Contactgegevens

Bezoekadres:
Kerklaan 30 / BL-005
(geen post!)
Postcode:
9751 NN Haren (Gn)
Tel.:
+31 (0)6 – 46 07 22 77
Postadres:
Postbus 69
Postcode:
9750 AB Haren (Gn)

Wat houdt de nieuwe Europese Privacywetgeving, de AVG, nu eigenlijk in?

De AVG regelt het verzamelen, het verwerken en het gebruik van persoonsgegevens van burgers door bedrijven. Al sinds 1 september 2001 wordt dit in Nederland geregeld door de Wet Bescherming Persoonsgegevens (Wbp), met als toezichthouder de Autoriteit Persoonsgegevens (AP). Deze Nederlandse wet, de Wbp, wordt vanaf 25 mei 2018 vervangen door de Europese wet, de AVG. De Autoriteit Persoonsgegevens blijft toezichthouder, maar krijgt verdergaande toezichthoudende bevoegdheden én de mogelijkheid tot het opleggen van substantieel zwaardere boetes (4% jaaromzet maximaal 20 miljoen euro) om naleving van de regels van de AVG te handhaven. Met name overtredingen van die zaken die je rond privacy onder de oude wet al geregeld had moeten hebben zullen zwaar worden beboet!

Met de komst van de AVG wordt aan burgers verregaande rechten toegekend met betrekking tot hun persoonsgegevens en privacygevoelige/vertrouwelijke gegevens. En ook dat is een verregaande uitbreiding op wat u eventueel nu al geregeld had. Even de belangrijkste aanscherpingen op een rij.

1: Uw activiteiten vallen een stuk eerder onder de Privacywetgeving van de AVG

Eerder nog dan onder de Wet Bescherming Persoonsgegevens leiden uw activiteiten tot verwerking van persoonsgegevens. Viel het invoeren en opslaan van klantgegevens in uw CRM of mobiele telefoon en het opslaan van de gegevens van uw personeel al onder de privacywetgeving van de Wbp, nu worden ook gegevens die gekoppeld zijn aan of door IP-adressen of MAC-adressen, cookies, profielen, wifitracking als persoonsgegevens aangemerkt. Het hoeft dus niet zo te zijn dat u zelf weet wie de persoon achter de gegevens is. Zodra gegevens zijn terug te herleiden tot een individueel persoon vallen ze onder de AVG en moet u die gegevens al behandelen als persoonsgegevens. Met andere woorden, persoonsgegevens zijn alle gegevens aan de hand waarvan deze, alleen of in samenhang met andere gegevens, naar een bepaalde individueel persoon herleid kunnen worden.

2: Voor de verwerking van persoonsgegevens heeft u een grondslag nodig.

Ieder ondernemer of onderneming heeft een wettelijke grondslag nodig om gewone persoonsgegevens te mogen verwerken. Dat klinkt wat zwaar, maar het zijn op zich voor de hand liggende redenen. Er zijn 6 grondslagen waarop je normale persoonsgegevens mag verwerken:

(1)    Uitvoering van een overeenkomst: als de persoonsgegevens noodzakelijk zijn om de opdracht of overeenkomst uit te voeren;
(2)    Gerechtvaardigd belang: als het past binnen je gerechtvaardigde (marketing)belang en de impact op de privacy beperkt is, toestemming is dan niet nodig (bijv. Google analytics), mits je de impact op de privacy vermindert door bijvoorbeeld de gegevens alleen voor analytische doeleinden te gebruiken of te pseudonimiseren;
(3)    Toestemming: als je ondubbelzinnig toestemming hebt verkregen van de betreffende persoon en deze dit vrijelijk, geïnformeerd en specifiek voor de verwerking heeft gegeven (bijvoorbeeld: bij een schriftelijke overeenkomst, het invullen contactformulier of aanvinken voor het ontvangen van een nieuwsbrief). Let er op dat u voor de verwerking van persoonsgegevens van kinderen jonger dan 16 jaar de toestemming nodig heeft van de wettelijke vertegenwoordiger van het kind.
(4)    Nakoming van een wettelijke verplichting: als er een wettelijke plicht bestaat om persoonsgegevens te verwerken of aan te leveren dan kan dit de reden zijn waarom persoonsgegevens worden verwerkt. Dit kan het geval zijn bij de salarisadministratie of uitwisseling van gegevens met de Belastingdienst, of op een wettelijke bevel van politie of justitie.
(5)    Bescherming van vitaal belang: als het nodig is voor de bescherming van iemands leven of gezondheid in gevaar is en er geen mogelijkheid is om toestemming van die persoon te vragen (bewusteloos of juridisch (onder curatele/bewind gestelden) of mentaal niet in staat – verwardheid, dementie, jonge kinderen).
(6)    Vervulling taken van algemeen belang: hierbij gaat het om wettelijke taken die aan uw organisatie zijn opgelegd of toegewezen. Meestal gaat het om overheids- (gemeenten, provincie, Waterschap e.d.) en semioverheidsinstellingen (energieleveranciers, openbaar vervoer, onderwijs, woningcorporaties, gezondheidszorg en welzijn, publieke omroepen)

