AVG…wat moet je ermee?

Ik ben er zeker niet de eerste die over AVG begint, net als dat ik ook niet de laatste zal zijn. We hebben het in deze niet over ‘Aardappelen, Vlees & Groente’, maar over de ‘Algemene Verordening Gegevensbescherming, die op 25 mei aanstaande van kracht wordt. Deze nieuwe privacywetgeving, opgelegd door de Europese Unie is ook bekend als General Data Protection Regulation, oftewel GDPR. Gezien de internationale strekking van deze verordening en verwarring te voorkomen met andere producten met dezelfde afkorting, houd ik het zelf liever bij de afkorting GDPR.

GDPR dus…

Waarom begin ik er (ook) over? Welnu, omdat ik van mening ben dat er veel misverstanden over zijn, en ook veel meningsverschillen. Met name in het MKB zijn er veel misverstanden, meningsverschillen maar vooral onrust over de interpretatie, de impact en het belang ervan. Zelf merk en ervaar ik dat de GDPR met name voor grote bedrijven (>250 medewerkers) veel veranderingen met zich meebrengt, en onterecht wordt gezegd dat het voor ‘ons MKB’ wel meevalt. Welnu, ik denk dat verhoudingsgewijs de impact nog groter is. Inderdaad, grotere bedrijven moeten aan nog veel meer criteria voldoen, maar hebben daar ook vaak de ‘slagkracht’ voor.

Misverstanden

Eerst hier maar een paar van wegruimen. Om te beginnen, er verandert niet veel aan de privacyrechten van natuurlijke personen en de GDPR (of AVG, wat je wilt) is niet strenger dan de huidige Nederlandse privacywetgeving (Wbp), die het vervangt. Onzin! Het grote verschil ten opzichte van het (huidige) systeem van de Richtlijn gegevensbescherming is dat er nu één gegevensbeschermingswet is voor de hele Europese Unie in plaats van allerlei nationale wetten die weliswaar gebaseerd zijn op dezelfde richtlijn, maar toch overal net weer anders zijn.

Dit betekent dat:
  1. de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant moet zijn (“rechtmatigheid, behoorlijkheid en transparantie”);
  2. de verwerking gebonden moet zijn aan specifieke verzameldoelen (“doelbinding”);
  3. de gegevens toereikend, ter zake dienend en beperkt moeten zijn tot het noodzakelijke (“minimale gegevensverwerking”);
  4. de gegevens juist moeten zijn (“juistheid”);
  5. de gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”);
  6. de gegevens goed beveiligd moeten zijn en vertrouwelijk blijven (“integriteit en
    vertrouwelijkheid”)

Het grote verschil zit hem in de rol die uw organisatie moet aannemen bij de bescherming van persoonsgegevens. Dit betekent van een passieve naar een actieve rol. Dus niet alleen één of meerdere A4-tjes met procedures in een hangmapje, maar iedereen die binnen de organisatie toegang heeft tot persoonsgegevens in meer of mindere mate, dient op de hoogte te zijn wat wel en niet mag/kan, van directeur tot personeel.

De Verwerkingsverantwoordelijke

Dit is een ‘verantwoordelijkheid’ die wat mij betreft als een rode draad door het hele GDPR-verhaal loopt. De verwerkingsverantwoordelijke is degene die bedrijfsmatig persoonsgegevens verwerkt. En of dit nu op papier of in bytes is, in essentie gelden dezelfde regels. Het kan zo zijn dat een deel van de verwerking uitbesteed is aan derden. En die derde, dat kan een administratiekantoor, een payrollbedrijf of zoals wij, een IT-bedrijf zijn. Ook zij spelen een rol in de privacyketen, maar feitelijk vallen zij niet onder uw verantwoordelijkheid als organisatie zijnde. Hoe je de privacybescherming bij verwerking door derden moet regelen, kom ik later op terug.

Toegang

De GDPR stelt verplicht dat een medewerker alleen maar toegang heeft tot dat deel van de persoonsgegevens, die voor het uitoefenen van zijn functie nodig zijn . Dat betekent dat bijvoorbeeld een ‘sales representative’ bijvoorbeeld geen toegang mag hebben tot een personeelsdossier, maar wel toegang heeft tot bepaalde klantgegevens. Toegang tot andere persoonsgegevens moeten hem door technische en organisatorische (beveiligings-)maatregelen (eventueel onder dwang van sancties) worden ontzegt.

Bewustwording

Hoewel voor het MKB (<250 medewerkers) het niet wordt geëist wordt door de GDPR, dat gedocumenteerd wordt welke persoonsgegevens worden vastgelegd, raad ik aan om een ‘Verwerkingsregister’ aan te leggen. In dit verwerkingsregister legt u vast welke persoonsgegevens u verwerkt, met welk doel en hoe lang deze gegevens bewaard mogen/moeten worden en last but not least, wie toegang heeft tot welke gegevens. Ook met wie u persoonsgegevens deelt en waarom. De wijze waarop het verwerkingsregister moet worden opgesteld en wat hier in moet staan, bent u volledig vrij in, zolang het maar schriftelijk is (digitaal via een tekstbestand, spreadsheet of speciale software valt ook onder ‘schriftelijk’) Dit maakt het echter aan de andere kant ook erg onduidelijk. Wat wel verplicht is: u dient een (openbare) ‘Privacyverklaring’ op te stellen en deze te publiceren op uw website, om aan uw (potentiële) klanten aan te geven hoe u omgaat met (het delen van)  persoonsgegevens.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. De AVG maakt een onderscheid tussen: ‘gewone’ persoonsgegevens en bijzondere categorieën van persoonsgegevens. Bijzondere categorieën van persoonsgegevens zijn gegevens die gezien hun aard extra gevoelig zijn. Het gaat specifiek om: gegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheden, gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Het lijkt een open deur, maar niet alle persoonsgegevens zijn bedrijfsgegevens en niet alle bedrijfsgegevens zijn persoonsgegevens . Openbare gegevens van uw organisatie zoals: adres- en postgegevens, algemeen telefoon/faxnummer, algemeen emailadres vallen niet onder de definite van persoonsgegevens. Een deel van deze gegevens bent u zelfs verplicht om (openbaar) te publiceren op uw website en/of facturen. Een uitzondering wordt gemaakt voor persoonlijk(e) bedrijfsemail-adressen (uwnaam@uwdomein) en BTW-nummers van éénmanszaken waarvan het BSN-nummer van de eigenaar afgeleid kan worden. BSN-nummers, maar ook bijvoorbeeld bankrekeningnummers en (kopieën van) identiteitsbewijzen vallen onder de categorie ‘algemene persoonsgegevens’, maar nemen wat mij betreft toch een speciale positie in binnen deze (algemene) categorie.

Afhankelijk van de  persoonsgegevens die u als organisatie verwerkt dient u wellicht meerdere technische- en organisatorische maatregelen te treffen. Op grond van GDPR bent u ook verplicht om aan te tonen dat u bij de ontwikkelingen van nieuw beleid of het ontwerp van nieuwe systemen er zorg voor hebt gedragen dat de inbreuk op de bescherming van persoonsgegevens voor betrokkenen zo klein mogelijk is. Onder betrokkenen worden onder andere uw klanten en medewerkers bedoeld. Afhankelijk van uw organisatie dient u een ‘Functionaris Gegevensbescherming’ aan te stellen, ook wel bekend als FG. Indien u deze intern aanwijst, realiseert u zich dan dat deze persoon een vorm van ontslagbescherming geniet. Deze kan niet ontslagen of gestraft worden voor de uitvoering van zijn taken die.  In sommige gevallen is het ook mogelijk om een externe FG aan te stellen (vanuit de beroepsorganisatie). Deze FG is dan hèt aanspreekpunt voor de organisatie, maar ook voor de ‘Autoriteit Persoonsgegevens’, ook wel bekend als AP, die toezicht houdt op de naleving en toepassing van de GDPR.

Wat en hoe lang?

Welke gegevens mag je bewaren en voor welke periode? De GDPR is hierover duidelijk en onduidelijk tegelijk: zolang als nodig is en als je maar kan aantonen (door het verwerkingsregister?) dat je bepaalde data nodig hebt, mag je dit bewaren. Is dit vrijblijvend? Zeker niet! Als bepaalde informatie uitlekt, die je op basis van (je eigen) argumenten niet meer zou mogen hebben, kan je dit letterlijk duur komen te staan. Dus, als je bepaalde informatie niet (meer) nodig hebt, vernietig deze dan. Je bent overigens verplicht om datalekken te melden binnen 72 uur na de ontdekking ervan bij de AP. Doe je dit niet, dan zal de opgelegde sanctie des te hoger zijn.  Overtredingen van de bepalingen die zien op de  (verantwoordings)plichten die rusten op uw organisatie, zoals het doen van een gegevensbeschermingseffectbeoordeling of het doen van een melding in geval van een datalek, kunnen worden gesanctioneerd met een administratieve boete van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, in het geval deze hoger is. Overtredingen van de bepalingen over de principes, rechtsgrondslagen en rechten van betrokkenen, kunnen worden gesanctioneerd met een administratieve boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, in het geval deze hoger is Door middel van een verwerkingsregister kunt u bewijzen (toonplicht) , dat u voldoende maatregelen hebt getroffen wat zeker mee speelt bij het vaststellen van de hoogte van de administratieve boete door de AP.

Verwerking door derden

Verwerking van data (opslag is ook een verwerking) bij externen is ook een belangrijk aspect binnen GDPR, zeker in de huidige tijd. Cloud toepassingen zijn gemeengoed en ook administratie- en systeembeheer wordt vaak uitbesteed aan externe organisaties. Als verwerkingsverantwoordelijke of (sub-)verwerker deel je feitelijk persoonsgegevens met derden. Afspraken die u als organisatie maakt met de verwerker bent u verplicht om u een ‘verwerkersovereenkomst’ te sluiten. Dit ontslaat u als organisatie niet van de verplichtingen met betrekking tot de privacybescherming (je blijft te allen tijde eindverantwoordelijke), maar je kunt de externe partij wel (mede-)aansprakelijk stellen voor het waarborgen van de privacy. In sommige gevallen kun je geen individuele verwerkersovereenkomst sluiten met een externe partij (bijvoorbeeld G-Suite van Google of Office 365 van Microsoft), maar een verklaring van GDPR-compliance is wel het minste wat je kunt eisen. Neem dan wel in je verwerkingsregister op hoe dit is geregeld. De GDPR eist in principe dat persoonsgegevens opgeslagen worden binnen de EER en bij voorkeur voldoet aan/valt onder de Europese wetgeving. Indien er gegevens worden uitgewisseld buiten de EER, bijvoorbeeld in het geval van transacties met bedrijven buiten de EER, geldt dit niet, maar leg dit dat wel vast in het verwerkingsregister. Er zijn meer gevallen waarvoor dit geldt, maar dit valt buiten de scope van deze blog.

E-mailmarketing

Er wordt mij regelmatig gevraagd naar de (on-)mogelijkheden voor het gebruiken van e-mailadressen voor bijvoorbeeld marketingdoeleinden. Qua wetgeving is hier niets in veranderd: je mag verkregen emailadressen niet gebruiken voor marketingactiviteiten (ook nieuwsbrieven) zonder uitdrukkelijke toestemming. Dit geldt niet alleen voor personen, maar ook voor zakelijke relaties (Opt-In). Een uitzondering hierop betreft relaties waar u ooit een product of dienst aan heeft geleverd; deze mag u in beginsel wel ongevraagd een mailing of nieuwsbrief versturen. Wel dient u ervoor te zorgen dat men zich eenvoudig kan afmelden van dit ‘abonnement’. Het moge (dan) duidelijk zijn, dat als de klant zich afmeldt, deze informatie niet gewaardeerd wordt en dat je deze klant voortaan niet meer met dit soort informatie bestookt. Een relatie waarvoor u ooit een aanbieding/offerte heeft gemaakt maar nog niets aan hebt geleverd, wordt niet gezien als klant, maar een potentiële klant, waarvoor de eerste regel geldt.

Verplicht of vrijwillig

Afhankelijk van de aard van of hoeveelheid persoonsgegevens die u verwerkt, bent u verplicht om aan bepaalde eisen te voldoen, zoals het opstellen van een Verwerkingsregister, het aanstellen van een Functionaris Gegevensbescherming of het uitvoeren van een Data Protection Impact Assessment (DPIA). In alle andere gevallen bent u vrij om dit te doen (of te laten).

Paniekvoetbal?

Wellicht dat het overkomt als paniekvoetbal, maar vanaf 25 mei 2018 bent u als organisatie toch echt verplicht om aan de GDPR te voldoen en is AP op basis van deze Europese wet- en regelgeving bevoegd om administratieve boetes en sancties aan u op te leggen. Zelf denk ik dat het niet verkeerd is om de bescherming van de privacy eens ‘goed tegen het licht te houden’. Tijd vliegt en in dit geval zeker geen uitzondering. Er worden veel workshops aangeboden waaraan u kan deelnemen, om kennis op te doen om AVG- of GDPR-compliant te worden. Ontbreekt het u aan de capaciteit, zin of andere reden om het zelf te regelen, ga dan naar https://www.companypoint.nl/gdpr-scan.

Veel informatie kunt u ook vinden op de website van de Autoriteit Persoonsgegevens:

autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving