Zo bereid je jouw organisatie voor op de AVG/GDPR

22 maart 2018

AVG? Nee, we hebben het hier niet over het oer-Hollandse diner van aardappels, vlees en groenten. Per 25 mei 2018 is namelijk de Algemene Verordening Gegevensbescherming van toepassing. De AVG wordt ook wel GDPR genoemd door zijn Engelse naam: General Data Protection Regulation. Deze wetgeving is in mei 2016 aangenomen en vervangt de Wet bescherming persoonsgegevens (Wbp). De grootste verschillen zijn de versterking en uitbreiding van de privacy-rechten van consumenten en de grotere verantwoordelijkheid voor organisaties. In de blogbericht leggen we uit hoe je jouw organisatie voorbereidt op deze veranderingen.

Waarom is er zoveel paniek over de AVG?

Wanneer je niet voldoet aan de AVG, kun je flink gestraft worden. De enorme boetes kunnen zelfs oplopen tot maximaal € 20.000.000 of 4% van de wereldwijde omzet van de organisatie! Ook lopen overtreders het risico van een fikse imagoschade. Daarbij moet je je realiseren dat het budget en de capaciteit van de handhavende instantie, de Autoriteit Persoonsgegevens (AP), worden uitgebreid. Het is dus belangrijk om de bewustwording onder je collega’s te vergroten.

Wat zijn persoonsgegevens?

Een persoonsgegeven is ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.’ Dus: elke vorm van data waarmee je een persoon kunt identificeren. Dat is bijvoorbeeld iemands naam of e-mailadres maar ook een postcode en een IP-adres zijn persoonsgegevens. Binnen de categorie persoonsgegevens zijn er bijzondere en strafrechtelijke persoonsgegevens te onderscheiden. Bijzondere persoonsgegevens zijn gegevens over onder meer iemands ras, godsdienst, politieke voorkeur, gezondheid en seksuele leven. Ook een BSN en genetische gegevens vallen onder de bijzondere persoonsgegevens. Deze gegevens mogen niet worden verwerkt, tenzij hiervoor in de wet een uitzondering is.

Grondslagen van verwerking

De AVG is van toepassing op het moment dat je persoonsgegevens verwerkt. Dit kan bijvoorbeeld opslaan op je computer, exporteren naar een e-mailprogramma of zelfs verwijderen zijn. Op basis van deze grondslagen mag je persoonsgegevens verwerken:

  • Toestemming van de betrokkene.
  • Uitvoering van de overeenkomst.
  • Vitale belangen.
  • Wettelijke verplichting of een publieke taak.
  • Gerechtvaardigd belang van de verantwoordelijke (dit moet worden afgewogen tegen het recht op privacy van de betrokkene).

De rollen bij het verwerken van persoonsgegevens

Als het gaan om het verwerken van persoonsgegevens zijn er 3 rollen:

  • Verantwoordelijke. De Verantwoordelijke is degene die het doel en de middelen van de verwerking bepaalt. Bijvoorbeeld een webwinkel die persoonsgegevens verwerkt om de orders van klanten uit te kunnen voeren.
  • Verwerker. De Verwerker is degene die in opdracht van de Verantwoordelijke persoonsgegevens verwerkt. Dit is het geval als de Verantwoordelijke gegevensverwerking uitbesteedt aan een andere partij.
  • Subverwerker. De Verwerker kan op zijn beurt ook weer gegevensverwerking uitbesteden aan een andere partij. Je spreekt dan van een Subverwerker.
  • Betrokkene. Dit is degene van wie de persoonsgegevens worden verwerkt. In het voorbeeld hierboven is dat de klant van de webwinkel. De rechten van betrokkenen worden uitgebreid in de AVG. Zo hebben zij recht op inzage en verbetering van de persoonsgegevens die van hen worden verwerkt en hebben zij het recht om vergeten te worden. Bovendien hebben zij het recht om gegevens over te dragen (dataportabiliteit) en op verzet. In het geval van direct marketing is dit een absoluut recht en moet dit altijd worden gehonoreerd. In andere gevallen is dit een relatief recht. Dat betekent dat een belangenafweging moet worden gemaakt om te beoordelen of het moet worden gehonoreerd.