Let op: U moet onder de AVG zich bij elke grondslag die u gebruikt altijd kunnen verantwoorden als onderdeel van de verantwoordingsplicht. Leg dan ook schriftelijk vast welke overwegingen u heeft gemaakt bij de keuze van de grondslag die u gebruikt of gaat gebruiken.

Bijzondere persoonsgegevens

Ging het hiervoor over gewone persoonsgegevens, het kan ook voorkomen dat u bijzondere persoonsgegevens verwerkt of wilt verwerken. De verwerking van bijzondere persoonsgegevens is verboden, tenzij u zich kunt beroepen op een wettelijke uitzondering én op één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. In de praktijk vallen sommige van die grondslagen samen.
Bijzondere persoonsgegevens zijn:

  • Burger Service Nummer (BSN) (staat niet in de AVG, maar wordt een nationaal wettelijke regeling);
  • Persoonsgegevens waaruit ras of etnische afkomst blijkt;
  • Persoonsgegevens waaruit politieke opvattingen blijken;
  • Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
  • Persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
  • Gegevens over gezondheid;
  • Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;
  • Genetische gegevens;
  • Biometrische gegevens met het oog op de unieke identificatie van een persoon.

10 uitzonderingen
In de AVG staan 10 uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Dat betekent dat het verbod niet voor u geldt wanneer u zich kunt beroepen op één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens én:
iemand uitdrukkelijk toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegevens;

  • de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht;
  • de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon. Dit geldt alleen wanneer diegene  fysiek of juridisch niet in staat is om zijn toestemming te geven;
  • de verwerking wordt gedaan door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is.  En die organisatie  gegevens verwerkt in het kader van gerechtvaardigde activiteiten en met passende waarborgen;
  • de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
  • de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;
  • de verwerking noodzakelijk is vanwege een  zwaarwegend algemeen belang;
  • de verwerking noodzakelijk is voor doeleinden van preventieve of (arbeids)geneeskunde aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg;
  • de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid;
  • de verwerking noodzakelijk is met het oog op de archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statische doeleinden.

Let op: u kunt de grondslagen b, g, h, i en j alleen inroepen als daarvoor in de nationale wet een rechtsbasis is gecreëerd. De overige grondslagen zijn rechtstreeks toepasselijk en hoeven niet te worden omgezet in nationaal recht. Dat geldt niet voor de andere grondslagen.

Vertrouwelijke persoonsgegevens

Vertrouwelijke persoonsgegevens zijn geen bijzondere persoonsgegevens maar vallen eigenlijk ze onder de categorie gewone persoonsgegevens. We noemen ze hier toch, omdat het gaat om persoonsgegevens die voor de betrokken persoon een grotere impact hebben op de persoonlijke levenssfeer wanneer deze bij onbevoegden terecht zou komen, zoals bij een datalek. Vertrouwelijke gegevens zijn onder andere: paspoortnummers, ID-bewijs nummer, rijbewijsnummer, bankgegevens, gedragsgegevens, accountgegevens, HR-gegevens, fiscale gegevens, financiële gegevens, enz.
Het gaat hier steeds om gegevens waarvan iedereen wel weet dat deze een zekere of hoge mate van vertrouwelijkheid hebben. Dat brengt met zich mee dat u bij verwerking ervan steeds een zorgvuldige belangenafweging maakt waarom u deze gegevens verwerkt en of het ook daadwerkelijk nodig is dat u ze verwerkt. Die belangenafweging moet u vervolgens goed onderbouwen en vastleggen.

