De impact van de AVG op uw bedrijfsvoering en IT

Inleiding

Op 25 mei 2018 treedt de AVG in werking. Welke impact heeft deze nieuwe Europese wetgeving op uw bedrijfsvoering en is uw IT hier klaar voor? In deze blog neem ik u mee langs de belangrijkste en opvallendste nieuwe regels en probeer ik u aan de hand van alledaagse voorbeelden kennis te laten maken met wat de AVG van uw bedrijfsvoering en IT verlangd. U zult snel merken, er wijzigt nogal wat! Het goede nieuws is dat u nu kunt starten, zodat u 25 mei 2018 klaar bent, of beter gezegd compliant bent.

Op 4 mei 2016 is de AVG gepubliceerd in het publicatieblad van de Europese Unie. Vervolgens is op 24 mei 2016 de AVG in werking getreden, maar pas vanaf 5 mei 2018 is de AVG van toepassing. De periode van twee jaar tussen het in werking treden en het van toepassing worden van de AVG is bedoeld voor organisaties en toezichthouders om zich goed voor te bereiden op de consequenties van de AVG. Totdat de AVG in volle omvang per 25 mei 2018 in werking treedt is in Nederland de WBP, Wet bescherming persoonsgegevens, van kracht.

Over de schrijver

Jelle Bemener is managing director van Beem-IT. In zijn werk is Jelle vaak inhoudelijk betrokken bij security vraagstukken met betrekking tot de IT-omgevingen van overheden, bedrijven en klanten in het domein waar gewerkt wordt met gevoelige, gerubriceerde data. De jarenlange ervaring aangevuld met een gezonde interesse in de regels van deze nieuwe wet hebben Jelle doen besluiten dit blog te publiceren. Uiteraard is Jelle graag bereid om bij vragen of onduidelijkheden zijn visie en interpretatie te delen.

Dit artikel is grotendeels tot stand gekomen met informatie van de website van de autoriteit persoonsgegevens. In de voetnoot vind u tevens de andere bronnen vermeld.

Beem-IT biedt u de mogelijkheid om middels consultancy of workshops de AVG voor uw organisatie te verhelderen. Ook zijn we graag bereid te helpen bij de implementatie van een AVG-compliant beleid en de beschrijving en/of maatregelen voor uw IT.

jelle@beem-it.nl
Telefoon 0638739723

 

Waarom de AVG?

Niet enkel, maar toch voor een belangrijk deel uit onvrede over de huidige bescherming van onze privacy. Uit onderzoek is gebleken dat slechts 15% van de ondervraagden het gevoel heeft volledige zeggenschap te hebben over de informatie die ze online verstrekken. Het gebrek aan vertrouwen belemmert de digitale economie en waarschijnlijk ook uw bedrijf.

De AVG zorgt voor één geheel aan regels voor alle bedrijven die gegevens verwerken in de EU. Zaken doen wordt zo makkelijker en eerlijker.

Wat moet uw bedrijf doen?

Communiceren

Bij het verwerken van persoonsgegevens moet u heldere taal gebruiken. U heeft de plicht te vertellen wie u bent en waarom u de persoonsgegevens verwerkt. U moet ook laten weten hoe lang u deze gegevens bewaard en wie deze gegevens ontvangt.

Toestemming vragen

U heeft de plicht om ondubbelzinnige toestemming te verkrijgen voor het verwerken van gegevens. Ook moet u de leeftijdsgrens voor ouderlijke toestemming naleven.

Data portabiliteit

Personen wiens gegevens u heeft geregistreerd moeten deze gegevens kunnen opvragen met als doel deze gegevens aan een ander bedrijf te kunnen verstrekken. U bent verplicht hieraan uw medewerking te verlenen.

Waarschuwen

U bent verplicht mensen te informeren over inbreuken met betrekking tot persoonsgegevens indien deze voor hen een risico vormen.

Vernietigen

Personen hebben het recht om vergeten te worden (recht op vergetelheid). Wis persoonsgegevens wanneer daar vanuit de betreffende persoon een verzoek komt, maar let ook op de uitzonderingen.

