AVG- Algemene Verordening Gegevensbescherming

1 mei 2018

Algemene Verordening Gegevensbescherming

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG is de opvolger van de Wet bescherming persoonsgegevens (Wbp) en is van toepassing op iedereen die met persoonsgegevens werkt. Voor veel ondernemingen geldt dat daarbij onderscheid gemaakt kan worden in twee soorten personen van wie gegevens worden gebruikt. Het betreft personeel van de onderneming en de klanten. Welke gegevens van klanten worden vastgelegd is afhankelijk van de aard van het bedrijf. Naarmate meer en ook bijzondere gegevens vastgelegd worden, gelden strengere voorschriften.

Persoonsgegevens
Alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon gelden als persoonsgegevens. Binnen de persoonsgegevens gelden gradaties. Aan bijzondere persoonsgegevens, zoals medische gegevens, etnische gegevens, seksuele of politieke voorkeuren worden strengere eisen gesteld bij de verwerking dan aan bijvoorbeeld NAW-gegevens.

Verwerking van persoonsgegevens
Verwerking is iedere vorm van verzamelen, vastleggen of gebruiken van persoonsgegeven in een bestand. Verwerking van persoonsgegevens moet rechtmatig zijn. Dat kan op basis van toestemming van de betrokkene of op basis van een wettelijke verplichting. Persoonsgegevens mogen alleen worden gebruikt voor het doel waarvoor zij verzameld zijn c.q. waarvoor de betrokkene toestemming heeft gegeven. Er mogen niet meer gegevens gevraagd of bewaard worden dan nodig is voor het doel. Toestemming moet expliciet worden gegeven, bijvoorbeeld voor het toesturen van nieuwsbrieven of aanbiedingen. Voor het vastleggen van gegevens van personeel gelden wettelijke verplichtingen, zoals het bewaren van een kopie van een identiteitsbewijs.

Bewaren persoonsgegevens
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Is het doel waarvoor gegevens zijn verzameld bereikt dan moeten zij vernietigd of teruggegeven worden (o.a NAW gegevens, emailadres, IP adres,BSN nummer).

Is er een noodzaak om deze gegevens te bewaren?

De noodzaak om gegevens op te slaan toetst u aan de hand van 6 gedefinieerde grondslagen.

Deze zijn:

1. toestemming gekregen van betrokkene
2. noodzakelijk voor de uitvoering van een overeenkomst
3. noodzakelijk voor het nakomen van een wettelijke verplichting
4. noodzakelijk ter bescherming van vitale belangen
5. noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
6. noodzakelijk voor de behartiging van de gerechtvaardigde belangen

Voor een accountantskantoor is het bijvoorbeeld van belang om persoonsgegevens van de werknemers, bestuurders, particulieren vast te leggen in het kader van haar werkzaamheden zoals administratie, loonadministratie, fiscale aangiftes ed..

Verwerkersovereenkomst
De AVG schrijft het bestaan van een verwerkersovereenkomst voor tussen de verantwoordelijke voor de verwerking van persoonsgegevens en de derde aan wie de verantwoordelijke de verwerking heeft uitbesteed. Als deze derde zelf het doel en de middelen van de verwerking vaststelt, is hij geen verwerker maar verwerkingsverantwoordelijke.
Verwerkers die persoonsgegevens verwerken voor een groot aantal verwerkersverantwoordelijken doen er goed aan te werken met één (model)verwerkersovereenkomst. Waar een verwerker gebruik maakt van de diensten van andere verwerkers is sprake van sub-verwerking. Sub-verwerking is alleen toegestaan met instemming van de verwerkingsverantwoordelijke. Ook tussen verwerker en sub-verwerker moet een verwerkersovereenkomst worden gesloten. De voorwaarden in de sub-verwerkersovereenkomst moeten aansluiten bij de verwerkersovereenkomst die de verwerker met de verwerkingsverantwoordelijke heeft gesloten.

-Wat moet er in een verwerkersovereenkomst staan?

In de overeenkomst legt u onder meer het volgende vast:

• Het onderwerp en de duur van de gegevensverwerking.
• De aard en het doel van de gegevensverwerking.
• Het soort persoonsgegevens.
• De categorieën van betrokkenen.
• De rechten en verplichtingen van de verwerkingsverantwoordelijke
• Geheimhoudingsplicht/ privacy rechten.
• Sub-verwerkers.

Dit laat zich vertalen in de volgende onderwerpen die in de overeenkomst kunnen worden opgenomen:

• Contractspartijen, wie zijn partij bij deze overeenkomst;
• Overwegingen waarin de rollen van de verschillende partijen worden benoemd;
• Begrippen, zodat termen als “persoonsgegevens” en “datalek” door alle partijen op dezelfde manier

worden uitgelegd;

• Wijze en duur verwerking, waarbij je aangeeft welke persoonsgegevens voor welke duur worden verwerkt;
• Datalekken, wat moet een verwerker doen wanneer er een datalek is ontdekt;
• Battle of forms, hiermee wordt gedoeld op bepalingen in de verwerkersovereenkomst en (bijv.)

de algemene voorwaarden, welke bepaling gaat voor;

• Teruggave van persoonsgegevens of het vernietigen van persoonsgegevens bij beëindiging van

de overeenkomst;

• Beveiliging, welke maatregelen neemt de verwerker bij het verwerken van de persoonsgegevens voor

de verantwoordelijke;

• Auditen, hoe de controle van de beveiliging en naleving van de bepalingen in de overeenkomst plaatsvindt;
• Afspraken over de inzet van derde partijen (subverwerkers) door de verwerker;
• Internationale verwerking, verwerking buiten de EER en de waarborgen;
• Toepasselijk recht, welk recht is van toepassing indien je internationale afspraken maakt.

Aandachtspunten bij invoering AVG

1. Bewustwording
   Zorg ervoor dat de mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels en zorg voor een vast aanspreekpunt. Maak een inschatting van de gevolgen van de AVG zijn voor uw bedrijfsvoering en van de aanpassingen die nodig zijn om aan de AVG te voldoen. Het is vooral van belang te weten wat er allemaal verstuurd wordt en wat u ontvangt. Stel dat er een veiligheidsincident is: wie is verantwoordelijk, wie bepaalt of het een datalek is, wie gaat het melden?
2. Rechten van betrokkenen
   Onder de AVG hebben mensen van wie u persoonsgegevens verwerkt meer rechten. Zorg ervoor dat zij deze rechten goed kunnen uitoefenen.

-Informatieplicht

De mensen van wie informatie wordt verwerkt moeten worden geïnformeerd over de manier waarop men met de gegevens zal omgaan en voor welke doeleinden deze zullen worden gebruikt. Worden de gegevens verwerkt vanuit de verplichting van de wet dan hoeven de personen niet geïnformeerd te worden.

 

– Het recht van verzet

Het gebeurt geregeld dat bedrijven informatie van het individu bezitten, waarvan het individu het niet wist. Het individu heeft het recht om hiertoe in verzet te komen en het bedrijf moet dan ook direct zijn direct-marketing stopzetten met de individuele gegevens.

Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven. Mensen hebben het recht om vergeten te worden, al gaat dat alleen op wanneer er geen reden meer voor is om alle gegevens te bewaren (geen klant meer, fiscale termijn procedures is verlopen, wettelijke bewaarplicht etc.).  Nieuw is bijvoorbeeld de mogelijkheid die klanten hebben om gegevens eenvoudig op te vragen en door te geven aan een andere organisatie.

