Wat houdt de Algemene Verordening Gegevensbescherming (AVG) in? En waarom is het belangrijk dat ook jij rekening houdt met de nieuwe regels voor het verwerken en beschermen van persoonsgegevens? We zetten tien vragen en antwoorden op een rijtje en organiseren een kennissessie.

Wil je meer weten over onze kennissessie op 12 april? Lees dan dit artikel.

# Krijg ik met de AVG te maken?

Vrijwel iedere  organisatie die persoonsgegevens beheert, opslaat of anderszins verwerkt moet zich vanaf 25 mei 2018 houden aan de AVG. De wet geldt in de hele Europese Unie (EU). Een andere benaming voor de AVG is de General Data Protection Regulation (GDPR). Een persoonsgegeven bestaat uit alle informatie van een geïdentificeerde of identificeerbare natuurlijke persoon. Naast bestanden met namen, adressen en bijvoorbeeld telefoonnummers vallen ook gegevens die gekoppeld zijn aan IP-adressen onder het begrip persoonsgegevens.

# Wat moet ik in mijn privacy statement opnemen?

Het is belangrijk dat je een privacy statement opstelt waarin je in eenvoudige taal uitlegt wat je doet met de persoonsgegevens. Zo dien je in de verklaring onder meer uit te leggen wat de doeleinden zijn van de verwerking, wat de grondslag is van de verwerking, wie de gegevens ontvangen en hoe lang je de gegevens bewaart. Je legt uit wanneer er sprake is van geautomatiseerde besluitvorming of wanneer je profielen bouwt. Het is bovendien van belang degenen van wie de persoonsgegevens verzameld worden te wijzen op hun rechten zoals het inzien van de persoonsgegevens, het aanpassen van deze gegevens, het laten vernietigen van de gegevens en het recht op gegevensoverdraagbaarheid. Ook moeten degenen van wie persoonsgegevens verzameld zijn gewezen worden op de mogelijkheid om een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.

# Mag ik voor elk doel persoonsgegevens vastleggen?

De verwerking van algemene persoonsgegevens is alleen toegestaan als tenminste 1 van de 6 in de AVG genoemde grondslagen van toepassing is. Eén van die grondslagen is het geven van toestemming door de betrokkene. Deze toestemming is echter alleen rechtsgeldig wanneer je kunt aantonen dat degene van wie de persoonsgegevens verzameld zijn door middel van een actieve handeling toestemming heeft gegeven. Het is niet toegestaan om in de algemene voorwaarden te ‘verstoppen’ dat mensen toestemming geven voor het gebruik van hun persoonsgegevens of om alvast checkboxjes aan te vinken in een formulier op een website. Bovendien kan degene van wie de persoonsgegevens verzameld zijn, de toestemming op ieder moment weer kan intrekken (opt-out).

Het vragen van toestemming is niet altijd nodig. Ga daarvoor na of jouw organisatie zich niet kan beroepen op 1 van de andere grondslagen. Een van deze grondslagen is bijvoorbeeld dat de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij degene van wie de persoonsgegevens verzameld zijn partij is. Een passend voorbeeld hiervan is het uitvoeren van een bemiddelingsovereenkomst.

Een derde grondslag die we willen noemen is dat de verwerking noodzakelijk is om te voldoen aan een wettelijke plicht, zoals de plicht tot loonaangifte. Voor de verwerking van bijzondere persoonsgegevens zoals gegevens over ras of gezondheid gelden striktere eisen. Het is de verantwoordelijkheid van degene die persoonsgegevens vastlegt om na te gaan welke grondslag(en) op de verwerking van toepassing is (zijn).

# Heb ik een administratieplicht?

Organisaties met meer dan 250 werknemers (maar onder omstandigheden ook organisaties met minder werknemers) zijn verplicht om alle verwerkingen van persoonsgegevens in kaart brengen en vast te leggen in een register. Bijvoorbeeld de verwerking van de persoonsgegevens van klanten, de personeelsadministratie, maar ook de lijst van personen aan wie je nieuwsbrieven stuurt. In dit register van de verwerkingsactiviteiten moet onder meer worden opgenomen welke persoonsgegevens er verwerkt worden, voor welke doeleinden, de categorieën van personen van wie de persoonsgegevens verzameld zijn, de ontvangers aan wie persoonsgegevens zullen worden verstrekt en zo mogelijk de maximale bewaartermijnen en op welke manier de gegevens worden beveiligd. Zorg dus dat jouw organisatie een correct en up-to-date verwerkingsregister bijhoudt. Dan kun je op elk moment aantonen dat je voldoet aan de verplichtingen.

# Mag ik een externe partij persoonsgegevens laten verwerken?

Volgens de AVG is de verwerkingsverantwoordelijke de persoon of organisatie die het doel en de middelen van het verwerken van persoonsgegevens bepaalt. Deze persoon verwerkt de gegevens of laat dat onder zijn of haar leiding doen door een externe partij. Wanneer je als verwerkingsverantwoordelijke persoonsgegevens laat verwerken, bijvoorbeeld in een applicatie van een derde partij, dan moet je met deze verwerker een zogeheten verwerkersovereenkomst afsluiten waarin je specifieke afspraken maakt over hoe de verwerker omgaat met deze persoonsgegevens. Ga na welke verwerkers jouw organisatie inschakelt. Leg afspraken vast en toets deze vooraf aan de regels van de AVG. Let op: de verwerker mag op zijn beurt geen derde partij inschakelen zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke.

# Moet ik privacy-risico’s van nieuwe verwerkingen onderzoeken?

Wanneer er privacy risico’s aan een verwerking zitten, bijvoorbeeld omdat je gebruik maakt van nieuwe technieken of omdat een beoordeling plaatsvindt op basis van profilering, dan moet je een Privacy Impact Assessment (PIA) uitvoeren. Dit is een onderzoek om privacy-risico’s in kaart te brengen en deze weg te nemen. Nadat de PIA is uitgevoerd en hieruit blijkt dat de nieuwe verwerking een hoog risico zou opleveren moeten maatregelen worden getroffen voordat de verwerking wordt uitgevoerd. Een PIA is erg nuttig en voorkomt privacy-risico’s.

# Moet ik een privacy officer aanstellen?

Een privacy officer, ofwel een functionaris voor de gegevensbescherming (FG), is een onafhankelijke persoon binnen de organisatie die adviseert en rapporteert over naleving van de AVG. Een privacy officer is verplicht voor overheidsorganisaties en organisaties die structureel personen observeren of op grote schaal gevoelige persoonsgegevens, zoals gezondheidsgegevens, verwerken. Een privacy officer kan iemand zijn die intern hiervoor is aangesteld, maar kan ook extern hiervoor worden gecontracteerd. Je kunt natuurlijk ook een privacy officer aanstellen op vrijwillige basis, zodat deze functionaris je kan helpen bij de uitvoering van de AVG.

# Wat doe ik als er persoonsgegevens kwijt zijn of zijn gelekt?

Net als onder de Wet bescherming persoonsgegevens ben je verplicht om datalekken met een bepaalde aard of omvang te melden bij de Autoriteit Persoonsgegevens. Echter, krachtens de AVG zullen alle datalekken intern moeten worden gedocumenteerd. Ook datalekken die niet gemeld hoeven te worden aan de Autoriteit Persoonsgegevens. Wanneer je als verwerker persoonsgegevens verwerkt voor een opdrachtgever dan ben je wettelijk verplicht alle datalekken te melden aan deze verwerkingsverantwoordelijke. Ook degenen van wie de persoonsgegevens verzameld zijn, moet je op de hoogte stellen als je vervelende gevolgen verwacht. Check of jouw organisatie een protocol heeft voor datalekken en zorg ervoor dat je ICT-beveiliging op orde is.

# Wat betekent privacy by design en privacy by default?

In de software die jouw organisatie gebruikt en voor de diensten die je organisatie verricht of uitvoert moet je vanaf het begin rekening houden met privacy. Vervolgens dien je er bij iedere vervolgstap in de ontwikkeling van de software of dienst opnieuw rekening te houden met de privacyaspecten Dit heet privacy by design. Voorts moet de standaardinstelling van software en diensten zo privacy vriendelijk mogelijk zijn. Dit heet privacy by default. Probeer altijd te zoeken naar een oplossing die de minste inbreuk maakt op de privacy van betrokkenen.

# En wat als ik niet werk volgens de AVG?

Werk je niet volgens de regels of is jouw administratie over de verwerking van persoonsgegevens niet op orde, dan kan dat veel geld kosten. De Autoriteit Persoonsgegevens kan hoge boetes opleggen tot wel 20 miljoen euro of 4 procent van de wereldwijde omzet. Voorkom boetes. Zorg dat jouw medewerkers de nieuwe regels kennen en breng de procedures en processen binnen jouw organisatie in lijn met de AVG.