Verwerkersovereenkomsten

In een verwerkersovereenkomst worden afspraken over de uitbesteding van gegevensverwerking vastgelegd. Het is de verantwoordelijkheid van de verantwoordelijke én de verwerker om zich hieraan te houden. In een verwerkersovereenkomst neem je onder meer het volgende op:

  • Doeleinden van de verwerking.
  • Het soort persoonsgegevens en de categorieën van betrokkenen.
  • De rechten en plichten van de verantwoordelijke en verwerker.
  • De zorgplicht van de verwerker.
  • De doorgifte aan een 3e
  • Schriftelijke (algemene) toestemming voor subverwerkers en het informeren over nieuwe subverwerkers.
  • Meldplicht datalek.
  • Afhandelen van verzoeken van betrokkenen.
  • Afspraken over de gegevens bij het einde van de dienstverlening.

Dit ben je verplicht

Houd rekening met de volgende zaken als jouw organisatie persoonsgegevens verwerkt:

  • Als je persoonsgegevens verwerkt moet je ervoor zorgen dat passende technische en organisatorische maatregelen worden getroffen voor de beveiliging van de gegevens. Je kunt hierbij denken aan versleuteling en encryptie, of pseudonimisering .
  • Zorg dat je een intern privacybeleid voor al je medewerkers hebt en dat iedereen dit naleeft.
  • In de meeste gevallen moet je een register bijhouden van alle verwerkingen van persoonsgegevens die je als organisatie doet.
  • Regel geheimhouding van medewerkers en externen die betrokken zijn bij de verwerking van persoonsgegevens.
  • Als er sprake is van een data-lek moet dit door de Verantwoordelijke binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens. Zorg daarom dat je een goede procedure voor datalekken klaar hebt liggen.

Wees daarnaast zorgvuldig. Bewaak de kwaliteit van de persoonsgegevens goed op deze manier:

  • Pas dataminimalisatie toe: zorg dat je data toereikend, ter zake dienend en niet bovenmatig In dit verband wordt ook wel over doelbinding gesproken. Gebruik gegevens niet voor andere doeleinden dan waarvoor je ze hebt verzameld.
  • Bewaar data niet langer dan noodzakelijk. De bewaartermijnen zijn niet vastgesteld in de AVG. Deze zul je zelf moeten bepalen. Daarbij moet je kunnen motiveren waarom je ze voor die bepaalde duur bewaart.
  • Wees juist en nauwkeurig bij de verwerking van persoonsgegevens.
  • Doe aanprivacy by design en privacy by default. Dit houdt in dat je als organisatie bij de ontwikkeling van nieuw beleid of nieuwe diensten al rekening houdt met de privacy van betrokkenen en de rechten implementeert in nieuwe procedures.

En wat als je persoonsgegevens buiten de Europa verwerkt?

Het is belangrijk om per land waarin je opereert een passend niveau van gegevensbescherming te hanteren. In de Verenigde Staten geldt bijvoorbeeld het Privacy Shield. Als een bedrijf zich hieraan houdt geeft dat waarborgen voor een veilige verwerking van persoonsgegevens. Is er geen passend niveau van gegevensbescherming? Zorg dan bijvoorbeeld voor:

  • Duidelijke toestemming in een overeenkomst.
  • Het gebruik van het modelcontract van de Autoriteit Persoonsgegevens.
  • Goedgekeurde gedragscodes en certificeringen.

Nog even kort over de e-Privacy Verordening

Naast de AVG is de Europese Commissie ook bezig met een nieuwe e-Privacy Verordening. Deze gaat de huidige e-Privacy richtlijn uit 2002 vervangen als aanvulling op de AVG. De bedoeling was om deze twee verordeningen tegelijkertijd te lanceren, maar dit is niet gelukt. De verordening breidt de privacyregelgeving uit naar online diensten, waarbij ook de inhoud en metadata worden beschermd. Daarnaast geeft de e-Privacy Verordening regels over cookies en spam.

Meer weten?

Heb je vragen over wat de AVG voor jouw organisatie gaat betekenen? Neem dan contact met ons op.

Plaats een Reactie

We are part of Happy Horizon