De Algemene Verordening Gegevensbescherming, wat betekent dit voor u en hoe kunt u hieraan voldoen?

Geplaatst: 09-05-2018

De Algemene Verordening Gegevensbescherming (AVG) treedt in werking op 25 mei 2018 en dit is niet onopgemerkt gebleven. Er gaat geen week voorbij waarin u niets hoort over de nieuwe AVG. Dit is vreemd, want deze verordening heeft op 24 mei 2016 al haar intrede gemaakt. De implementatieperiode van de AVG beloopt twee jaar, daarna zal de AVG de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. Dit zal dus op 25 mei 2018 gaan gebeuren. In dit artikel wordt besproken wat uw organisatie praktisch moet regelen om deze regelgeving na te leven.

Om een goed begrip te krijgen van wat er praktisch geregeld moet worden, is het van belang om te  weten waarom de Europese Unie de AVG heeft opgesteld. Tot nu hebben alle lidstaten van de Europese Unie een eigen wet gebaseerd op de Europese privacyrichtlijn 1995. Deze richtlijn is door de Europese Unie vastgesteld toen het internet nog in de kinderschoenen stond. De Europese Unie beoogt met de nieuwe verordening aan te sluiten op de huidige samenleving en op de huidige bedrijfsvoering. Het gebruik van elektronische apparatuur is inmiddels aan de orde van de dag en verweven in de bedrijfsvoering van bedrijven. De steeds voortdurende digitalisering van de samenleving is dus de hoofdreden voor de nieuwe AVG.

Uit alle informatie die de Autoriteit Persoonsgegevens (AP) vrijgeeft, zijn een aantal kernpunten te halen. De AP geeft aan dat de nadruk voornamelijk ligt op de verantwoordelijkheid van organisaties om aan te kunnen tonen dat zij zich aan de wet houden. Het creëren van bewustwording binnen bedrijven is de rode draad van de AVG. Een goede eerste stap daartoe is uw verwerkingsproces inzichtelijk te maken. Ga na welke persoonsgegevens u met welk doel verwerkt binnen uw organisatie, waar deze gegevens vandaan komen en met wie u deze gegevens deelt. Een persoonsgegeven is een gegeven dat specifiek iets over een persoon zegt óf als het gegeven in combinatie met andere gegevens naar deze specifieke persoon kan leiden. Een onderscheid kan nog worden gemaakt tussen normale persoonsgegevens en bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn alle gegevens over ras of etnische afkomst,  politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gezondheid en seksueel gedrag of seksuele gerichtheid. Onder het verwerken van persoonsgegevens valt elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd door geautomatiseerde procedures. Te denken valt aan onder andere aan het verzamelen, vastleggen, ordenen of opslaan van gegevens. Van belang is dat u dit hele proces zo uitgebreid mogelijk op papier zet en zorgt dat u dit proces op verzoek van de AP kunt aanleveren.  

Ook dient u de betrokken personen te berichten over welke persoonsgegevens u van hen verwerkt en wat de rechten zijn die zij hebben. Kortweg gezegd hebben de betrokkenen nieuwe rechten gekregen in de AVG. Naast het recht op inzage, rectificatie en aanvulling, beperking van de verwerking, bezwaar en het recht met betrekking tot geautomatiseerde besluitvorming en profilering, hebben de betrokkenen ook het recht op dataportabiliteit en vergetelheid gekregen. Het beste kunt u hen informeren door alle rechten op te nemen in nieuwe privacy voorwaarden die u aan uw klant overhandigd wanneer u de opdracht sluit. Wanneer u uw bestaande klanten wilt informeren kunt u de nieuwe privacy voorwaarden met een begeleidend schrijven per post verzenden of mailen naar uw klanten.

Wanneer u gegevens van uw klanten laat verwerken door derde partijen dient u met deze derde partijen een verwerkingsovereenkomst te sluiten, waarin u opneemt hoe deze derde met de gegevens om moet gaan die u aanlevert. De verwerkingsovereenkomst dient in ieder geval te bevatten het doel van de verwerking, de manier en/of methode van de verwerking, een geheimhoudingsverklaring van de verwerker, afspraken over subcontractors, welke beveiligingsmaatregelen de ingeschakelde derde hanteert en wat de duur van de verwerking is.

In het kader van de bewustwording introduceert de AVG twee nieuwe begrippen, privacy by design en privacy by default. Het is van belang dat u uw organisatie vertrouwd maakt met deze uitgangspunten. Privacy by design ziet voornamelijk op de ontwerpfase van een bepaald product of dienst. Zorg dat al tijdens deze ontwerpfase rekening wordt gehouden met de bescherming van persoonsgegevens. Op deze manier voorkomt u dat nieuwe producten en/of diensten uit de pas lopen met de AVG. Privacy by default houdt in dat u technische en organisatorische maatregelen dient te nemen om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel.

Naast al het bovenstaande is ook de meldplicht datalekken aangescherpt en is er een registratieplicht voor alle datalekken in het leven geroepen. Van een datalek is sprake wanneer een beveiligingsincident heeft plaatsgevonden, zowel fysiek als digitaal, waarbij persoonsgegevens onbedoeld verloren zijn gegaan of niet is uit te sluiten dat persoonsgegevens in handen van derden zijn gekomen. Onder de AVG dienen alle datalekken te worden gedocumenteerd in een register dat u zelf dient op te stellen en bij te houden. Datalekken die ernstig nadelige gevolgen hebben voor de bescherming van de persoonsgegevens binnen uw organisatie dient u te melden bij de AP. Datalekken die waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkenen dienen bij de betrokkenen zelf gemeld te worden. Dit alles dient u binnen 72 uur na het ontdekken van het bestaan van het datalek te melden.

Voor grotere bedrijven met minimaal 250 medewerkers, overheidsinstanties en bedrijven die op grote schaal bijzondere persoonsgegevens verwerken gelden aanvullende regels. Zij dienen in- of extern een functionaris gegevensbescherming aan te nemen, die ervoor zorg draagt dat de AVG op de juiste manier wordt toegepast binnen de organisatie. Deze functionaris gegevensbescherming heeft een controlerende functie en moet onafhankelijk binnen de organisatie kunnen handelen. Daarnaast zijn bedrijven waar de gegevensverwerking waarschijnlijk een hoog privacy risico oplevert verplicht een  data protection impact assessment uit te voeren. Hierin moet onder andere een beoordeling van de privacy risico’s worden gemaakt en hoe het bedrijf omgaat met deze risico’s.

Zoals u hebt gelezen gaat de nieuwe AVG voor veel verandering zorgen binnen uw bedrijfsvoering. Dit alles heeft een grote impact op hoe u vanaf 25 mei met uw klantgegevens dient om te gaan. Mocht u naar aanleiding van het bovenstaande vragen hebben of bent u benieuwd naar wat wij voor u kunnen betekenen, neem dan contact met ons op. Dit kan per e-mail (info@remie.nl) of per telefoon (0413-241060). U kunt dan vragen naar de heer mr. R. (Rick) Janssen.

Terug naar overzicht