Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht voor de hele EU; vanaf die datum geldt deze privacywetgeving in alle lidstaten. In dit artikel leest u welke gevolgen de invoering van de AVG heeft voor uw organisatie, hoe u zich hierop het beste kunt voorbereiden, en welke maatregelen u dient te nemen ten behoeve van deze nieuwe privacywetgeving.
Algemene informatie AVG
De belangrijkste veranderingen die de AVG met zich meebrengt, zijn in een notendop DE versterking en uitbreiding van privacyrechten, meer verantwoordelijkheden voor organisaties EN dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Hierna wordt uitgebreider ingegaan op de specifieke veranderingen die zullen plaatsvinden.
a. Activiteiten vallen sneller onder de privacywetgeving
De nieuwe privacywetgeving heeft sneller betrekking op activiteiten van uw organisatie, omdat het begrip ‘persoonsgegevens’ verandert. Waar voorheen alleen zaken als namen en adressen onder de privacywet vielen, geldt dat met de nieuwe wetgeving ook gegevens gekoppeld aan onder meer IP-adressen en cookies als persoonsgegevens zijn aan te merken en daarom onder de privacywet vallen.
b. Meer verplichtingen omtrent privacyverklaring
Uw organisatie komen ook meer verplichtingen toe met betrekking tot de privacyverklaring op uw website. Zo dient u volledig en precies uit te leggen wat u doet met persoonlijke gegevens waarover u beschikt in een privacyverklaring, en dient u mensen te wijzen op hun (privacy)rechten. Zo mogen mensen hun gegevens aanpassen, het dossier dat u bijhoudt inzien en dit dossier zelfs laten vernietigen. Bovendien dient u deze mensen te wijzen op hun mogelijkheid een klacht in te dienen bij de toezichthouder, te weten de Autoriteit Persoonsgegevens.
- Op welke manier kunnen klanten en bezoekers worden geïnformeerd omtrent de privacyverklaring?
Uw organisatie is wettelijk verplicht uw klanten en bezoekers van uw website duidelijk te informeren omtrent het verzamelen van privacygevoelige gegevens, en het doel hiervan, zelfs indien dat doel enkel is het vastleggen van hun gegevens in uw klantenbestand.
Normaliter gebeurt dit informeren middels een privacyverklaring (ook wel: privacy statement). Bezoekers dienen deze verklaring eenvoudig te kunnen vinden op uw website. Gebruikelijk is bijvoorbeeld om een hyperlink naar de betreffende privacyverklaring te plaatsen onderaan elke pagina. Bovendien kan bij websites als een webshop gedurende het bestelproces worden verwezen naar de privacyverklaring.
- Wat dient er in een privacyverklaring te staan?
In een privacyverklaring dienen in elk geval de volgende gegevens te staan:
- Identiteit organisatie → uw bedrijfsnaam, adresgegevens en contactgegevens voor privacy-gerelateerde vragen;
- Doeleinden → met welk doel worden persoonlijke gegevens verwerkt? Gaat het bijvoorbeeld om het uitvoeren van een koopovereenkomst (bij persoonsgegevens) of het beveiligen en optimaliseren van de website (bij het vastleggen van IP-adressen)?
- Inzage en correctie → elke klant heeft te allen tijde recht op inzage in de gegevens die u bijhoudt van deze klant. De betreffende klant kan ook verzoeken om correctie of verwijdering van zijn persoonsgegevens. Aan verwijdering hoeft u overigens enkel mee te werken indien de gegevens niet meer relevant zijn.
- Beveiliging → u dient toe te lichten welke technische en organisatorische maatregelen u heeft genomen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Dit kan bijvoorbeeld gaan om wachtwoorden op de database. Bij het plaatsen van bestellingen geldt bovendien bijvoorbeeld als vereiste dat de internetverbinding is beveiligd met SSL.
- Gebruik van cookies → indien uw website cookies gebruikt, wat vrijwel altijd het geval is, dan bent u verplicht om aan uw bezoekers uit te leggen wat cookies zijn en wat u daarmee doet.
