AVG

Algemene Verordening Gegevensbescherming (AVG)

De Europese privacyverordening General Data Protection Regulation (GDPR) gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’. In het Nederlands heet de GDPR Algemene Verordening Gegevensbescherming (AVG).

De AVG is in mei 2016 al in werking getreden. Er zit een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is, dat zal gebeuren in mei 2018. Deze overbruggingsperiode van 2 jaar is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Tijdens deze overbruggingsperiode geldt in Nederland nog steeds de Wbp (= wet bescherming persoonsgegevens).

Als de AVG van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability). Dat vergt een gedegen voorbereiding.

Wat zijn persoonsgegevens?

Het begrip ‘persoonsgegevens’ is gewijzigd in: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’.
Onder persoonsgegevens vallen naast bestanden met namen, adressen etc. nu ook gegevens die zijn gekoppeld aan IP-adressen, Media Acces Control (MAC)-adressen, kentekens, cookies en dergelijke onder de wet. Ook als degene achter een cookie niet bekend is, moet u zijn gegevens behandelen als privacygevoelig.

Blijf op de hoogte

De wet is op sommige punten nog wel wat onduidelijk. Op dit moment is de Autoriteit Persoonsgegevens (AP) bezig om de richtlijnen concreet uit te werken. Dat gebeurt overigens in alle landen van de EU. De contouren zijn wel helder, de precieze vormgeving van de wet wordt gaandeweg steeds verder geconcretiseerd. Zorg dat u als organisatie op de hoogte blijft van alle relevante ontwikkelingen. Ook wij zullen ons best doen u zoveel mogelijk up-to-date te houden.

De belangrijkste uitgangspunten van de AVG zijn:

  • transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten;
  • doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden;
  • gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld;
  • juistheid: de persoonsgegevens moeten correct zijn en blijven;
  • bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel;
  • integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging;
  • verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen.

Wat kunt u nu doen?

U heeft nog tot mei 2018 de tijd, maar onderschat het niet. Er is veel werk aan de winkel en het is zaak dit snel en serieus aan te pakken. Daarom onderstaand een 10-stappenplan.

  1. Bewustwording
  2. Rechten van betrokkenen
  3. Overzicht verwerkingen
  4. Privacy impact assesment (PIA)
  5. Privacy by design & privacy by default
  6. Functionaris voor de gegevensbescherming
  7. Meldplicht datalekken
  8. Bewerkersovereenkomsten
  9. Leidende toezichthouder
  10. Toestemming

Stap 1. Bewustwording

Informeer werknemers over de aankomende veranderingen en zorg ervoor dat sleutelfiguren (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. U dient er daarom rekening mee te houden dat de implementatie van de AVG veel kan vragen van beschikbare tijd en middelen, begin er daarom op tijd mee.

Bedenk dat de Autoriteit Persoonsbescherming (AP) uw organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.

Stap 2: Rechten van betrokkenen

Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) in het kader van transparantie meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering.

Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Privacyverklaring

Al met al is de informatieplicht in de AVG behoorlijk uitgebreid. U kunt hierover informatie verschaffen in een privacyverklaring. Die kunt u op de website plaatsen, in een pop-up bij een app of voegen bij andere documentatie die een betrokkene ontvangt. Let wel: de informatie moet verstrekt worden op het moment dat u de persoonsgegevens van iemand ontvangt. Een privacystatement moet dus niet achteraf toegestuurd worden, maar direct beschikbaar zijn voor de betrokkene. Uitzondering: de informatie hoeft niet verstrekt te worden als de betrokkene al over de informatie beschikt; het onmogelijk is of onevenredig veel inspanning zou vergen om de informatie te verstrekken; als informeren de doeleinden van de verwerking vrijwel onmogelijk maakt of als de verstrekking van de persoonsgegevens wettelijk is voorgeschreven.

De privacyverklaring moet zo duidelijk mogelijk zijn (duidelijke eenvoudige taal en op een toegankelijke en begrijpelijke manier afgestemd op de doelgroep). Om dat te bereiken moet u als bedrijf de betrokkenen in ieder geval het volgende laten weten:

  • Wie bent u en hoe kan de betrokkene contact opnemen met u en (indien van toepassing) uw Functionaris voor de Gegevensbescherming (contactgegevens).
  • Waarom verzamelt u persoonsgegevens en waarom mag dat (doelomschrijving, rechtsgrond en onderbouwing daarvan).
  • Aan wie gaat u de persoonsgegevens verder nog verstrekken.
  • Is de betrokkene verplicht om de gevraagde persoonsgegevens te verstrekken of niet? En wat zijn de gevolgen als hij/zij de persoonsgegevens niet verstrekt (noodzaak).
  • Waar en hoe kan de betrokkene vragen om inzage, rectificatie of het wissen van persoonsgegevens (recht om vergeten te worden), een klacht indienen of bezwaar maken?
  • Hoe kan een betrokkene een verleende toestemming intrekken?
  • Hoe lang verwacht u de persoonsgegevens te gaan bewaren?
  • Als de persoonsgegevens buiten de EU verwerkt gaan worden, welke waarborgen zijn er dan getroffen dat de persoonsgegevens in dat derde land conform de AVG verwerkt worden? Indien persoonsgegevens bijvoorbeeld in Amerika verwerkt worden, zou dat kunnen door aan te geven dat de Amerikaanse onderneming zich heeft aangesloten bij Privacy Shield.
  • Doet u aan geautomatiseerde besluitvorming (bijvoorbeeld profiling)? En zo ja, welke logica wordt daarvoor gebruikt?

De privacyverklaring wordt gezien als een eenzijdige overeenkomst. Houdt er dus rekening mee dat als u gebruikers in uw privacyverklaring meer belooft dan dat de wet u oplegt, men daarop mag rekenen. U kunt hier bijvoorbeeld denken aan een belofte om de gegevens aan geen ander door te geven.

Maakt u gebruik van cookies? Geef dat dan ook duidelijk aan, ook cookies kunnen namelijk persoonsgegevens bevatten.

Mensen kunnen bij de AP een klacht indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

Stap 3: Overzicht verwerkingen

Breng uw gegevensverwerkingen in kaart. Dat kan bijvoorbeeld in een Excel-bestand. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen, waar de data staat en met wie u deze deelt.

Onderschat deze stap niet: onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt.

U kunt het overzicht ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.

Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag u deze gegevens verwerkt. Beroept u zich bijvoorbeeld op een gerechtvaardigd belang of vraagt u toestemming aan de betrokkenen?

NB: de grondslagen in de AVG zijn grotendeels hetzelfde als die in de huidige Wet bescherming persoonsgegevens (Wbp).

Stap 4: Privacy impact assessment (PIA)

Onder de AVG kunt u verplicht zijn een zogeheten Privacy Impact Assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Op de site van de AP is meer informatie over en voorbeelden van de PIA te vinden.

U moet een PIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks PIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.

Komt uit een PIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.

Stap 5: Privacy by design & privacy by default

Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd.

Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:

  • een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
  • op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
  • als iemand zich op uw nieuwsbrief wil abonneren niet méér gegevens te vragen dan nodig is.

Elk proces moet met andere woorden vanaf het begin gericht zijn op privacy. Het houden van PIA’s is daar onderdeel van: een PIA analyseert de impact van bijvoorbeeld een nieuw systeem. Begin in dat opzicht nu al met het ontwikkelen van een goede strategie: wie voert de analyse uit? In welke situaties? Hoe kunnen bestaande systemen verbeterd worden door privacy by design?

Stap 6: Functionaris voor de gegevensbescherming (FG)

Er zijn drie soorten organisaties die onder de verordening verplicht zijn een FG te hebben:

  1. alle organisaties in de publieke sector (behalve rechterlijke instanties), zoals overheidsorganisaties;
  2. Organisaties die hoofdzakelijk belast zijn met het doen van verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  3. Organisaties die hoofdzakelijk belast zijn met het op grote schaal verwerken van bijzondere persoonsgegevens.

Stap 7: Meldplicht datalekken

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.

De nodige procedures moeten dus worden ontwikkeld om datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden. Onderzoek ook welke persoonsgegevens er toe kunnen leiden dat u de gebruiker zelf moet waarschuwen: bijvoorbeeld het geval wanneer bankgegevens gestolen worden en de gebruiker mogelijk bestolen kan worden.

Stap 8: Bewerkersovereenkomsten

Het sluiten van een bewerkersovereenkomst (dit wordt in de AVG een verwerkersovereenkomst) tussen de verantwoordelijke van de persoonsgegevens en de partij die de persoonsgegevens verwerkt (nu bekend als bewerker, in de AVG als verwerker) was al verplicht vanuit de Wbp.  Dus heeft u uw gegevensverwerking uitbesteed, bijvoorbeeld door het inschakelen van een telemarketingbedrijf of een hostingpartij, beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

Stap 9: Leidende toezichthouder

Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de ‘leidende toezichthouder’ genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacy-toezichthouder u valt.

Stap 10: Toestemming

Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.