De AVG, hoe zit het precies?

Op 25 mei 2018 gaat de AVG in (Algemene Verordening Gegevensbescherming); een nieuwe privacywet voor de hele Europese Unie. De huidige Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Voorkom een miljoenenboete en bereid uw bedrijf hier goed op voor.

Strengere privacywetgeving
Binnen de Europese Unie zijn nu nog 28 verschillende privacywetten van kracht, die voortkomen uit de Europese privacyrichtlijn van 1995. Al deze wetten vervallen als op 25 mei 2018 de AVG echt ingaat. Vanaf die datum geldt er één privacywet voor de hele Europese Unie. Een nieuwe wet die past bij de gedigitaliseerde samenleving van nu. Internationaal wordt de AVG, General Data Protection Regulation (GDPR) genoemd.

Privacyrechten worden met de AVG versterkt en uitgebreid. Gebruikers (zoals uw klanten) krijgen door de AVG meer mogelijkheden voor zichzelf op te komen als het gaat om de verwerking van hun gegevens. Zij krijgen meer zeggenschap over hun gegevens en wat bedrijven daar mee doen. Zij kunnen bijvoorbeeld inzage vragen in opgeslagen data, of de verleende toestemming intrekken.

Van Wbp naar AVG
De AVG trad in het voorjaar van 2016 al in werking, maar op 25 mei 2018 gaat de AVG écht in en moeten bedrijven aan de nieuwe privacyregels voldoen. In de tussenliggende overgangsperiode geldt in Nederland nog de Wet Bescherming Persoonsgegeven (Wbp) en kunnen bedrijven en organisaties zich voorbereiden op de nieuwe, strengere privacywetgeving.

Voor wie?
De Europese wet geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers krijgen ermee te maken, ook zzp’ers en klein mkb. De wet geldt ook voor scholen, zorginstanties, verenigingen en stichtingen.

Activiteiten vallen veel sneller onder de privacywet. Naast namen van personen en adressen vallen ook gegevens gekoppeld aan IP-adressen, cookies, een e-mailadres en dergelijke onder de wet. Ook als u niet weet wie er schuilgaat achter deze gegevens, moet u ze als privacygevoelig behandelen.

U krijgt al met de AVG te maken door het versturen van een offerte, factuur of (digitale) nieuwsbrief. Of het bijhouden van afspraken met klanten, contactgegevens van klanten (zoals adres, e-mailadres of telefoonnummers) of personeelsinformatie.

Wat betekent de AVG voor u?
De AVG dwingt ondernemers tot meer actie en maatregelen. U heeft verantwoordingsplicht en moet kunnen aantonen dat u zich aan de wet houdt. Met documenten moet u kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. En u moet kunnen bewijzen dat u geldige toestemming heeft gekregen voor het verwerken van persoonsgegevens. Maakt u gebruik van de diensten van een verwerker, dan moet een en ander worden vastgelegd in een verwerkersovereenkomst.

Doet u met uw bedrijf zaken in meerdere EU-lidstaten, dan krijgt u door de AVG meer rechtszekerheid en heeft u nog maar met één toezichthouder te maken. Ook scheelt de AVG u dan administratieve- en nalevingskosten.

Wat als u niet op tijd aan de AVG voldoet?
Uw bedrijf moet op 25 mei 2018 dus voldoen aan de AVG. In Nederland is de Autoriteit Persoonsgegevens (AP) het orgaan dat hierop toezicht gaat houden en zal handhaven. De AP kan uw organisatie sancties opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.

Voorbereiden op de AVG
Er zijn een aantal stappen die u nu al kunt nemen om uw en uw bedrijf goed voor te bereiden op de AVG. De Autoriteit Persoonsgegevens heeft hiervoor een 10-stappenplan opgesteld.

Dit jaar komt er een nieuwe privacywetgeving. Op 25 mei 2018 vervangt de AVG (Algemene Verordening Gegevensbescherming) de huidige regelgeving. Binnen de EU bestaan nu nog verschillen, met de ingang van de AVG is er 1 privacywet voor de hele Europese Unie.

De strengere Europese wet geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen. Activiteiten vallen veel sneller onder de privacywet. Naast namen en adressen vallen ook gegevens gekoppeld aan IP-adressen, cookies en dergelijke onder de wet. Ook als u niet weet wie er schuilgaat achter deze gegevens, moet u ze als privacygevoelig behandelen.

De AVG dwingt ondernemers tot meer actie en maatregelen. De nadruk van de verordening ligt op het aantonen dat u zich aan de wet houdt. De verordening sluit beter aan bij de eisen van de huidige, digitale tijd.

Uw bedrijf op tijd voorbereiden op de AVG
De nieuwe Europese wetgeving gaat in per 25 mei 2018. Begin op tijd met voorbereidingen zodat u en uw bedrijf er op tijd klaar voor zijn.

  1. Bewustwording:

Zorg dat iedereen in uw onderneming bekend is met de nieuwe privacyregels.

  1. Rechten van betrokkenen:

Houd alvast rekening met de extra privacyrechten die personen krijgen zoals het recht op inzage en het recht op correctie en verwijdering.

  1. Overzicht verwerkingen:

Maak inzichtelijk welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang tot de gegevens hebben.

  1. Data protection impact assesment (DPIA):

Maak een data protection impact assesment en voldoe aan de verplichting om vooraf de risico’s van gegevensverwerking in kaart te brengen.

  1. Privacy by design en privacy by default:

Houd bij het ontwerpen van nieuwe producten rekening met de bescherming van privacygevoelige informatie. Verwerk alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel.

  1. Functionaris gegevensbescherming:

De AVG verplicht grootschalige gegevensverwerkers een functionaris gegevensbescherming aan te stellen. Inventariseer of dat voor uw organisatie van toepassing is.

  1. Meldplicht datalekken:

Herijk uw procedures voor het vastleggen en melden van datalekken. In de AVG wordt de meldplicht uitgebreid met de verplichting om alle datalekken te documenteren.

  1. Bewerkersovereenkomsten:

Zorg ervoor dat u een bewerkersovereenkomst hebt met iedere organisatie die persoonsgegevens voor u verwerkt. Controleer of bestaande overeenkomsten voldoen aan de AVG.

  1. Leidende toezichthouder bepalen:

Als uw organisatie in meerdere EU-landen actief is, hoeft u maar met één privacy toezichthouder (bijvoorbeeld de Autoriteit Persoonsgegevens) zaken te doen, de leidende toezichthouder.

  1. Toestemming:

De nieuwe wetgeving stelt strengere eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. Evalueer daarom de manieren waarop u toestemming vraagt, krijgt en registreert. U moet kunnen aantonen dat er geldige toestemming is verkregen.

De stappen 1 t/m 8 nader uitgelicht:

Stap 1 en 2: bewustwording en informeren

De Algemene Verordening Gegevensbescherming (AVG) is een Europese regelgeving en vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. Als u gegevens over klanten of andere personen vastlegt, moet u in een privacyverklaring uitleggen wat u met die gegevens doet. Dat moet volledig en in eenvoudige taal.

Stap: 1 Bewustwording

Zorg dat iedereen in uw onderneming bekend is met de nieuwe privacyregels.

Stap 2: Informeren

Privacyverklaring

De privacyverklaring of een verwijzing naar de privacyverklaring moet eenvoudig te vinden zijn, daar waar u om persoonsgegevens vraagt. In de privacyverklaring staan in ieder geval:

  • uw bedrijfsgegevens
  • het doel van de gegevensvastlegging
  • welke gegevens u verzamelt
  • aan wie u de gegevens eventueel doorgeeft
  • hoe lang u de gegevens bewaart
  • uitleg over cookies en de reden van gebruik (bij gebruik van cookies)
  • de door u toegepaste beveiliging van de vastgelegde persoonsgegevens
  • het recht op inzage, correctie, verwijdering en het meenemen van eigen gegevens (dataportabiliteit)
  • het recht op intrekking van verleende toestemming
  • het recht om een klacht in te dienen

Eigen gegevens

Het recht om de eigen gegevens in te zien, te corrigeren en aan te vullen was in de oude privacywetgeving al geregeld. Op verzoek moest u de persoonsgegevens ook al verwijderen. Deze rechten blijven onder de nieuwe wet bestaan. Daar komt het recht op dataportabiliteit bij. U moet ervoor zorgen dat mensen hun gegevens makkelijk kunnen ontvangen en kunnen doorgeven aan een andere organisatie als ze dat willen.

Toestemming

Iedereen krijgt door de AVG meer mogelijkheden om voor zichzelf op te komen. De privacyrechten worden versterkt en uitgebreid. De AVG beschrijft hoe u geldige toestemming van mensen kunt krijgen om de persoonsgegevens te mogen verwerken. Daarvoor is een bewuste handeling van de persoon nodig. U mag bijvoorbeeld het vakje voor toestemming niet alvast aankruisen. De verkregen toestemming moet u kunnen aantonen. Het intrekken van de toestemming moet net zo makkelijk zijn als het geven van toestemming.