Profilering

Wanneer u gebruik maakt van profilering gelden er regels voor juridisch bindende overeenkomsten. U mag bijvoorbeeld geen gebruik maken van een apparaat voor de controle van een procedure, dit moet een menselijke handeling zijn. Ook moet u de aanvragen van een overeenkomst het recht geven om het besluit aan te vechten.

Marketing

U bent verplicht mensen het recht te geven zich af te melden voor direct marketing die gebruik maakt van hun gegevens. Deze handeling dient voor de gebruiker met een klik geregeld te kunnen worden.

Bijzondere persoonsgegevens

Neem extra maatregelen wanneer u bijzondere persoonsgegevens verwerkt. U dient extra maatregelen te nemen bij het verwerken van informatie over gezondheid, ras, seksuele geaardheid, religie en politieke overtuiging.

Gegevens doorgifte buiten de EU

Maak juridische afspraken wanneer u gegevens doorgeeft aan landen die niet zijn goedgekeurd door de EU-autoriteiten.

Verwerkt u gegevens voor een ander bedrijf

Zorg dan voor een waterdicht, ondubbelzinnig contract waarin de verantwoordelijkheden van elke partij volledig staan vermeld.

Wat zijn persoonsgegevens

Persoonsgegevens betreft informatie over een geïdentificeerde of identificeerbaar natuurlijk persoon. De informatie kan worden gebruikt om natuurlijk persoon direct, maar ook indirect, te identificeren. Voor de hand liggende persoonsgegevens zijn iemands naam, adres, woonplaats, BSN-nummer of emailadres. Ook kun je denken een kenteken of IP-adres.

Wat zijn dan bijzondere persoonsgegevens?

Bijzondere persoonsgegevens betreffen de meer gevoelige gegevens zoals iemand ras, politieke opvattingen, geloofsovertuiging, lidmaatschap van vakvereniging, gegevens over aanraking met justitie of politie. De wet biedt voor deze bijzondere persoonsgegevens hoge mate van bescherming. De AVG breidt de bijzondere persoonsgegevens uit met twee categorieën;

–      Genetische gegevens (bijvoorbeeld DNA dat informatie geeft over gezondheid)
–      Biometrische gegevens (bijvoorbeeld een vingerafdruk wat een uniek identificatiemiddel is)

Welk onderscheid geldt voor persoonsgegevens en bijzondere persoonsgegevens

De verwerking van bijzondere persoonsgegevens is op grond van AVG (maar ook nu in de Wbp) verboden, tenzij sprake is van een wettelijke uitzondering. Een wettelijke uitzondering is bijvoorbeeld de uitdrukkelijke toestemming van de persoon wiens persoonsgegevens het betreft.

Verwerking van Persoonsgegevens in IT-systemen

Belangrijk bij het verwerken van persoonsgegevens is dat u rekening houdt met de volgende basisbeginselen waaraan alle verwerkingen van persoonsgegevens moeten voldoen

Rechtmatig en transparant:

  • Informatie over de verwerking van persoonsgegevens moet eenvoudig toegankelijk en begrijpelijk zijn, in heldere (niet-juridische) taal. Dit geldt voor alle communicatie, uw privacy statement en het afhandelen van verzoeken om inzage, correcties en bezwaren.

Doelbindingsprincipe:

  • U dient helder en goed onderbouwd te omschrijven voor welke doeleinden u overgaat tot het verwerken van persoonsgegevens. Verwerken voor bedrijfsdoeleinden is niet specifiek genoeg. Let er voorts op dat de persoonsgegevens die rechtmatig zijn verkregen voor bepaalde doeleinden, niet mogen worden gebruikt voor andere doeleinden.

Dataminimalisatie:

  • U mag enkel de noodzakelijke gegevens verzamelen (gelet op het doel waarvoor u deze verzamelt). Persoonsgegevens moeten zo snel mogelijk worden vernietigd. Hiervoor geldt: vernietigen zodra ze niet meer relevant zijn. Persoonsgegevens van een sollicitant na afwijzing, mogen niet zonder toestemming langer bewaard worden. Persoonsgegevens dienen in niet meer systemen te worden opgeslagen dan strikt noodzakelijk

Juistheidsprincipe:

  • U bent verplicht om ervoor te zorgen dat de gegevens niet onjuist of achterhaald zijn. U moet bij twijfel de juistheid controleren of verifiëren.