Uw privacyverklaring moet nog duidelijker zijn

Voor zover u deze nog niet had, moet u een privacyverklaring (privacystatement) hebben en deze publiceren op uw website en/of bij een offerte of opdrachtbevestiging meesturen. Onder de AVG bent u verplicht om de privacyverklaring in eenvoudige bewoordingen – liefst nog vergezeld van pictogrammen – precies uitleggen hoe u omgaat met persoonlijke gegevens: welke gegevens u verzameld, waarom u ze verzameld, hoe deze worden opgeslagen, of u doet aan profiling, of u cookies gebruikt en waarvoor. Ook moet u de personen om wiens gegevens of profiel het gaat wijzen op wat hun rechten zijn ten aanzien van hun persoonsgegevens. Zo moet u hen erop wijzen dat ze het recht hebben op inzage, aanpassing, verwijdering en overdracht van gegevens. Ook moet u hen wijzen op de mogelijkheid tot het indienen van een eventuele klacht bij schending van diens rechten bij de Autoriteit Persoonsgegevens.

De systemen van uw organisatie moet de verzoeken van personen om inzage, correctie, verwijderen en overdracht van hun gegevens kunnen verwerken

Zoals hiervoor onder punt 2 al werd aangegeven moet u op verzoek van de betrokken persoon om wiens persoonsgegevens het gaat diens gegevens kunnen inzien, laten wijzigen, laten verwijderen of kunnen laten overdragen aan derden. Een verzoek moet normaal binnen een maand inhoudelijk zijn afgehandeld. De overdracht van de persoonsgegevens dient plaats te vinden in een regulier digitaal formaat. Dit gaat verder dan enkel het kunnen overdragen van tekstbestanden, maar kunnen ook andere gegevensbestanden betreffen die in een specifiek niet regulier digitaal bestandsformaat van uw software zijn opgeslagen. U dient dus wel technisch in staat te zijn om de gegevens gestructureerd in een regulier (voor computer/software leesbaar of te wel: machineleesbaar) digitaal formaat aan te kunnen maken en over te dragen (dataportabiliteit). Maar weet u waar allemaal de persoonsgegevens van een klant zijn opgeslagen? Dat gaat verder dan alleen maar het CRM-systeem, want denk ook maar aan de e-mail, mobiele telefoons van uzelf en de medewerkers, digitale dossiers en accounts of bij een derde partij die voor u gegevens verwerkt of opslaat.

Heeft u een onlinedienst waarin mensen hun persoonlijke gegevens kunnen opslaan?

Het kan zijn dat via uw onlineplatform mensen veel vertrouwelijke en persoonlijke gegevens opslaan inclusief foto’s, afbeeldingen, profielen (zoals dat bijvoorbeeld ook kan bij social media zoals Facebook, WhatsApp, Instagram, LinkedIn e.d.). Ook dan moet u technisch in staat zijn om de gegevens overdraagbaar te maken (dataportabiliteit). Zoals hiervoor al gemeld dient dat gestructureerd, machineleesbaar en in een regulier digitaal formaat aan de verzoekende persoon overdraagbaar en/of aangeleverd te kunnen worden.

U moet alle verwerkingen van persoonsgegevens vastleggen in een register

In dit register legt u vast welke persoonsgegevens u verwerkt, met welk doel, en hoe u de beveiliging daarvan geregeld heeft. Bedrijven met 250 mensen personeel of die risicovolle  persoonsgegevens verwerken (klantprofielen), grote hoeveelheden persoonsgegevens of structureel persoonsgegevens verwerken zijn in elk geval verplicht een register aan te leggen. Maar eigenlijk ontkom je er als bedrijf niet aan om een register aan te leggen, omdat je altijd moet weten en kunnen beoordelen welke persoonsgegevens je verwerkt en je je moet kunnen verantwoorden hoe de verwerking van persoonsgegevens plaatsvindt.

Is de privacygevoelige informatie die u verzamelt wel nodig en hoelang bewaart u deze?

De AVG stelt naast het toekennen van verregaande rechten van de burger over hun persoonsgegevens ook risicobeheersing en bescherming van persoonsgegevens centraal. Dat betekent dat u alleen het minimale aan persoonsgegevens onder u mag hebben die u werkelijk nodig heeft voor uw bedrijfsactiviteiten en niet meer. U zult dus moeten nagaan en in beleid vastleggen welke gegevens voor uw bedrijf wel of niet relevant zijn. En wanneer u die bepaalde gegevens niet meer nodig heeft zult u die actief moeten verwijderen uit uw systemen.

Uw software en diensten moeten van de grond af rekening houden met privacy

U mag ook niet meer gegevens vragen van mensen dan u ook daadwerkelijk nodig heeft. Omdat u dit allemaal standaard verplicht bent om te doen wordt dit ook wel ‘Privacy by default’ genoemd. En bij het ontwikkelen en aanschaf van software, een bestaande of nieuwe website of app, of aanschaf van digitale of beveiligingssystemen, projecten en (marketing)campagnes, nieuwe diensten, moet u rekening houden de privacyaspecten, dit wordt ook wel ‘Privacy by design’ genoemd.

Alle datalekken moeten intern worden gedocumenteerd

Alle datalekken binnen uw bedrijf moeten worden vastgelegd in een register, ook die niet aan de toezichthouder, de Autoriteit Persoonsgegevens, hoeven worden gemeld. Dat register is enkel bestemd voor intern gebruik, maar kan onder omstandigheden door de toezichthouder worden opgevraagd. Verwerkt of bewaart u persoonsgegevens voor anderen, dan bent u verplicht dit aan deze anderen te melden.

U moet met al uw opdrachtnemers of relaties die voor u persoonsgegevens verwerken of opslaan of die u voor anderen verwerkt of opslaat een zogeheten verwerkersovereenkomst sluiten

In deze verwerkersovereenkomst maakt u specifieke afspraken over hoe uw opdrachtnemers, leverancier of afnemer persoonlijke gegevens verwerken of opslaan en beschermen. Dit geldt natuurlijk ook wanneer uzelf gegevens voor anderen verwerkt of opslaat. Een belangrijk aandachtspunt daarbij is dat wanneer u diensten uitbesteedt waarbij persoonsgegevens van een klant zijn betrokken, u hiervoor toestemming nodig hebt van die klant. Verder regelt u in de verwerkingsovereenkomst zaken als beveiliging, regelingen voor wijzigings-, inzage-, verwijderings- en overdrachtsverzoeken van gegevens door een persoon, meldingsprotocol bij datalekken, aansprakelijkheids- en risicoverdeling.

Zitten er risico’s aan een verwerking, dan moet u een complete Privacy Impact Assessment (PIA) uitvoeren

Wanneer er hogere risico’s zitten aan de verwerking van persoonsgegevens, omdat het om zogenaamde bijzondere persoonsgegevens (ras, politieke voorkeur, gezondheid, seksuele leven, lidmaatschap vakbond of strafrechtelijk verleden) gaat, of profiling, stelselmatige verwerking van persoonlijke gegevens, het op grote schaal verwerken van persoonlijke gegevens, of het gebruik van nieuwe innovatieve technologie, dan is een PIA verplicht. Een PIA houdt in dat u verplicht bent om een uitgebreide risicoanalyse binnen uw onderneming uit te voeren. Onder meer zult u in kaart moeten brengen welke persoonlijke gegevens u alleemaal verzamelt en bewaart, wat de mate van vertrouwelijkheid is van die gegevens, wie er allemaal toegang toe heeft, waar de gegevens worden opgeslagen en hoe de beveiliging is geregeld, voor welk doel de persoonlijke gegevens voor worden gebruikt en waarom dit gerechtvaardigd is. Heeft u dit allemaal in kaart gebracht, dan zult u ook de nodige maatregelen moeten treffen om de privacy risico’s te verkleinen en de gegevensverwerking aan de eisen van de AVG te voldoen (compliant zijn). Maar een PIA is altijd zinvol om uit te voeren om zelf inzicht te krijgen in de privacy risico’s binnen uw bedrijf. Tenslotte zult u moeten beoordelen of u aan de eisen van de AVG voldoet en dat betekent dat u inzicht moet hebben in de aard van de persoonlijke gegevens die u verwerkt, of u dit mag doen, hoe de bescherming en beveiliging is geregeld, of uw systemen voldoen en of u maatregelen moet nemen.

Wellicht heeft u een Privacy Officer (in AVG-termen een Functionaris Gegevensbescherming) nodig

Wanneer u verplicht bent om een PIA uit te voeren zult u ook verplicht zijn tot het aanstellen van een Privacy Officer of in goed Nederlands een Functionaris Gegevensbescherming (FG) binnen uw bedrijf. Een FG is een onafhankelijke persoon binnen de eigen organisatie die adviseert en rapporteert en eventueel over de naleving van de AVG maar ook eventuele maatregelen implementeert en dit coördineert. Deze FG kan dus een eigen medewerker zijn binnen uw organisatie, en geniet extra (ontslag)bescherming ter waarborging van diens onafhankelijke positie. Maar het mag ook iemand van buiten uw organisatie zijn die u inhuurt voor die taken. JADE Juristen kan dat voor u regelen.

Uw beveiliging van uw (digitale) systemen moet op orde zijn – en up to date blijven

Hiervoor kwam het al meerder keren ter sprake, maar de beveiliging van de persoonlijke gegevens die u van personen verwerkt en opslaat moet op orde zijn en up to date blijven. De mate van beveiliging die vereist wordt zal afhangen van de aard en hoeveelheid van de persoonlijke gegevens die u verwerkt en opslaat. De AVG omschrijft dit als dat u ‘passende’ beveiligingsmaatregelen moet treffen ter bescherming van persoonlijke gegevens.

U dient privacybeleid te ontwikkelen en intern bekend te maken waarin staat wie welke rol heeft bij de omgang met persoonsgegevens

Het nemen van technische maatregelen om persoonlijke gegevens binnen uw bedrijf te beschermen en de rechten van de betrokken personen wiens persoonlijke gegevens het betreft en vastlegging van de privacy risico’s alleen is niet voldoende. Intern zult u ook beleid moeten maken op wie van de medewerkers toegang en omgang heeft met welke persoonsgegevens en waarom. Ook hier geldt dat u alleen medewerkers toegang moet geven tot persoonlijke gegevens wanneer dat nodig is, maar denk ook aan een wachtwoordbeleid, beleid van kopiëren van gegevens, beleid met betrekking tot smartphones, e-mail en social media die medewerkers gebruiken en inzetten voor gegevensuitwisseling en overige interne of externe kanalen voor gegevensuitwisseling. Dit beleid zult u intern bij uw medewerkers bekend moeten maken en ze daarin bij herhaling moeten trainen en het belang ervan uitleggen.

Werkt u met buitenlandse partijen, controleer dan of zij binnen of buiten de Europese Unie persoonsgegevens voor u opslaan

Dit is van belang om te weten, want opslag van persoonsgegevens buiten de EU is alleen toegestaan wanneer er wordt voldaan aan strikte privacy regelgeving. Dat is bijvoorbeeld  het geval wanneer het betreffende buitenland door de Europese Commissie gecertificeerd is. De VS is dat: het zogeheten Privacy Shield biedt de nodige waarborgen voor gebruik van Amerikaanse partijen. Maar let op: uw klanten kunnen van u eisen dat hun persoonlijke gegevens gewoon in het geheel niet buiten de EU worden opgeslagen of verwerkt.

Maakt u interesseprofielen of risicoanalyses van mensen?

Wanneer u interesseprofielen of risicoanalyses maakt van uw klanten of bezoekers, dan moet u hen op verzoek kunnen uitleggen hoe dat gebeurt en wat u daarmee doet. Dit speelt al bij het gebruik van cookies voor advertentiedoeleinden. Eigenlijk moet u dit al in uw Privacy verklaring opnemen, zodat klanten op voorhand al inzicht kunnen krijgen in deze gegevensverzameling over hen.

Maakt uw organisatie gebruik van vingerafdrukken of biometrie, bijvoorbeeld voor toegangsbeveiliging?

In de regel zullen alleen gespecialiseerde bedrijven hier gebruik van maken bij hun bedrijfsactiviteiten of interne beveiliging. Voor deze bedrijven gold altijd al dat zij extra voorzichtig met die gegevens moeten omgaan en beveiligingsmaatregelen ter bescherming daarvan moeten nemen. Onder de AVG is dit nog een tandje strenger geworden.

Handhaving en hoge boetes

Privacy wordt door de Europese Commissie zeer serieus genomen. Vandaar ook dat er nu Europese regelgeving is gekomen in de vorm van de GDPR/AVG. Ook wil men serieus werk maken van de handhaving. Enerzijds ter bescherming van de burgers tegen misbruik en het geven van meer controle over hun persoonsgegevens. Maar anderzijds wordt het ook noodzakelijk gevonden om tegenwicht te bieden aan de private bedrijven en grote concerns die met hun gegevensverzameling en kapitaal een al te grote invloed hebben op de maatschappij en overheden van landen. Om dit alles kracht bij te zetten kunnen de nationale toezichthouders aan bedrijven die zich niet aan de privacyregels houden boetes opleggen die kan oplopen naar 20 miljoen euro of 4% van de wereldwijde jaaromzet. Bovendien komt er komt een Europees Comité dat toeziet op de juiste toepassing van de AVG.

Wij maken gebruik van cookies
Op www.jadejuristen.nl gebruiken wij cookies en andere technieken om jouw ervaring op onze website te verbeteren en om advertenties te tonen, ook met tracking cookies van derden die jouw internetgedrag volgen. Bekijk ons cookiebeleid. Als je doorklikt ga je akkoord met het plaatsen van de cookies en technieken.