In dit artikel op onze website heeft u reeds kunnen lezen welke veranderingen de invoering van de Algemene Verordening Gegevensbescherming (AVG) met zich meebrengt. Met onderstaand stappenplan kunt u uw onderneming, stichting of vereniging goed voorbereiden op deze nieuwe regelgeving, om zo een miljoenenboete te voorkomen.
AVG in een notendop
- Wat is de AVG?
De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywetgeving, die op 25 mei 2018 van kracht wordt in de EU. Daarmee wordt de huidige privacywetgeving vervangen. Door de AVG worden privacyrechten van klanten of gebruikers versterkt en uitgebreid. Voor een meer uitgebreide toelichting kunt u dit artikel op onze website lezen.
- Voor wie geldt de AVG?
De AVG geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU. Dit betekent dat bijna alle ondernemers ermee te maken krijgen; ook ZZP’ers en klein mkb, maar zelfs stichtingen, verenigingen en internationale bedrijven die zakendoen met de EU. Het vastleggen van persoonsgegevens van klanten gebeurt namelijk al door het versturen van een offerte, factuur, (digitale) nieuwsbrief, of door het bijhouden van afspraken met klanten, contactgegevens van klanten of personeelsinformatie. Op enkel het bijhouden van een (digitaal) adresboek of een (digitale) agenda is de AVG daarom al van toepassing.
- Wat betekent dit voor mij als ondernemer?
De AVG brengt een zogenoemde verantwoordingsplicht met zich mee; u dient te kunnen aantonen dat uw onderneming de juiste organisatorische en technische maatregelen heeft genomen, waarmee wordt voldaan aan de vereisten van de AVG. Bovendien dient u te kunnen bewijzen dat u geldige toestemming heeft gekregen van klanten of contacten voor het verwerken van persoonsgegevens.
- Welke sancties bij niet-naleving?
Op 25 mei 2018 moet uw bedrijf voldoen aan de AVG. In Nederland zal de Autoriteit Persoonsgegevens toezicht gaan houden op de naleving van de AVG. De Autoriteit Persoonsgegevens kan uw organisatie sancties opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.
Het is daarom van groot belang dat u uw bedrijf goed en tijdig voorbereid op de invoering van de AVG. Onderstaand stappenplan biedt daarvoor uitkomst.
Stappenplan voorbereiding AVG
Stap 1 – Bewustwording
Zorg dat alle medewerkers en mensen die met uw onderneming te maken hebben, zich bewust zijn van de invoering van de AVG, en op de hoogte zijn van de nieuwe privacyregels en welke gevolgen dat voor uw onderneming met zich meebrengt. Stuur bijvoorbeeld een bericht rond onder personeelsleden, hou een informatieavond of laat medewerkers artikelen over de AVG lezen zoals onderhavig artikel en dit artikel.
Stap 2 – Informeren
Stel uzelf en mensen die met uw onderneming te maken hebben op de hoogte van de extra privacyrechten die personen met de invoer van de AVG krijgen, zoals het recht op inzage en het recht op correctie en verwijdering. De belangrijkste punten waarover u zichzelf vast dient te informeren zijn:
- Privacyverklaring
Indien u (bijvoorbeeld op uw website) om persoonsgegevens vraagt, dient daar ook eenvoudig een privacyverklaring of verwijzing naar een privacyverklaring te vinden zijn. In een dergelijke verklaring zijn in elk geval de volgende punten opgenomen:
- Uw bedrijfsgegevens;
- Het doel van de gegevensvastlegging;
- Welke gegevens u precies verzamelt;
- Aan wie u deze gegevens (eventueel) doorgeeft;
- Hoe lang u de gegevens zult bewaren;
- Uitleg over cookies en de reden van gebruik op uw website (indien van toepassing);
- De beveiliging die u toepast op de vastgelegde persoonsgegevens;
- Het inlichten van personen over:
- het feit dat zij recht hebben op inzage, correctie, verwijdering en het meenemen van eigen gegevens (ook wel: dataportabiliteit);
- het feit dat zij recht hebben op intrekking van de verleende toestemming;
- het feit dat zij recht hebben om een klant hieromtrent in te dienen.
- Toestemming
Omdat de privacyrechten van personen met de invoer van de AVG worden versterkt en uitgebreid, dient iedereen in de toekomst toestemming te geven aan een onderneming om zijn/haar persoonsgegevens te verwerken. Hiervoor vereist de AVG een bewuste handeling van de persoon; dit betekent dat u niet vast het hokje voor “toestemming” mag aankruisen op een (online) formulier. U dient de verkregen toestemming ook te kunnen aantonen. Bovendien moet het intrekken van de toestemming net zo makkelijk zijn als het geven van de toestemming.
- Dataportabiliteit
Onder de oude privacywetgeving bestond het recht om de eigen gegevens in te zien, te corrigeren, aan te vullen en op verzoek te verwijderen reeds. Die rechten blijven onder de AVG bestaan. Nieuw is het recht op dataportabiliteit: u dient ervoor te zorgen dat mensen hun gegevens eenvoudig kunnen ontvangen, en de gegevens bovendien makkelijk kunnen doorgeven aan een andere organisatie, indien zij dat wensen.
- Klachten
U dient personen er op te wijzen dat zij de mogelijkheid hebben om bij de Autoriteit Persoonsgegevens een klacht in te dienen omtrent uw verhandeling van hun persoonsgegevens.
Stap 3 – Overzicht verwerkingen
De AVG verplicht organisaties de verwerking van persoonsgegevens bij te houden in een zogenaamd verwerkingsregister. Deze verplichting tot het werken met een register, waarin de verwerking van persoonsgegevens worden bijgehouden, geldt voor u indien uw organisatie:
- persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor), of
- risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, of
- meer dan 250 medewerkers heeft.
In de praktijk zullen (vrijwel) alle organisaties verplicht zijn de verwerking van persoonsgegevens in een register bij te houden, omdat klanten-, leveranciers- of personeelsbeheer binnen een organisatie bijna altijd voorkomt.
In dit verwerkingsregister dient u op te nemen welke persoonsgegevens u precies gebruikt, met welk doel u deze gegevens gebruikt, waar u ze opslaat en met wie u ze eventueel deelt. Een dergelijk register kan zowel schriftelijk als digitaal worden bijgehouden.
U kunt dit register nodig hebben, indien betrokken personen u vragen hun gegevens te corrigeren of verwijderen. Deze verzoeken dient u dan ook door te geven aan de organisaties waarmee u de gegevens hebt gedeeld, indien hiervan sprake is.
Stap 4 – Data impact assessment (DIA)
Indien uw organisatie gegevens verwerkt met een hoog privacyrisico, is een zogenaamde ‘data protection impact analyse’ (DPIA) verplicht. Door deze gegevensbeschermingseffectenbeoordeling worden privacyrisico’s van de verwerking van de gegevens in kaart gebracht. Indien uit de DPIA blijkt dat de privacyrisico’s voor uw onderneming hoog zijn, dan dient u maatregelen te nemen om deze risico’s te verkleinen.
In bepaalde gevallen dient u verplicht een DPIA uit te voeren. Het gaat hierbij specifiek om ondernemingen die:
- bijzondere persoonsgegevens als ras, godsdienst, gezondheid, politieke opvattingen, genetische – of biometrische gegevens op grote schaal verwerkt, of
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht, of
- gegevens zo combineert, dat iemand in een bepaalde categorie of groep is in te delen en daardoor zo kan worden benaderd of beoordeeld (profilering)
Door de Werkgroep van Europese Privacytoezichthouders is een lijst opgesteld van 9 criteria om te bepalen of uw gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert, en u daarom een DPIA dient uit te voeren. De vuistregel is dat u een DPIA moet uitvoeren, indien uw verwerking aan 2 of meer van de onderstaande 9 criteria voldoet. Het gaat om de volgende criteria:
- Beoordelen van mensen op basis van persoonskenmerken;
Voorbeeld: een bank die de kredietwaardigheid van mensen bepaalt of en bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen.
- Geautomatiseerde beslissingen;
Specifiek: beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben.
- Stelselmatige en grootschalige monitoring;
Specifiek: monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht.
- Gevoelige gegevens;
Specifiek: bijzondere categorieën van persoonsgegevens zoals informatie over iemands politieke voorkeuren, strafrechtelijke gegevens of gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.
- Grootschalige gegevensverwerkingen;
AVG geeft hierover geen definitie, maar de Werkgroep Europese Privacytoezichthouders adviseert om aan de hand van de volgende criteria te bepalen of hiervan sprake is:
- de hoeveelheid mensen van wie gegevens worden verwerkt;
- de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
- de tijdsduur van de gegevensverwerking;
- de geografische reikwijdte van de gegevensverwerking.
- Gekoppelde databases;
Specifiek: gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Voorbeeld: Databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.
- Gegevens over kwetsbare personen;
Specifiek: Sprake van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke, waardoor betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens.
Voorbeeld: werknemers, kinderen en patiënten.
- Gebruik van nieuwe technologieën;
Bij het gebruik van nieuwe technologie kunnen de persoonlijke en maatschappelijke gevolgen ervan nog onbekend zijn; een DPIA helpt de verantwoordelijke dan om de risico’s te begrijpen en te verhelpen.
- Blokkering van een recht, dienst of contract.
Specifiek: gegevensverwerkingen die tot gevolg hebben dat betrokkenen:
- Een recht niet kunnen uitoefenen; of
- Een dienst niet kunnen gebruiken; of
- Een contract niet kunnen afsluiten.
Voorbeeld: een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken.
In de nabije toekomst zal De Autoriteit Persoonsgegevens (AP) een lijst publiceren van gegevensverwerkingen waarvoor een DPIA verplicht is.
Stap 5: Inrichten systemen
Reeds bij het (opnieuw) inrichten van uw systeem of het ontwerpen van nieuwe producten kunt u technisch gezien een zorgvuldige omgang met persoonsgegevens afdwingen. Denk daarbij bijvoorbeeld aan:
- Privacy by design → Geen gegevens opvragen die u niet nodig heeft. Voorbeeld: voor de verzending van een e-mailnieuwsbrief heeft u geen woonadres nodig.
- Privacy by default → Bij het vragen naar persoonsgegevens dient de standaardinstelling van uw systemen zo privacyvriendelijk mogelijk te zijn. De persoon kan zelf gegevens achterlaten of een actieve handeling verrichten om toestemming te geven (opt-in). De standaardinstellingen moeten de privacy van iemand respecteren, totdat de persoon zelf toestemming geeft.
Stap 6: Functionaris gegevensbescherming
De AVG verplicht grootschalige gegevensverwerkers een functionaris gegevensbescherming aan te stellen. De functionaris gegevensbescherming is een onafhankelijk persoon die binnen uw organisatie adviseert en rapporteert over naleving van de AVG. Deze positie kan vanuit uw organisatie zelf worden ingevuld, maar deze functie kan ook door een externe partij worden vervuld.
Aanstelling van een functionaris gegevensbescherming is verplicht wanneer:
- Het op grote schaal gevoelige persoonsgegevens (zoals gezondheidsgegevens) verwerken de kernactiviteit van uw bedrijf is;
- Uw organisatie structureel mensen observeert (fysiek of digitaal, bijvoorbeeld via cameraobservatie).
Voor overheidsorganisaties geldt dat de functionaris gegevensbescherming (FG) vrijwel altijd verplicht is.
Stap 7: Datalekken documenteren en melden
U heeft een datalek als databestanden worden gehackt of als u onbedoeld toegang geeft tot bestanden. Ook een gestolen laptop of zoekgeraakte usb-stick is aan te merken als een datalek.
Met de AVG wordt u verplicht om binnen uw organisatie alle datalekken vast te leggen en te documenteren.
Een datalek moet in bepaalde gevallen zo snel mogelijk na ontdekking, zo mogelijk binnen 72 uur, worden gemeld bij de Autoriteit Persoonsgegevens. Deze meldingsplicht geldt enkel als er risico’s voor (natuurlijke) personen uit het datalek voortkomen. Indien de meldingsplicht niet geld, dient u het datalek alsnog intern vast te leggen en te documenteren. U beschrijft dan het datalek, de gevolgen van het datalek en de door u getroffen maatregelen hiertegen.
Indien u privacygevoelige data voor anderen verwerkt, bent u verplicht een datalek te melden aan uw opdrachtgever. Uw opdrachtgever meldt het datalek dan indien nodig aan de AP.
Stap 8: Verwerkersovereenkomst afsluiten
Indien een ander bedrijf of persoon de persoonsgegevens van uw organisatie voor u verwerkt of opslaat, dient u met dat bedrijf of die persoon een verwerkersovereenkomst af te sluiten. Zelfs indien dit bedrijf de gegevens niet wijzigt kan sprake zijn van verwerken, bijvoorbeeld indien een externe helpdesk gegevens van uw bedrijf inziet om een probleem voor u op te lossen.
- Wat staat er in een verwerkersovereenkomst?
In een verwerkersovereenkomst spreekt u af wat het doel en de aard van de verwerking is, en welke soort persoonsgegevens worden verwerkt.
In de verwerkersovereenkomst dient verder te worden opgenomen dat:
- verwerking uitsluitend plaatsvindt op basis van uw schriftelijke instructies. Er mogen dus geen persoonsgegevens voor andere doeleinden worden gebruikt;
- personen in dienst van of werkzaam voor de verwerker, een geheimhoudingsplicht hebben;
- de verwerker passende technische en organisatorische maatregelen treft om de verwerking van persoonsgegevens te beveiligen;
- de verwerker zonder uw schriftelijke toestemming de verwerking niet door een ander mag laten uitvoeren;
- de verwerker u helpt te voldoen aan verzoeken van betrokkenen, indien het gaat om hun privacyrechten zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit;
- de verwerker u helpt om andere verplichtingen na te komen, zoals het melden van datalekken;
- de verwerker na afloop van de verwerkingsdiensten de gegevens verwijdert of naar u terugstuurt. Ook verwijdert hij kopieën, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren;
- de verwerker meewerkt aan audits van u of een derde partij. Hiervoor stelt de verwerker alle relevante informatie beschikbaar zodat gecontroleerd kan worden of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen.
Stap 9: Bepaal de leidende toezichthouder
Indien uw organisatie in meerdere EU-landen actief is, is er sprake van grensoverschrijdende samenwerking. U dient dan zaken te doen met maar met één toezichthouder op de privacy. De toezichthouder van het land van de hoofdvestiging is in zo’n situatie de leidende toezichthouder. In Nederland is dit de Autoriteit Persoonsgegevens.
Stap 10: Toestemming
De nieuwe wetgeving stelt strengere eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. Het is daarom van belang dat de manieren waarop u toestemming vraagt, krijgt en registreert door u worden geëvalueerd. U dient namelijk te kunnen aantonen dat er geldige toestemming is verkregen.
Persoonsgegevens mogen alleen door u worden verwerkt, indien de AVG daar een grondslag voor geeft. Er zijn 6 grondslagen:
- Verleende toestemming voor de verwerking van persoonsgegevens.
Onder de AVG is alleen sprake van toestemming als de betrokken persoon:
- in alle vrijheid
- ondubbelzinnig
- door een verklaring of een actieve handeling
- voor specifieke verwerking van persoonsgegevens
- toestemming heeft gegeven.
Stilzwijgende toestemming is niet voldoende. U moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen voor het verwerken van hun persoonsgegevens.
Het intrekken van de toestemming moet net zo eenvoudig zijn als het geven ervan. U moet de toestemminggever ook op dit recht wijzen. Na intrekking van de toestemming moet u de verwerking van de betreffende gegevens stoppen. U kunt dan geen andere grondslag gebruiken om de gegevens toch te verwerken.
Andere grondslagen
De volgende 5 grondslagen zijn noodzakelijkheidsgrondslagen. Dit houdt in dat de verwerking van persoonsgegevens alleen toegestaan is, indien het vereist is voor één van de genoemde doelen.
- Uitvoering van een overeenkomst
Voorbeeld: het vastleggen van naam- en adresgegevens om een besteld product bij uw klant thuis te kunnen afleveren. De gegevens mogen dan alleen voor dat doel worden gebruikt. U mag deze gegevens later niet gebruiken om uw klant een nieuwsbrief te sturen, want daarvoor heeft u weer apart toestemming nodig.
- Wettelijke verplichting
In bepaalde gevallen dient u persoonsgegevens vast te leggen om te voldoen aan een wettelijke verplichting. Een werkgever moet de persoonsgegevens van werknemers vastleggen en doorgeven aan bijvoorbeeld de Belastingdienst. Zonder toestemming van de werknemer mogen de gegevens niet worden doorgegeven aan een organisatie waarvoor geen wettelijke verplichting geldt; daarvoor is weer apart toestemming nodig.
- Vitaal belang
In noodsituaties, bijvoorbeeld situaties met betrekking tot de gezondheid of gevaar voor leven, kan verwerking van persoonsgegevens door hulpverleners gerechtvaardigd zijn. Deze grondslag kan alleen gebruikt worden als het echt niet mogelijk is om toestemming te krijgen.
- Algemeen belang
Onder deze grondslag mogen persoonsgegevens worden verwerkt indien het gaat om een andere wettelijke bepaling, waarin ook het doel van de verwerking is omschreven.
- Gerechtvaardigd belangPersoonsgegevens mogen worden verwerkt voor het behartigen van een gerechtvaardigd belang. Deze grond gaat niet op indien de rechten van de betrokken personen zwaarder wegen. Het kan gaan om een gerechtvaardigd belang indien sprake is van een relevante en passende relatie tussen een organisatie en haar klanten, zoals het verwerken van inlognamen en wachtwoorden voor de beveiliging van het netwerk. De organisatie moet open zijn over het gerechtvaardigde belang. Betrokken personen kunnen bezwaar maken tegen het verwerken van persoonsgegevens op grond van het gerechtvaardigd belang.
Conclusie
Indien u bovengenoemd 10-stappenplan volgt in aanloop naar de introductie van de AVG, heeft u in elk geval de meest belangrijke punten die verandering vereisen, behandeld. Mocht u bijstand of hulp wensen bij het opstellen van relevante stukken, wilt u meer informatie over een specifiek onderwerp, of heeft u in het algemeen nog vragen, twijfel dan niet om contact op te nemen met één van de advocaten van FIN Advocaten & Fiscalisten. U kunt ons telefonisch bereiken op 023-3030 730 en per e-mail op vanviersen@finaf.nl.