- Nieuwsbrieven → klanten dienen expliciet toestemming te hebben gegeven voor het ontvangen van nieuwsbrieven. Bovendien moet ontvangers in elke nieuwsbrief de mogelijkheid worden geboden zich van deze nieuwsbrief uit te schrijven.
c. Verwerkingsregister
U dient een register bij te houden waarin alle verwerkingen van persoonlijke gegevens worden gedocumenteerd, zelfs indien het triviale verwerkingen betreft als personeelsadministratie of een verstuurde nieuwsbrief. In dit register dient onder meer te staan welke persoonsgegevens er precies worden verwerkt, voor welke doeleinden dit gebeurt, en hoe deze gegevens door u worden beveiligd.
- Wie moet een verwerkingsregister bijhouden?
Een dergelijk verwerkingsregister dient in ieder geval te worden bijgehouden door een organisatie met meer dan 250 personen in dienst. Het gaat dan niet alleen om de verwerkingsverantwoordelijke, maar ook de verwerker. U bent als (hoofd)organisatie de verwerkingsverantwoordelijke, en een verwerker is degene die de persoonsgegevens in opdracht van de verwerkingsverantwoordelijke verwerkt voor een specifiek doel. De verwerker kan dus bijvoorbeeld iemand zijn die de hosting voor uw website of salarisadministratie voor uw organisatie uitvoert. Ook deze verwerker dient een verwerkingsregister bij te houden.
Indien uw organisatie minder dan 250 personen in dienst heeft, dient u alleen een verwerkingsregister bij te houden, indien sprake is van risicovolle verwerkingen als het opstellen van klantprofielen of het verwerken van grote hoeveelheden gegevens, wanneer structureel persoonsgegevens verwerkt worden of bij de verwerking van gevoelige gegevens.
- Wat staat er precies in het verwerkingsregister?
Indien u de verwerkingsverantwoordelijke bent, dient het verwerkingsregister de volgende informatie te bevatten:
- Naam en contactgegevens verwerkingsverantwoordelijke (of diens vertegenwoordiger indien verwerkingsverantwoordelijke buiten de EU is gevestigd) en, indien aanwezig, van de functionaris voor gegevensbescherming;
- Doeleinden waarvoor gegevens worden verwerkt;
- Categorieën gegevens (bijvoorbeeld NAW-gegevens, contactgegevens, betaalgegevens, etc.);
- Categorieën betrokkenen (bijvoorbeeld klanten, websitebezoekers, werknemers, cliënten, etc.);
- Categorieën ontvangers (aan wie de gegevens worden verstrekt);
- Informatie over eventuele doorgifte van gegevens naar landen buiten de EU;
- Bewaartermijnen van de gegevens;
- Manieren waarop gegevens zijn beveiligd (bijvoorbeeld middels encryptie, pseudonimisering en dus het versleutelen van gegevens, toegangscontrole, etc.).
Verwerkers dienen per verwerkingsverantwoordelijke voor wie zij werken een register bij te houden van de volgende gegevens:
- Naam en contactgegevens van de verwerker zelf en de verwerkingsverantwoordelijke (of hun vertegenwoordigers) en, indien aanwezig, de functionaris voor gegevensbescherming;
- Categorieën verwerkingen (overeenkomstig de doeleinden uit het register van de verwerkingsverantwoordelijke, zoals hierboven omschreven);
- Informatie over eventuele doorgifte van gegevens naar landen buiten de EU;
- Manier waarop de gegevens zijn beveiligd.Op welke manier dient een register te worden bijgehouden?
Er bestaat geen verplichting omtrent de manier waarop een register dient te worden bijgehouden. Het meest voor de hand ligt daarom het bijhouden van een Excel-sheet met bovengenoemde categorieën; op die manier de betreffende informatie eenvoudig en goedkoop worden bijgehouden.
d. Documenteren datalekken
Met de invoering van de AVG wordt het verplicht om alle datalekken intern te documenteren, ook degene die niet behoeven te worden gemeld aan de toezichthouder. Voorheen was dit geen vereiste. Bovendien bent u, indien u privacygevoelige informatie voor uw opdrachtgevers verwerkt, straks wettelijk verplicht alle datalekken daarbij aan hen te melden, zodat zij de mogelijkheid hebben dit aan de toezichthouder te melden.
