De Privacywet: Algemene verordening gegevensbescherming (AVG)

Wat betekend de AVG voor mij? Waar moet ik allemaal aan voldoen? Dit zijn twee vragen die de laatste tijd vaak voorbij komen. Om dit niet te ingewikkeld te maken worden hier de belangrijkste zaken op het gebied van de Algemene verordening gegevensbescherming (AVG) besproken. Wees bewust dat een privacy beleid (privacy policy) op maat gemaakt moet worden. Elk bedrijf verzamelt of verwerkt persoonsgegevens op een andere manier. Wees daarom verstandig en schakel een privacy-expert in om jouw bedrijf (+ website) privacy-proof te maken.

Alle organisaties die persoonsgegevens verwerken moeten hieraan voldoen. Persoonsgegevens zijn ook e-mailadressen, telefoonnummers en betaalgegevens. Alles wat te herleiden is naar een persoon wordt gezien als persoonsgegevens. Het gaat om digitale gegevens en om fysiekgegevens (bijv. op facturen, salarisstroken). Van de plaatselijke kapper, bakker of bouwbedrijf tot bezorgdiensten, sportverenigingen, scholen en ziekenhuizen. Iedereen moet eraan geloven. Niet alleen klantgegevens maar ook gegevens van medewerkers vallen onder de AVG.

De privacywet

Vanaf 25 mei 2018 is de Europese privacy verordening genaamd General Data Protection Regulation (GDPR) van kracht. De Nederlandse naam voor deze verordening is Algemene verordening gegevensbescherming (AVG). Deze verordening vervangt namelijk de wet bescherming persoonsgegevens (WBP) uit 1995. Deze sloot niet meer aan op de huidige digitale wereld.

Toezichthouder

De Autoriteit Persoonsgegevens (AP) is een onafhankelijk organisatie die toezicht houdt op de naleving van de AVG. Voldoe je niet aan de wet dan kan er een boete oplopen tot 20 miljoen euro. Uiteraard wordt er door de Autoriteit Persoonsgegevens realistisch en redelijk gekeken. Het is slechts een middel wat in verhouding moet worden opgelegd. Ben je het niet eens hoe jouw persoonsgegevens worden verwerkt? Dan kan je een klacht indienen bij de AP. Lees hier hoe je dit kunt doen.

Register opstellen

Het is verplicht om een register op te stellen. Hoe ga je met gegevens om en welke processen worden uitgevoerd. De nieuwe regels dwingen je om goed na te denken over de verwerking van persoonsgegevens binnen de organisatie. Volgens de AP moet je kunnen aantonen dat je aan de regels van de AVG voldoet.

Transparant en overzichtelijk

Je moet nu nog transparanter zijn en je beleid in begrijpelijke taal voorwoorden. Breng in kaart welke persoonsgegevens je verzamelt en hoe je dit doet. Bewaar data niet langer dan strikt noodzakelijk en maak het jezelf makkelijk door alleen gegevens te verzamelen die er echt toe doen. Geef openheid en gebruik deze gegevens alleen waarvoor ze nodig zijn.

Privacy by design

Als je nieuwe producten ontwikkelt waarbij persoonsgegevens betrokken zijn is het van belang dat je niet meer gegevens verzamelt dan nodig. Ook mogen deze gegevens niet te lang bewaard worden. Deze manier van ontwikkeling en verwerking noemt men Privacy by design.

Ken je rechten en plichten

Voor consumenten wordt het makkelijker gemaakt. Als organisatie moet je verplicht voldoen aan het verzoek van de consument. Uiteraard is dit afhankelijk van bepaalde belangen. Je kunt bijvoorbeeld niet de overheid vragen om jouw gegevens te verwijderen. Dit is geregeld in aparte wetten en gaan weer boven de AVG. Heb je bijvoorbeeld ooit eens een account aangemaakt bij een online tweedehands verkoop website en je wilt dat jouw gegevens worden verwijderd? Dan moet deze organisatie verplicht aan jouw verzoek voldoen. Dit heet het recht op verwijdering. Uiteraard gaan bedrijfsbelangen boven dit verzoek. Denk hierbij aan de bewaarplicht vanuit de belastingdienst of de bewaarplicht van medische gegevens.

Functionaris gegevensbescherming

In bepaalde gevallen moet er een functionaris gegevensbescherming worden aangesteld. Dit mocht al in de oude wetgeving maar is in de AVG verplicht. Een functionaris gegevensbescherming is verplicht als er gevoelige persoonsgegevens worden verwerkt. Denk hierbij aan medische gegevens of belastinggegevens. Deze functionaris is toezichthouder binnen het bedrijf.

Verwerkingsverantwoordelijke

Wanneer je als verwerkingsverantwoordelijke aan een andere organisatie (een verwerker) een opdracht verstrekt waarbij verwerking van persoonsgegevens aan de orde is, moet je een verwerkersovereenkomst afsluiten. Hierin bespreek je wat er met de gegevens gebeurd en wie er verantwoordelijk is. Het is raadzaam om hierbij een jurist in te schakelen. Voor meer informatie zie: Eisen verwerkersovereenkomst

Impact assessment (Stresstest)

Data protection impact assessment, of terwijl de stresstest is voor sommige bedrijven verplicht. Hiermee breng je in kaart hoe risicovol jouw manier van verwerken is. De stresstest is alleen verplicht als er een hoog privacyrisico is, bijvoorbeeld bij bedrijven die op grote schaal persoonsgegevens verwerken. Lees meer over de stresstest.

Bewustwording bij medewerkers

Breng medewerkers binnen het bedrijf op de hoogte van alle rechten en plichten. Geef eventueel een AVG voorlichting zodat er meer bewustwording komt binnen het bedrijf.

Documenteer datalekken

Zorg voor een goede beveiliging. Niet alleen online maar ook de fysieke administratiekast. Online kun je zorgen voor een 2 staps verificatie en een gecodeerde verbinding. Voor websites is SSL certificaat een veilige en goedkope oplossing. Wanneer persoonsgegevens zijn ontvreemd of er is een datalek binnen je bedrijf dan heb je een meldplicht bij de AP. Schakel een expert in die je datalek kan dichten en doe eventueel aangifte bij de Politie. Datalekken melden kan hier

Toestemming gegevensverwerking

Toestemming dient te worden gegeven door middel van een duidelijke schriftelijke verklaring, elektronische verklaring (vinkje), of een mondelinge verklaring. Hieruit moet blijken dat de betrokkene met de verwerking van zijn persoonsgegevens instemt. Wanneer er meerdere verwerkingsmethode zijn, dient er apart toestemming gegeven te worden.

Update de privacyverklaring

Verwerk zo transparant mogelijk het beleid. Zorg ervoor dat de klant, bezoeker of medewerker weet waar hij/zij aan toe is. Zo heeft deze persoon recht op inzage en recht op verwijdering. De onderstaande checklist kan als hulpmiddel worden gebruikt voor het opstellen van een privacyverklaring.

Checklist

Stel jezelf de volgende vragen en verwerk deze in je register en privacybeleid. Wees hierbij zo transparant mogelijk. Om het overzichtelijk te houden is het raadzaam om per onderdeel deze checklist te verwerken. Je verwerkt vaak op meerdere manieren persoonsgegevens. Hoe ga je te werk met bijvoorbeeld online facturen en hoe ga je om met gegevens die worden verstuurd via het contactformulier.

• Welke rol heb ik?
• Ben ik verantwoordelijk?
• Hoe kom ik aan deze persoonsgegevens?
• Welke persoonsgegevens verzamel ik?
• Hoe ga ik met deze persoonsgegevens om?
• Heb ik toestemming om deze gegevens te gebruiken, delen of plaatsen?
• Hoelang bewaar ik persoonsgegevens?
• Hoe zijn deze persoonsgegevens beveiligd?
• Wat ga ik doen als deze gegevens zijn gehackt?
• Waar moet ik datalekken melden?
• Hoe kan iemand aanspraak maken op het recht van verwijdering?
• Hoe kan iemand mij bereiken?

e-privacyverordening

De e-privacyverordening (ePV) is een uitbreiding (Lex specialis) naast de AVG. Deze wet gaat dan ook boven de AVG. De AVG is een basis wetgeving. De e-privacyverordening is richt zich op elektronische communicatiegegevens. Deze gegevens kunnen worden aangemerkt als persoonsgegevens. Regels met betrekking tot cookies, tracking technologieën en direct marketing worden hierin vastgelegd. Het was de bedoeling om deze wet tegelijk in te laten gaan met de AVG. Echter ziet het ernaar uit dat de ePV pas in 2019 van kracht gaat zijn.

Handige links:

De AVG in een notendop
Autoriteitpersoonsgegevens – AVG informatie
Autoriteitpersoonsgegevens – Datalekken melden
Autoriteitpersoonsgegevens – Stresstest
Autoriteitpersoonsgegevens – In 10 stappen voorbereid op de AVG
Autoriteitpersoonsgegevens – Verwerkersovereenkomst Eisen
Autoriteitpersoonsgegevens – Melden verwerking persoonsgegevens
Kamer van Koophandel – AVG

Laat een reactie achter