Opslagbeperking:

  • Bewaar de persoonsgegevens niet langer dan nodig. De AVG bevat, net als de Wbp, geen specifieke bewaartermijnen maar alleen algemene normen. Daarvoor geldt: documenteer duidelijk welke bewaartermijnen worden gehanteerd en waarom. Let op dat de bewaartermijnen wel in andere wetten kunnen zijn vastgelegd. Fiscale wetgeving eist bijvoorbeeld dat de administratie gedurende 7 jaar wordt bewaard. Soms worden de bewaartermijnen dus voor u ingevuld.

Integriteit en vertrouwelijkheid:

  • De verantwoordelijke moet afdoende en passende technische, maar ook organisatorische maatregelen nemen om te voorkomen dat er ongeautoriseerde toegang of ongeoorloofd gebruik van de persoonsgegevens mogelijk is. Een inbreuk, of veiligheidslek moet worden gemeld (meldplicht datalekken) Hierover later nog meer.

Verantwoordingsplicht:

  • De verantwoordelijke moet kunnen aantonen dat zij zich houdt aan de AVG. Dit houdt voornamelijk voornoemde documentatieplicht in. Uit de documentatie moet onlosmakelijk op te maken zijn op welke manier de naleving is gewaarborgd.

Hoe zijn de systemen beveiligd, op welke manier worden gegevens verkregen en verwerkt? Wie heeft waar toegang toe? Waarom worden deze gegevens verwerkt? Is het noodzakelijk dat deze gegevens worden verwerkt? Hoe wordt aan het dataminimalisatieprincipe voldaan? Welke bewaartermijnen worden gehanteerd en waarom? En is vernietiging na afloop van de termijn geautomatiseerd?

Als de toezichthouder een vermoeden heeft dat uw organisatie de verplichtingen niet naleeft, dan moet uw organisatie kunnen aantonen dat zij dat wel doet. Lukt dat niet, dan staat vast dat uw organisatie de wet overtreden heeft.

Verantwoordelijke of be(ver)werker

Een bewerker is de partij die uw organisatie als verantwoordelijke inschakelt, om persoonsgegevens te verwerken. Zo is bijvoorbeeld een SAAS-dienstverlener in de meeste gevallen een bewerker, omdat zij de database waarin de persoonsgegevens van uw klanten staan, beheert en host.

De AVG stelt het verplicht om een bewerkersovereenkomst te sluiten met partijen aan wie uw organisatie de opdracht geeft om persoonsgegevens te verwerken. De AVG noemt het overigens een verwerker en dus ook een verwerkersovereenkomst.

De AVG bepaalt dat ook de bewerker hoofdelijk aansprakelijk is voor schade van de betrokkenen, indien de schade is veroorzaakt doordat de bewerker onvoldoende technische en organisatorische maatregelen heeft getroffen. Let er dus op dat uw organisatie vanaf volgend jaar dus ook als bewerker rechtstreeks aansprakelijk kan worden gesteld op basis van de wet! Belangrijk is in dat kader dat de AVG de bewerker letterlijk verbiedt om een sub-bewerker in te schakelen, zonder toestemming van de verantwoordelijke. Doet u dat wel, dan is uw organisatie dus aansprakelijk voor alle schade. Zo kan uw bedrijf bijvoorbeeld een partij inhuren die de webshop bouwt en onderhoudt (dat is de bewerker). De webshop bouwer zal weer de webshop en de database met persoonsgegevens van uw klanten laten hosten door een hostingpartij/ datacenter. Dat datacenter is dan een sub-bewerker.

De AVG bepaalt dat de verwerkersovereenkomst op schrift moet staan (elektronisch is ook mogelijk). Mondelinge afspraken zijn dus niet voldoende. Het is toegestaan om deze overeenkomst in de algemene (inkoop)voorwaarden te integreren. De AVG stelt een behoorlijk aantal inhoudelijke eisen aan de verwerkersovereenkomst, zoals: de verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke; de bewerker heeft een geheimhoudingsverplichting opgelegd aan werknemers, de bewerker neemt alle vereiste technische en organisatorische maatregelen en de verwerker werkt mee aan een audit van de verantwoordelijke.

Verantwoordelijken (organisaties die persoonsgegevens verwerken voor eigen geformuleerde doeleinden) hebben een verantwoordingsplicht. Zij moeten gedocumenteerd kunnen aantonen op welke wijze zij voldoen aan de AVG.

Uw plichten als verantwoordelijke

Verantwoordelijken (organisaties die persoonsgegevens verwerken voor eigen geformuleerde doeleinden) hebben de plicht gedocumenteerd aan te kunnen tonen op welke wijze zij voldoen aan de AVG.

–      U dient voldoende openheid en transparantie te bieden aan betrokkenen. Dit kan bijvoorbeeld middels een privacy statement. Informatieve (elektronische) communicatie kan ook voorstaan. De AVG stelt inhoudelijke voorwaarden aan een privacy statement, zie

–      U dient uw verwerkingsactiviteiten bij te houden in een register. In het register moet worden bijgehouden wat de verwerkingsdoelen zijn, welke categorieën van betrokkenen er zijn en aan wie de persoonsgegevens zijn, of zullen worden verstrekt (bewerkers). Daarnaast dient de bewaartermijn van de gegevens en een algemene beschrijving van technische en organisatorische beveiligingsmaatregelen opgenomen te worden.

De Functionaris Gegevensbescherming (FG).

Van een FG wordt verwacht dat hij/zij bovengemiddeld vakkennis bezit op het gebied van privacywetgeving en tevens op het gebied van de praktijk van gegevensbescherming.Of u verplicht bent een FG aan te stellen hangt af van u organisatie. Volgens artikel 37 van de AVG is een FG in drie situaties verplicht.

Overheid en publieke organisaties

Deze organisaties zijn te allen tijde verplicht een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het gaat hier om Rijsoverheid, gemeenten, provincies, maar ook zorg- en onderwijsinstellingen.

Observatie organisaties

Organisaties die op grote schaal, of als kernactiviteit individuen volgen voor bijvoorbeeld het maken van risico inschattingen of het volgen van iemands fysieke gesteldheid d.m.v. meet apparatuur (wearables) zijn tevens verplicht een FG aan te stellen

Bijzondere persoonsgegevens

Organisaties die op grote schaal bijzondere persoonsgegevens verwerken zijn tevens verplicht een FG aan te stellen. Het gaat dan om verwerken van bijzondere persoonsgegevens als kernactiviteit en op grote schaal.

Andere situaties

EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht wordt gesteld. Het is momenteel nog niet bekend of dit in Nederland ook gaat gebeuren.

Gegevensbeschermingseffectbeoordeling (DPIA)

Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

In de Nederlandse vertaling van de AVG wordt de term data protection impact assessment (DPIA) Gegevensbeschermingseffectbeoordeling genoemd.

Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor diegene wiens gegevens verwerkt worden. Dit is in ieder geval zo bij;

  • Profilering of andere systematische evaluatie van persoonlijke gegevens
  • Op grote schaal verwerken van bijzondere persoonsgegevens
  • Op grote schaal volgen van mensen in publiek toegankelijk gebied (cameratoezicht, wearables).

Meer informatie over DPIA kunt u hier vinden

https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacycheck/privacy-impact-assessment-pia

Toezichthouder voor Nederland

De toezichthouder voor Nederland is de Autoriteit persoonsgegevens. De Autoriteit persoonsgegevens is gevestigd in Den Haag en informatie over de AP, zo ook achtergronden bij de AVG zijn te vinden op autoriteitpersoonsgegevens.nl

Voorbereiden op de AVG

De autoriteit persoonsgegevens heeft een tien stappenplan ontwikkeld om u te helpen zich voor te bereiden op de AVG.

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/in_10_stappen_voorbereid_op_de_avg.pdf

Bronvermelding

Website van de autoriteit persoonsgegevens

Website ec.europa.eu

Whitepaper Köster Advocaten

 

 


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *