisch) format te ontvangen. Zij kunnen deze gegevens dan bijvoorbeeld doorgeven aan een opvolgend leverancier. Uw privacyverklaring dient meer en gedetailleerde informatie te bevatten en moet in begrijpelijke taal zijn geschreven. Bepaalde organisaties moeten een functionaris voor de gegevensbescherming aanstellen. De regels voor meldplicht datalekken en beveiliging van persoonsgegevens zijn ook aangescherpt. Daarnaast gelden strenge eisen bij bijzondere persoonsgegevens (bijvoorbeeld gegevens over gezondheid, ras, godsdienst, en een strafrechtelijk verleden en het Burgerservicenummer). De verwerking daarvan kan de privacy van personen namelijk ernstig aantasten. Organisaties dienen na te gaan welke andere bedrijven ‘hun persoonsgegevens’ verwerken en hoe de beveiliging daarvan is geregeld. Hierbij kan gedacht worden aan de salarisadministratie maar ook aan een ICT bedrijf, hosting en/of arbodienst. 

Wat moet u doen?

U dient aan te tonen dat u zich aan de wet houdt en u moet kunnen aantonen dat u organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Om u daarbij te helpen heeft de Autoriteit Persoonsgegevens een dossier AVG op haar website opgenomen. De Autoriteit Persoonsgegevens heeft een zogenoemd 10 stappenplan gemaakt. Verder geeft zij antwoord op veel gestelde vragen. Ik verwijs u naar haar website. Uiteraard kunt u ook bij ons kantoor terecht voor advies en begeleiding. 

Een aantal aandachtspunten voor MKB bedrijven en ZZP-ers

Aan de volgende zaken dient in ieder geval te worden gedacht:

-  Controleer en update uw privacyverklaring. Deze verklaring moet meer
   informatie bevatten en vooral in begrijpelijke en duidelijke taal zijn geschreven.
-  Controleer en update uw verwerkersovereenkomsten;
-  Beveilig uw persoonsgegevens deugdelijk. Denk daarbij (naast wachtwoorden)
    bijvoorbeeld aan encryptie en twee factor authenticatie.
-  Sla gegevens binnen de EU op.
-  Let erop dat u legitimatiebewijzen op de juiste wijze opslaat.

Datalek

Tot slot wil ik nog kort stilstaan bij een datalek. Van een datalek is sprake als een onbevoegde toegang krijgt tot persoonsgegevens of wanneer u deze gegevens verliest. De AVG stelt zware eisen aan de registratie van datalekken, die zich in uw organisatie voordoen. Alle gevallen, waarin (persoons)gegevens  op verkeerde plaatsen terecht komen, moet u registreren. Om datalekken te voorkomen, dient u de gegevens te beveiligen. Medische gegevens dienen daarbij bijvoorbeeld een hoger niveau van beveiliging te hebben dan adresgegevens. Als u een datalek niet meldt, loopt u de kans op hoge boetes. Bij een datalek dient u hiervan melding te maken bij de Autoriteit Persoonsgegevens en (onder omstandigheden) aan de personen wiens gegevens zijn gelekt.

Moet u elk datalek melden? Neen. Als het datalek geen risico vormt voor de personen geldt de plicht niet.  

Onlangs bleek dat drie gemeenten per ongeluk privacy gevoelige informatie van kandidaat-raadsleden naar de NOS hadden verzonden. NOS had bij alle gemeenten – met het oog op de gemeenteraadsverkiezingen - de kandidatenlijst opgevraagd. Zij ontving echter ook allerlei privacy gevoelige informatie, zoals Burgerservicenummers,  woonadressen, geboortedata en telefoonnummers.  

Conclusie

Geconcludeerd kan worden dat de AVG vooral een grotere administratieve last met zich mee brengt met betrekking tot de transparantie van de verwerking van persoonsgegevens. U dient in kaart te brengen waar data vandaan komt, wie daar toegang tot heeft en hoe data wordt beveiligd. Voor vragen kunt u met ons kantoor contact opnemen.
 

Ron Crombaghs


[1] Uitzonderingen zijn verwerkingen door politie, justitie, veiligheids- en inlichtingendiensten. Uitgezonderd is ook het verwerken van persoonsgegevens door een natuurlijk persoon bij de uitoefening van een zuiver persoonlijk of huishoudelijke activiteit.

[2] Op 25 mei 2018 vervangt de AVG (Europese Verordening) nationale wetgeving op het terrein van gegevensbescherming binnen de EU, dus ook onze nationale wetgeving.

[3] Er is ruimte voor landen om zelf nadere regels te bepalen op een aantal punten. In Nederland zal dit gebeuren in de Uitvoeringswet AVG. Deze is op dit moment nog niet aangenomen.

[4] artikel 5.2 AVG

[5] Tot € 20 miljoen of 4 procent van de wereldwijde jaaromzet.

[6] Naam, Adres en Woonplaats.

[7] Er kan slechts globaal op een aantal veranderingen kort worden ingegaan in dit artikel. Voor meer informatie verwijs ik u naar de website van de Autoriteit Persoonsgegevens.

 

In de rechtszaal van het geweten wordt altijd zitting gehouden.
Goede kennis van de klant komt de kwaliteit van de advisering ten goede en genereert toegevoegde waarde.