Algemene Verordening gegevensbescherming (AVG)

Bent u klaar voor de AVG? 

Vanaf 25 mei 2018 is de Europese Algemene verordening gegevensbescherming (AVG) van toepassing. De verordening treedt direct in werking en zal dus niet meer in de nationale wetgeving vastgelegd worden. Daarmee vervangt de verordening de Nederlandse Wet bescherming persoonsgegevens (Wbp). Er geldt dan immers één Europese regelgeving. In het Engels heet de AVG: General Data Protection Regulation (GDPR). 


Wat zijn de gevolgen van de AVG voor u? Controleer hier of u klaar bent voor de AVG!

Op deze pagina zetten we alle informatie over de AVG en wat dit voor u betekent op een rij.

Wat zegt de AVG?

De AVG legt het begrip persoonsgegeven veel breder uit, zodra je gegevens over iemand hebt gekoppeld aan een uniek nummer heb je al een persoonsgegeven, ongeacht of naam, adres en dergelijke weet. Veel nadruk komt er op compliance en bewijsvoering. Toestemming krijgen is lastiger, je moet meer uitleggen en specifieker vragen. Mensen kunnen hun toestemming te allen tijde intrekken. Je moet al je gebruik van persoonsgegevens documenteren in een intern verwerkingsregister, je moet kunnen bewijzen dat je toestemming hebt gekregen en je moet alle datalekken documenteren. Met je leveranciers en partners moet je verwerkersovereenkomsten sluiten om specifieke afspraken te maken over wat zij met persoonsgegevens van jouw klanten of personeel mogen doen. En de boetes op niet-nakoming kunnen in theorie enkele miljoenen euro’s per overtreding worden.


Bron: Arnoud Engelfriet van ICTRecht

Wat verandert er?

Veel blijft hetzelfde. Een goed privacybeleid, een begrijpelijk privacystatement, goede afspraken tussen bewerkers en verantwoordelijken en een procedure voor datalekken. Maar er zijn ook kleinere en grote veranderingen. De belangrijkste staan hieronder genoemd.


Verantwoordingsplicht

De AVG kent de plicht om te bewijzen dat een bedrijf ‘behoorlijk en zorgvuldig’ omgaat met de persoonsgegevens. Onder behoorlijke en zorgvuldige verwerking wordt verstaan dat je persoonsgegevens verwerkt voor bepaalde uitdrukkelijke, omschreven en gerechtvaardigde doeleinden. De toezichthouder Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) kan vragen om te laten zien wat is gedaan aan de bescherming. Zorg dus altijd voor documentatie van veilige en rechtmatige verwerking van persoonsgegevens!


Privacy Impact Assesment (PIA)

De huidige Wet Bescherming Persoonsgegevens kent de meldplicht zodra je persoonsgegevens verwerkt. Dat is in de AVG geen vereiste, tenzij:

  • Op grote schaal bijzonder gevoelige persoonsgegevens worden verwerkt. Dit zijn bijvoorbeeld gegevens op het gebied van levensovertuiging of strafrechtelijke gegevens.
  • Persoonsgegevens systematisch worden verwerkt, zoals bij automatische beslissingen nemen op basis van klantgedrag.
  • Een vermoeden bestaat dat verwerking van de persoonsgegevens een grote invloed heeft op de betrokkenen, zoals bij het verwerken van medische gegevens.

Als een van deze bovenstaande punten het geval is, is het noodzakelijk een Privacy Impact Assessment (PIA) te doen. Wanneer uit het Assesment blijkt dat gegevens inderdaad risicovol zijn, geldt een meldplicht bij de Autoriteit Persoonsgegevens.


Functionaris voor gegevensbescherming (FG)

De AVG kent het begrip 'Functionaris voor gegevensbescherming'. De aanstelling van een dergelijke functionaris is verplicht:

  • voor overheidsinstanties
  • voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is van de organisatie.
  • voor organisaties die op grote schaal mensen volgt en dit een kernactiviteit is van de organisatie.

De Functionaris voor gegevensbescherming kan ook vrijwillig worden aangesteld. Hiervoor gelden dezelfde plichten als voor de verplichte FG’s.


Hogere boetes

De toezichthouder Autoriteit Persoonsgegevens kan boetes opleggen voor bedrijven die zich niet aan de verordening houden. Boetes kunnen oplopen tot 20 miljoen Euro of tot 4% van de wereldwijde jaaromzet. De Autoriteit Persoonsgevens kan ook bestuursdwang uitoefenen.


Meldplicht datalekken/hacken

In Nederland was dit al verplicht, maar nu geldt dit voor de hele EU. Dit moet binnen 24 uur na het lek gemeld worden.


Meer rechten voor consumenten

In de AVG hebben consumenten meer en sterkere rechten:

  1. Transparantie: je klant mag altijd inzage aanvragen in zijn of haar persoonsgegevens waarover jij beschikt. Er moet ook mogelijkheid zijn tot correctie of verwijderen van deze gegevens. Informeer je klant helder over de betreffende verwerking. Bij een opt-in moet je als organisatie de klant duidelijk attenderen op deze mogelijkheid. Wanneer je persoonsgegevens van derden krijgt dien je zo snel mogelijk (maximaal binnen een maand) de desbetreffende persoon te melden dat je zijn persoonsgegevens aan het verwerken bent.
  2. Recht om vergeten te worden: klanten hebben het recht hebben om hun gegevens te laten verwijderen. Ook hier moeten je klanten bekend mee zijn. Dit geldt overigens niet voor persoonsgegevens die je nodig hebt voor bijvoorbeeld facturen voor je boekhouding.
  3. Recht om zich te verzetten tegen direct marketing en profiling. Profiling is elke vorm van geautomatiseerde verwerking van persoonsgegevens zoals voorkeuren en het voorspellen van gedrag. Hierdoor kan een webshop bijvoorbeeld klantprofielen creëren en op basis daarvan een persoonlijk aanbod bieden. Direct marketing en profiling wordt gezien als gerechtvaardigd belang van organisaties maar klanten hebben het recht om zich hiertegen te verzetten. Als organisatie moet je zorgen dat het mogelijk is om dit te uit te schakelen.
  4. Recht om zich tegen ‘automatische besluitvorming’ te verzetten. Automatische besluitvorming zijn automatisch genomen beslissingen met grote gevolgen. Denk bijvoorbeeld aan de Belastingdienst die bepaalde toeslagen wel of niet uitkeert op basis van verkregen inkomensgegevens. Consumenten hebben het recht om uitleg te krijgen over deze beslissingen van een natuurlijk persoon in plaats van een computer. Organisaties die gebruik maken van automatische besluitvormingen moeten dit vooraf goed hebben geregeld in een overeenkomst of toestemming hebben gekregen van de betrokkene.

Stappenplan

Goed voorbereid in tien stappen!

  1. Bewustwording

    De eerste stap is het bewust maken van het personeel dat met de nieuwe wet te maken krijgt. Zij kunnen een goede inschatting maken van de tijd en goederen die nodig zijn.

  2. Rechten van betrokkenen

    Klanten krijgen in de nieuwe wet steeds meer rechten. Denk hierbij niet alleen aan het recht op inzage en verwijdering, maar ook aan bijvoorbeeld het recht op dataportabiliteit. Hierbij kunnen klanten hun gegevens makkelijk opvragen om deze door te geven aan andere organisaties. Het recht op verwijdering wordt ook uitgebreider dan dat het nu is. Als een klant vraagt om verwijdering, moet je hier in de meeste gevallen binnen een maand gehoor aan geven.
  3. Overzicht verwerkingen

    Maak een overzicht van al je verwerkte persoonsgegevens. Noteer waar je de data vandaan hebt, met welk doel je ze hebt opgeslagen en met wie je ze deelt. Zorg dat je ook vermeldt op basis van welke wettelijke grondslag je deze gegevens verwerkt.
  4. Privacy Impact Assessment (PIA)

    Bij invoering van de AVG word je ook verplicht om een Privacy Impact Assessment (PIA) uit te voeren als je data verwerkt met een hoog privacyrisico. De PIA is een instrument waarmee je vooraf kunt bepalen wat risico's zijn die horen bij het verwerken van bepaalde persoonsgegevens.
  5. Privacy by design & privacy by default

    Deze twee principes staan centraal binnen de AVG. Privacy by design houdt in dat je bij het ontwerpen van producten en diensten al zorgt dat de privacy van klanten gewaarborgd wordt. Privacy by default wil zeggen dat je technische en organisatorische maatregelen moet nemen waardoor je standaard uitsluitend de strikt noodzakelijke gegevens verzamelt voor het specifieke doel.
  6. Functionaris voor de gegevensbescherming

    Als je bedrijf op grote schaal persoonsgegevens verwerkt en dit je kernactiviteit is, ben je verplicht een functionaris voor de gegevensbescherming aan te stellen. Ook overheidsinstanties en publieke organisaties moeten zo'n functionaris hebben. 
  7. Meldplicht datalekken?

    De meldplicht datalekken is niet nieuw. Bij de AVG is het echter de bedoeling dat alle datalekken worden vastgelegd op een manier waarop de Autoriteit Persoonsgegevens precies kan zien of je genoeg hebt gedaan aan het beschermen van de gegevens.
  8. Bewerkersovereenkomsten

    Heb jij een overeenkomst met een bewerker (verwerker in de AVG)? Controleer dan goed of de maatregelen die jullie zijn overeengekomen om de privacy te waarborgen genoeg zijn voor de AVG. Zie ook het model verwerkersovereenkomst op deze pagina.
  9. Leidende toezichthouder?

    Internationaal actief? Als je in meerdere landen in de EU gevestigd bent, val je maar onder een toezichthouder. Bepaal tijdig onder welke je valt.
  10. Toestemming

    De AVG legt strengere regels op omtrent de manier waarop je toestemming vraagt, krijgt en registreert. Je klanten moeten een geldige toestemming geven en deze eenvoudig weer kunnen intrekken. Controleer je formulieren goed en pas ze zonodig aan.


Let op: Vanaf 25 mei 2018 geldt een documentatieplicht. Dit wil zeggen dat aangetoond moet kunnen worden dat technische en organisatorische maatregelen zijn genomen om aan de AVG te voldoen.

Model verwerkersovereenkomst

Wanneer een verantwoordelijke een verwerker inschakelt voor de verwerking van persoonsgegevens is de verantwoordelijke wettelijk verplicht schriftelijke (of gelijkwaardige) afspraken te maken met de verwerker over een aantal in de wet genoemde onderwerpen. 

Onderstaand model is een hulpmiddel om die afspraken vast te leggen en kunt u hieronder downloaden.
Voordat u dit model gebruikt moet u zich afvragen of verwerker bent of verwerkingsverantwoordelijke. Meer informatie vindt u op deze pagina.


MODEL verwerkersovereenkomst 

Bezoekadres
Zilverstraat 69, 2718 RP Zoetermeer
Postadres
Postbus 840, 2700 AV Zoetermeer
Telefoon
079 - 203 50 15
E-mail
info@vebon-novb.nl
 
 
volg ons

wij bevorderen veiligheid