3. Inventariseer verwerkingen
   Inventariseer welke gegevensverwerkingen u verricht. Leg vast welke persoonsgegevens u verwerkt met welk doel, waar deze gegevens vandaan komen en met wie u ze deelt. Beoordeel of u zich daarbij beperkt tot het minimum dat nodig is voor het doel. Wie heeft binnen uw organisatie toegang tot persoonsgegevens en hoe is de toegang daartoe beveiligd? Hoe gaat u om met gegevens die niet meer nodig zijn? Worden die vernietigd en is daar beleid voor (Hoe lang worden gegevens bewaard, wanneer worden gegevens vernietigd en wie is daarvoor verantwoordelijk)? Leg dit alles vast in een register.

 

Heeft werkgever een organisatie meer dan 250 werknemers, dan is een verwerkingsactiviteitenregister verplicht.
Heeft werkgever een organisatie minder dan 250 werknemers, dan is een organisatie alleen verplicht zo’n register bij te houden als persoonsgegevens worden verwerkt:

• waarvan de verwerking niet incidenteel is;
• die een risico inhouden voor de rechten en vrijheden van de personen van wie persoonsgegevens worden verwerkt; en/of
• die vallen onder de categorie bijzondere persoonsgegevens.

Als het uitvoeren van een register van verwerkingsactiviteiten niet verplicht is, dan kan het wel verstandig zijn om dit vrijwillig te doen. Op die manier kan gemakkelijker worden voldaan aan de verantwoordingsplicht.

U moet kunnen aantonen dat u in overeenstemming met de AVG handelt.

4. Uitgangspunten AVG voor verwerkingsbeleid en -processen
   De AVG gaat uit van privacy by design en privacy by default. Dat houdt in dat al bij het ontwerpen van producten en diensten rekening met de bescherming van persoonsgegevens moet worden gehouden. Privacy by default houdt in dat u de nodige maatregelen neemt om ervoor te zorgen dat u als standaard alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel.
5. Functionaris gegevensbescherming
   Sommige organisaties zijn verplicht om een functionaris voor gegevensbescherming (FG) aan te stellen. Deze functionaris heet ook wel: Privacy officer, Security officer of Data protection officer. Een FG houdt toezicht op de toepassing en naleving van de AVG binnen een organisatie.

In sommige gevallen moet verplicht een FG worden aangesteld die toezicht houdt op de gegevensverwerkingen. Dit is het geval voor:

• overheidsinstanties en publieke organisaties;
• organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen;

• organisaties die bijzondere persoonsgegevens verwerken en dit een kernactiviteit is;

Als geen verplichting bestaat om een FG aan te stellen, dan mogen organisaties deze ook vrijwillig aanstellen. Een reguliere werkgever zal niet verplicht zijn een FG aan te stellen, tenzij de werkzaamheden verwerking van persoonsgegevens omvatten.

6. Denk aan de meldplicht voor datalekken
   De meldplicht datalekken bestond al onder de Wbp. Daar verandert onder de AVG niet veel in. De AVG stelt wel strengere eisen aan de registratie van datalekken..

Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Hiervan is sprake als gegevens ongeoorloofd zijn gewijzigd, verstrekt of ingezien. Ook als persoonsgegevens verloren zijn gegaan (bijvoorbeeld door brand) is sprake van een datalek.

Let op: als sprake is van een datalek dan moet deze in beginsel zo spoedig mogelijk en in ieder geval binnen 72 uur na het bekend worden met het datalek worden gemeld aan de Autoriteit Persoonsgegevens.

Dit hoeft niet als het datalek geen risico oplevert voor de rechten en vrijheden van de betrokkenen. In sommige gevallen moet het datalek ook worden gemeld aan de persoon van wie persoonsgegevens zijn gelekt.

 

U moet alle datalekken documenteren, zodat de Autoriteit Persoonsgegevens kan controleren of u aan de meldplicht heeft voldaan. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Daarbij gaat het niet alleen om bijhouden van de incidenten waarvoor u een melding heeft gedaan bij de AP maar om alle incidenten, inclusief de afweging die u heeft gemaakt om het incident niet te melden. Gelet op het belang voor de organisatie en de bestuurlijke aansprakelijkheid moet de verantwoordelijke functionaris periodiek rapporteren aan de directie en/of het bestuur.
Heeft u nog nooit een veiligheidsincident gehad of is er geen datalek aan u gerapporteerd? Dan is de kans groot dat u nog niet ‘in control’ bent want iedereen krijgt er vroeg of laat mee te maken. Weet u bijvoorbeeld waar en wanneer werknemers hun vertrouwelijke bedrijfsdocumenten openen? Hebben uw werknemers nog nooit privacygevoelige gegevens naar de verkeerde ontvanger gestuurd of een phishing-mail geopend? En weet u zeker dat uw vertrekkende medewerkers na vertrek niet meer over wachtwoorden kunnen beschikken? Misschien nog wel belangrijker is de vraag of uw medewerkers weten wanneer sprake is van een veiligheidsincident en welke actie ze vervolgens moeten nemen. In bijna de helft van de datalek-meldingen bij de Autoriteit Persoonsgegevens was slordigheid van de medewerkers de bron.

7. Toestemming
   De AVG stelt strenge eisen aan toestemming voor verwerking. Evalueer de manier waarop u toestemming vraagt, krijgt en registreert en pas deze zo nodig aan. U moet kunnen aantonen dat u geldige toestemming heeft om persoonsgegevens te verwerken. Het intrekken van toestemming mag niet moeilijker zijn dat het geven daarvan.

– Wat mag je vastleggen ?

Bedrijven en instanties mogen alleen rechtmatig persoonsgegevens vastleggen als aan ten minste een van de onderstaande voorwaarden is voldaan:

• De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.
• De verwerking is noodzakelijk voor de uitvoering of het afsluiten van een overeenkomst waarbij de betrokkene partij is.
• De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting, die op de verwerkingsverantwoordelijke rust.
• De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.
• De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of de uitoefening van het openbaar gezag.
• De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

– Wanneer toestemming ?

• Die toestemming verkrijgen is erg belangrijk en door de AVG omschreven als rechtsgeldige toestemming. U moet kunnen aantonen dat u geldige toestemming heeft verkregen. U kunt zelf toetsen of u hierover beschikt door de volgende vragen te stellen:
• Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven.
• Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’.
• Geïnformeerd: u moet mensen informeren over:
• de identiteit van u als organisatie;
• het doel van elke verwerking waarvoor u toestemming vraagt;
• welke persoonsgegevens u verzamelt en gebruikt;
• het recht dat zij hebben om de toestemming weer in te trekken. U moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.
• Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien u als organisatie bij de verwerking meerdere doeleinden heeft, dient u de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen.
• Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven. Mensen hebben het recht om vergeten te worden, al gaat dat alleen op wanneer er geen reden meer voor is om alle gegevens te bewaren (geen klant meer, fiscale termijn procedures is verlopen, wettelijke bewaarplicht etc.).

Beveiligingsverplichting

Iedere organisatie is verplicht om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking. Als persoonsgegevens worden verwerkt door personen van binnen of buiten de organisatie die daartoe niet bevoegd zijn, bijvoorbeeld door onbevoegde inzage of verspreiding van persoonsgegevens wordt gesproken van onrechtmatige verwerking.

 

-Technische maatregelen

Technische beveiligingsmaatregelen zijn technische voorzieningen, die erop zijn gericht om verlies of onrechtmatige verwerking van persoonsgegevens te voorkomen of beperken. Hierbij kan je denken aan:

• Twee factor authenticatie
• Firewalls
• Virusscanners
• Software tegen malware-aanvallen
• Het maken van periodieke back-ups

– Organisatorische beveiligingsmaatregelen

De verantwoordelijke dient ervoor te zorgen dat persoonsgegevens alleen toegankelijk zijn voor die personen binnen de organisatie die gegevens nodig hebben voor de uitvoering van hun taken. Daarbij kan onder meer worden gedacht aan:

• Het beperken van de kring van functionarissen die toegang hebben tot bepaalde persoonsgegevens.
• Het verlenen van toegang aan deze personen tot enkel persoonsgegevens die zij nodig hebben voor de uitoefening van hun werkzaamheden.
• Het overeenkomen van een geheimhoudingsbeding met boeteclausule (in arbeidscontract).
• Het bewaren van persoonsgegevens op servers in een afgesloten ruimte.
• Het creëren van informatieveiligheidsbewustzijn onder medewerkers.
• Het houden van adequaat toezicht op de naleving van protocollen en wet- en regelgeving.

-Moet een data protection impact assessment (DPIA) worden uitgevoerd?

DPIA is een middel om vooraf overzicht te krijgen van de privacyrisico’s van gegevensverwerking. Vervolgens kunnen de risico’s dan worden verkleind door maatregelen te nemen.

 

In sommige gevallen moet verplicht een DPIA worden uitgevoerd. Als een grote kans aanwezig is dat de gegevensverwerking een groot privacyrisico oplevert voor de mensen van wie een organisatie gegevens verwerkt, dan is een DPIA verplicht. Dit is het geval voor een organisatie die:

• systematisch en uitgebreid persoonlijke aspecten toetst, waaronder profiling;
• op grote schaal bijzondere persoonsgegevens verwerkt;
• op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld aan de hand van cameratoezicht).

Het is ook mogelijk vrijwillig een DPIA uit te voeren ter bevordering van de gegevensbescherming. Een reguliere werkgever waarvan de bedrijfsactiviteiten zich niet op verwerking van persoonsgegevens richten, zal geen DPIA hoeven uitvoeren.

-Is voldaan aan de verplichte uitgangspunten van privacy by design en privacy by default?

De uitgangspunten van privacy by design en privacy by default:

• bij het ontwerpen van producten en diensten wordt gezorgd voor voldoende bescherming van persoonsgegevens;
• alleen gegevens worden verzameld die noodzakelijk zijn voor het doel van de verwerking;
• gegevens worden niet langer bewaard dan nodig;
• een organisatie moet technische en organisatorische maatregelen nemen om ervoor te zorgen dat alleen persoonsgegevens die voor het specifieke doel dat moet worden bereikt worden verwerkt.

Voor een reguliere werkgever betekent dit dat gegevens van werknemers niet onnodig lang mogen worden bewaard en de gegevens niet voor iedereen inzichtelijk mogen zijn, maar alleen als dit nodig is voor uitoefening van de functie.

-Uw website en privacy

Naast de persoonsgegevens die u binnen uw bedrijf verwerkt is de kans groot dat u op uw website ook persoonsgegevens verwerkt. Bijvoorbeeld als u over een contactformulier beschikt of veel met zogenaamde cookies werkt. Ook op uw website moet u dan passende maatregelen nemen om de gegevens te bescherming en heldere informatie te verschaffen, bijvoorbeeld in de vorm van een privacy verklaring. Hierin maakt u kenbaar op welke wijze u omgaat met de gegevens en bij wie bezoekers terecht kunnen als er vragen zijn. Let bij uw website ook op standaardinstellingen. Deze dienen zodanig te zijn ingesteld, dat ze standaard de minste impact hebben op de privacy van de betrokkenen. De AVG duidt deze aspecten als Privacy by Design en Privacy by Default. Als u zelf betrokken bent bij het ontwerpen van informatiesystemen dient u dit eveneens na te streven.

 

Tips:

Ga voor een gratis privacyverklaring naar http://www.veiliginternetten.nl

 

De Autoriteit Persoonsgegevens (AP) heeft een goede regelhulp ontwikkeld. Deze kunt u starten op https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom.

 

Ook deze website geeft duidelijkheid: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving
Na het doorlopen kunt u over veel zaken meer duidelijkheid krijgen.