- Wanneer is sprake van een datalek?
Een datalek betreft iedere inbreuk op de beveiliging van uw organisatie, waarbij persoonsgegevens verloren zijn gegaan, of ongeoorloofd zijn gewijzigd, verstrekt of ingezien. Hiervan is bijvoorbeeld sprake bij diefstal van een laptop met daarop een klantenbestand, het verzenden van gegevens naar een foutief e-mailadres of een hack waarbij persoonsgegevens zijn buitgemaakt.
- Welke informatie dient u te documenteren?
Bij ieder datalek dienen de volgende gegevens te worden gedocumenteerd:
- Korte omschrijving van het lek;
- Tijdstip en datum waarop het lek plaatsvond;
- Omschrijving van wat er met de gegevens is gebeurd (dus: zijn deze verloren gegaan, door een onbevoegde ingezien, gekopieerd, gewijzigd, etc.?);
- Omschrijving van welke (groep) personen gegevens zijn gelekt, en hoeveel personen het betreft;
- Omschrijving van de soort gegevens waar het om gaat.
Maar bovendien dient u het volgende te registreren:
- De (mogelijke) gevolgen van de inbreuk (zoals een risico op identiteitsfraude of reputatieschade);
- De maatregelen die uw organisatie heeft genomen naar aanleiding van het datalek. Hierbij omschrijft u welke actie is ondernomen om schade te voorkomen, of zo veel mogelijk te beperken. Het kan dan bijvoorbeeld gaan om het op afstand wissen van gegevens of het wijzigen van wachtwoorden. Bovendien omschrijft u wat u heeft gedaan om te zorgen dat een dergelijk datalek niet nog een keer kan gebeuren.
- Dient elke geregistreerde inbreuk ook te worden gemeld?
Zoals hierboven reeds kort aangestipt, dient niet elke geregistreerde inbreuk ook daadwerkelijk te worden gemeld. Een inbreuk omtrent persoonsgegevens dient te worden gemeld aan de toezichthouder, tenzij dit lek geen risico oplevert op negatieve gevolgen als identiteitsfraude of reputatieschade.
In bepaalde gevallen dient u ook degenen op wie het datalek betrekking heeft op de hoogte te stellen.
e. Verwerkersovereenkomst
In de verwerkersovereenkomst (die tot ingang van de AVG nog bewerkersovereenkomst heet), maakt u specifieke afspraken omtrent de omgang met persoonlijke gegevens. Een belangrijk aandachtspunt daarbij is dat wanneer u diensten waarbij persoonsgegevens van een klant betrokken zijn, uitbesteedt, u hiervoor toestemming dient te vragen aan de betreffende klant.
- Welke informatie dient in een verwerkersovereenkomst te zijn opgenomen?
In de verwerkersovereenkomst dient in elk geval te volgende informatie te zijn opgenomen:
- Voor welke doelen de gegevens worden verwerkt;
- Met welke middelen de gegevens worden verwerkt;
- Aan wie u de gegevens mag afstaan;
- Welke beveiligingsmaatregelen u heeft genomen of gaat nemen om de opgeslagen gegevens te beveiligen;
- Hoe aan de controle- en correctierechten van de betrokkene wordt voldaan;
- Dat u de klant vrijwaart van aanspraken van derden met betrekking tot de persoonsgegevens.
Van belang is dat het de verantwoordelijkheid van uw klant is dat een dergelijke overeenkomst ook daadwerkelijk met u wordt gesloten. Niettemin zou u als extra dienstverlening naar uw klanten toe, altijd een modelversie van een dergelijke verwerkersovereenkomst klaar kunnen hebben liggen. Veel klanten zijn er namelijk waarschijnlijk niet van op de hoogte dat zij een dergelijke overeenkomst dienen te sluiten met u.
f. Hoge boetes
De maximale boete per overtreding in de huidige privacywetgeving bedraagt € 900.000,-. Met de komst van de AVG wordt dit maximum verhoogd naar € 20 miljoen, of 4% van de wereldwijde jaaromzet. Bovendien wordt er een Europees Comité opgericht, dat toeziet op de juiste toepassing van de AVG. De controle op naleving van de privacywetgeving wordt daarmee dus ook verscherpt.
g. Functionaris gegevensbescherming
In bepaalde gevallen dient een functionaris voor gegevensbescherming (FG), ook wel privacy officer te worden aangesteld. Dit betreft een onafhankelijke persoon binnen uw organisatie, die adviseert en rapporteert over de naleving van de AVG. Het is verplicht een dergelijke FG aan te stellen indien u op grote schaal gevoelige persoonsgegevens als gezondheidsgegevens verwerkt, of indien u structureel mensen observeert (fysiek of digitaal). Een dergelijke adviseur kan intern worden aangesteld, maar dit mag ook iemand zijn die extern wordt aangesteld.
h. Privacy Impact Assessment (PIA)
Indien er risico’s aan een verwerking zitten, dient u een complete Privacy Impact Assessment (PIA), ook wel gegevensbeschermingseffectbeoordeling (GEB) uit te voeren. Dit betreft een uitgebreid onderzoek om privacyrisico’s in kaart te brengen, en deze risico’s waar mogelijk weg te nemen. Pas nadat de PIA is uitgevoerd en de resultaten zijn geïmplementeerd, mag de risicovolle verwerking worden uitgevoerd.
- Wat is een PIA precies?
Een gegevensbeschermingseffectbeoordeling is een voorafgaand onderzoek naar de privacyeffecten van een bepaald project als een nieuw ICT-systeem voor klantinformatie, of een nieuwe manier van analyseren of profileren van mensen. Het doel is om risico’s voor de privacy reeds in een vroeg stadium in kaart te brengen, en maatregelen te bedenken waarmee deze risico’s kunnen worden geminimaliseerd.
- Wanneer is een PIA verplicht?
Een PIA is in elk geval verplicht indien u een nieuw ICT-systeem gaat opzetten, of indien u een nieuwe manier van werken met persoonlijke informatie als klantgegevens gaat invoeren.
In het algemeen is een PIA verplicht indien het project hoge risico’s voor de privacy van betrokkenen oplevert. Het gaat dan bijvoorbeeld om projecten als het automatisch beoordelen van personen (als het weigeren van klanten of detecteren van fraude), het gebruiken van gevoelige gegevens over bijvoorbeeld gezondheid of etnische afkomst, of het monitoren van de openbare ruimte met bijvoorbeeld cameratoezicht. Ook bij het op grote schaal combineren van bestanden (als bij big data-analyses) is een PIA verplicht.
- Hoe wordt een PIA uitgevoerd?
Een PIA wordt uitgevoerd door de verwerkingsverantwoordelijke van een organisatie. Als de verantwoordelijke delen van een project uitbesteedt, dienen alle betrokken partijen (verwerkers) daar hun medewerking aan verlenen.
Een belangrijk onderdeel van PIA’s zijn interviews met medewerkers. Allereerst wordt dan bekeken welke persoonsgegevens aanwezig zijn binnen een organisatie en wat er mee gebeurt. Bekeken wordt dan bijvoorbeeld of alle gegevens die worden gebruikt ook noodzakelijk zijn, waar de gegevens worden opgeslagen en of de gegevens op de juiste manier zijn beveiligd. Bovendien wordt gekeken of er gegevens aan derden worden doorgegeven, en hoe er dan voor is gezorgd dat zij er zorgvuldig mee omgaan. Soms worden de betrokkenen ook geraadpleegd.
- Wat gebeurt er na een PIA?
Naar aanleiding van een PIA dienen maatregelen te worden genomen om de privacyrisico’s van een project te beperken, bijvoorbeeld door minder gegevens op te vragen of deze gegevens beter te beveiligen.
i. Minimale persoonsgegevens
Een belangrijk uitgangspunt van de AVG is dat u zo min mogelijk privacygevoelige informatie verzamelt, en deze informatie zo snel mogelijk weer verwijdert. Vanuit de gedachte van risicobeheersing vereist de AVG immers dat u het minimale aan persoonsgegevens onder zich heeft. U dient daarom actief informatie weg te gooien, wanneer deze niet meer relevant is. Bovendien moet u een beleid hebben dat uitwerkt wanneer iets wel of niet relevant is voor uw organisatie, en hoe het weggooien veilig wordt gerealiseerd.
j. Privacyaspecten software en diensten
De AVG vereist dat de software en diensten van een onderneming van meet af aan rekening houden met privacy. Dit wordt ook omschreven als ‘privacy by design’ of ‘privacy by default’, en houdt kort gezegd in dat bij elke stap in de ontwikkeling de privacyaspecten worden benoemd en worden meegenomen in de uitwerking. Bovendien moeten de standaardinstellingen van een nieuwe dienst zoveel mogelijk rekening houden met privacyaspecten.
k. Beveiliging op orde
Met de invoering van de AVG wordt het voor organisaties nog belangrijker om persoonlijke gegevens te beveiligen. Zonder encryptie, tweefactor-authenticatie en het kunnen wissen c.q. scheiden van persoonlijke informatie, wordt er een zeer groot risico genomen. Bovendien dienen uw ICT-systemen regelmatig te worden onderzocht op hernieuwde risico’s.
l. Intern privacybeleid
Ook intern dient u een duidelijk privacybeleid te voeren, waarvan de medewerkers van uw organisatie ook op de hoogte moeten zijn. Bovendien dienen medewerkers hiervoor te worden getraind.
m. Informeren en toestemming betrokkenen
In bepaalde gevallen dienen betrokkenen verplicht te worden geïnformeerd. Het gaat dan bijvoorbeeld om het opslaan van gegevens (inclusief reden van opslag), het toepassen van profilering of koppeling met andere bestanden, of verwerking van gegevens uit andere bronnen. De betrokkene dient in deze gevallen altijd te worden gewezen op de rechten die hij heeft voor inzake, intrekking van zijn toestemming, wijziging en verwijdering. Een en ander geldt ook voor werknemers.
Indien toestemming als grondslag voor gegevensverwerking is vereist volgens de AVG, dient die toestemming expliciet te worden gegeven door de betrokkene. In de AVG staat hierover in overweging 32:
“Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt.”
Conclusie
Al met al kan gesteld worden dat de invoering van de AVG bijzonder veel veranderingen met zich meebrengt voor (grotere) organisaties. De belangrijkste veranderingen (die al dan niet enkel verplicht zijn in specifieke gevallen):
- Boetes op niet-naleving privacywet zijn aanzienlijk verhoogd;
- Het aanstellen van een Functionaris voor de Gegevensbescherming (FG) aan te stellen;
- Het laten uitvoeren van een gegevensbeschermingseffectbeoordeling (PIA);
- Het bijhouden van een (verwerkings)register van alle verwerkingen van persoonsgegevens;
- Het sluiten van een verwerkersovereenkomst waarin met bepaalde klanten specifieke afspraken worden gemaakt omtrent de omgang met persoonlijke gegevens;
- Het opstellen van een privacyverklaring voor bezoekers van de website;
- Het documenteren van alle datalekken.
Indien u over een van voornoemde punten of vereisten nog vragen heeft of meer informatie wenst, of indien u hulp wenst bij het opstellen van een van de vereiste documenten, neem dan direct contact op met ons kantoor (advocaat AVG) op 023-3030 730 of via vanviersen@finaf.nl.
[…] dit artikel op onze website heeft u reeds kunnen lezen welke veranderingen de invoering van de Algemene […]