Klachten

U moet mensen wijzen op de mogelijkheid om bij de Autoriteit Persoonsgegevens een klacht in te dienen over hoe u met hun persoonsgegevens omgaat.

Stap 3 en 4: verwerkingsregister en beoordeling impact

De Algemene Verordening Gegevensbescherming (AVG) is een Europese regelgeving en vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. Onderdeel van de AVG is uw verantwoordingsplicht. U moet namelijk kunnen aantonen dat uw bedrijf in overeenstemming met de AVG werkt. Stap 3 en stap 4 in uw voorbereiding op de AVG gaan over deze verantwoordingsplicht.

Stap 3: Verwerkingsregister

De AVG verplicht organisaties om de verwerking van persoonsgegevens bij te houden in een register. Deze verplichting geldt voor vrijwel alle organisaties.

Verplicht gebruik register

U bent verplicht om met een register te werken waarin u de verwerking van persoonsgegevens bijhoudt, als uw organisatie:

  • persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor), of
  • risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, of
  • meer dan 250 medewerkers heeft.

In de praktijk zullen (vrijwel) alle organisaties verplicht zijn de verwerking van persoonsgegevens in een register bij te houden. Dit omdat binnen een organisatie klanten-, leveranciers- of personeelsbeheer altijd vaker voorkomt.

Inhoud register

In het verwerkingsregister neemt u op welke persoonsgegevens u gebruikt, voor welk doel , waar u ze opslaat en met wie u ze eventueel deelt. Het register kunt u schriftelijk of elektronisch bijhouden.

Als betrokken personen u vragen hun gegevens te corrigeren of te verwijderen kunt u dit register hiervoor nodig hebben. U moet deze verzoeken ook doorgeven aan de organisaties waarmee u de persoonsgegevens hebt gedeeld.

Stap 4: Beoordeling impact met DPIA

Bij het verwerken van gegevens met een hoog privacyrisico is een ‘data protection impact analyse’ (DPIA) verplicht. Met deze gegevensbeschermingseffectbeoordeling brengt u de privacyrisico’s van de verwerking van gegevens in kaart. Blijkt uit de DPIA dat de privacyrisico’s hoog zijn, dan kunt u maatregelen nemen om de risico’s te verkleinen.

Verplicht uitvoeren DPIA

Een DPIA moet u in ieder geval uitvoeren als u:

  • bijzondere persoonsgegevens als ras, godsdienst, gezondheid, politieke opvattingen, genetische – of biometrische gegevens op grote schaal verwerkt, of
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht, of
  • gegevens zo combineert, dat iemand in een bepaalde categorie of groep is in te delen en daardoor zo kan worden benaderd of beoordeeld (profilering)

DPIA, 9 criteria voor toetsing

Er zijn 9 criteria om te toetsen of u een DPIA moet uitvoeren. Volg de link voor meer info.

De Autoriteit Persoonsgegevens (AP) publiceert op termijn een lijst van gegevensverwerkingen waarvoor een DPIA verplicht is.

Stap 5 en 6: inrichten en toezicht

De Algemene Verordening Gegevensbescherming (AVG) is een Europese regelgeving en vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. Bij het inrichten van uw gegevensbestanden en bij het opvragen van persoonsgegevens kunt u al rekening houden met de AVG. Soms is het verplicht een functionaris gegevensbescherming aan te stellen.

Stap 5: Inrichten systemen

Bij het inrichten van uw systemen kunt u technisch al een zorgvuldige omgang met persoonsgegevens afdwingen.

Privacy by design

Vraag geen gegevens op die u niet nodig heeft. Voor de verzending van een e-mailnieuwsbrief heeft u bijvoorbeeld geen woonadres nodig. In de AVG wordt dat privacy by design genoemd.

Privacy by default

Bij het vragen om persoonsgegevens moet de standaardinstelling van uw systemen zo privacyvriendelijk mogelijk zijn. De persoon kan zelf gegevens achterlaten of een actieve handeling verrichten om toestemming te geven (opt-in).

U mag bijvoorbeeld geen (web)formulier gebruiken waarop al een vakje is aangevinkt. Ook mag u niet automatisch informatie naar iemand toezenden, zonder dat diegene daar vooraf toestemming voor heeft gegeven. De standaardinstellingen moeten de privacy van iemand respecteren (privacy by default) totdat de persoon zelf toestemming geeft.

Stap 6: Toezicht

Functionaris gegevensbescherming

In bepaalde gevallen is het verplicht om voor uw organisatie een functionaris gegevensbescherming (FG) aan te stellen, ook wel data protection officer (DPO), genoemd. De funtionaris gegevenbescherming is een onafhankelijk persoon die binnen uw organisatie adviseert en rapporteert over naleving van de AVG.

Aanstelling van een functionaris gegevensbescherming is verplicht wanneer:

  • het de kernactiviteit van uw bedrijf is om op grote schaal gevoelige persoonsgegevens (zoals gezondheidsgegevens) te verwerken;
  • uw organisatie structureel mensen observeert (fysiek of digitaal, bijvoorbeeld via cameraobservatie).

Voor overheidsorganisaties geldt dat de functionaris gegevensbescherming (FG) vrijwel altijd verplicht is.

Intern of extern

De positie functionaris gegevensbescherming kan vanuit uw organisatie worden ingevuld, maar de functie kan ook door een externe partij worden vervuld.

Aandacht voor naleving van de AVG is ook van belang voor organisaties die niet verplicht zijn een functionaris gegevensbescherming aan te stellen.

Stap 7 en 8: datalekken en de verwerkersovereenkomst

De Algemene Verordening Gegevensbescherming (AVG) is een Europese regelgeving en vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. Onder de AVG moet u alle datalekken vastleggen en soms melden bij de Autoriteit Persoonsgegevens (AP). Laat u persoonsgegevens door een ander verwerken? Dan moet u afspraken vastleggen in een verwerkersovereenkomst.

Stap 7: Datalekken documenteren en melden

Een datalek

Een datalek heeft u als databestanden worden gehackt of als u onbedoeld toegang geeft tot bestanden. Ook een gestolen laptop of zoekgeraakte usb-stick is een datalek.

De AVG verplicht u om binnen uw organisatie alle datalekken vast te leggen en te documenteren.

Datalek melden

Een datalek moet zo snel mogelijk na ontdekking, zo mogelijk binnen 72 uur, worden gemeld bij de Autoriteit Persoonsgegevens. Deze meldingsplicht geldt niet als er geen risico’s voor (natuurlijke) personen uit voortkomen. Wel moet u ook dan het datalek intern vastleggen en documenteren. U beschrijft het datalek, de gevolgen van het datalek en de genomen maatregelen.

Datalek bij verwerken data voor anderen

Verwerkt u privacygevoelige data voor anderen? Dan bent u verplicht het datalek te melden aan uw opdrachtgever. Uw opdrachtgever meldt het zo nodig aan de AP.

Stap 8: Een verwerkersovereenkomst afsluiten

Als een ander bedrijf de persoonsgegevens voor u verwerkt en opslaat, dan moet u met dat bedrijf een verwerkersovereenkomst afsluiten. Zelfs zonder het wijzigen van gegevens kan er al sprake zijn van verwerken. Bijvoorbeeld als een externe helpdesk voor uw bedrijf gegevens inziet.

Wat staat er in een verwerkersovereenkomst?

In een verwerkersovereenkomst spreekt u af:

  • wat het doel en de aard van de verwerking is en welke soort persoonsgegevens worden verwerkt.

Verder spreekt u hierin af dat:

  • verwerking uitsluitend plaatsvindt op basis van uw schriftelijke instructies. Er mogen dus geen persoonsgegevens voor andere doeleinden worden gebruikt;
  • personen in dienst van of werkzaam voor de verwerker, een geheimhoudingsplicht hebben;
  • de verwerker passende technische en organisatorische maatregelen treft om de verwerking van persoonsgegevens te beveiligen;
  • de verwerker zonder uw schriftelijke toestemming de verwerking niet door een ander mag laten uitvoeren;
  • de verwerker u helpt om te voldoen aan verzoeken van betrokkenen, als het gaat om hun privacyrechten. Zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit;
  • de verwerker u helpt om andere verplichtingen na te komen, zoals het melden van datalekken;
  • de verwerker na afloop van de verwerkingsdiensten de gegevens verwijdert of naar u terugstuurt. Ook verwijdert hij kopieën, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren;
  • de verwerker meewerkt aan audits van u of een derde partij. Hiervoor stelt de verwerker alle relevante informatie beschikbaar zodat gecontroleerd kan worden of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen.

 

Bron: www.kvk.nl