Op 25 mei 2018 gaat de nieuwe privacywet AVG in voor de hele Europese Unie. Ieder bedrijf krijgt hiermee te maken. Tijd om ons te verdiepen in de nieuwe wetgeving. Wat moet je weten en waaraan moet je voldoen om een eventuele boete te voorkomen?

Wat is AVG en waar staat het voor?

De Europese privacywet AVG staat voor Algemene Verordening Gegevensbescherming. De Engelse naam voor deze wet is General Data Protection Regulation (GDPR). In een notendop krijgen mensen meer rechten om hun persoonsgegevens te beschermen. Dit als gevolg van snelle technologische ontwikkelingen en globalisering. In het officiële publicatieblad van de Europese Unie (pagina 2) wordt aangegeven:

Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben. Er dient meer rechtszekerheid en praktische zekerheid te worden geboden aan natuurlijke personen, marktdeelnemers en overheidsinstanties. 

Dit is in mijn ogen terecht gezien het grote aanbod van online diensten die ik - en anderen met mij - steeds meer gebruiken. De kans dat je persoonsgegevens wereldwijd bekend zijn, is in deze situatie aanwezig.

Voor wie is de AVG van toepassing?

Vanaf 25 mei 2018 is de AVG voor iedere organisatie van toepassing. Om te kunnen voldoen aan alle wetgevingen zul je in jouw organisatie wellicht aanpassingen moeten doorvoeren. Denk bijvoorbeeld aan het vragen van toestemming op een contactformulier op jouw website om persoonsgegevens te verwerken. Bij het ontwerpen van producten of diensten dient altijd rekening te worden gehouden met het beschermen van persoonsgegevens. Echter komen er nu meer verplichtingen bij.

Autoriteit Persoonsgegevens (AP) heeft van de belangrijkste punten een 10 stappenplan gemaakt zodat je weet waar je als organisatie aan moet voldoen.

  1. Bewustwording
  2. Rechten van betrokkenen
  3. Overzicht verwerkingen
  4. Data protection impact assessment (DPIA)
  5. Privacy by design & privacy by default
  6. Functionaris voor de gegevensbescherming
  7. Meldplicht datalekken
  8. Verwerkersovereenkomsten
  9. Leidende toezichthouder
  10. Toestemming

Bewustwording

Het belangrijkste is om op tijd te beginnen. Het aanpassen van bijvoorbeeld websites, apps en andere producten kan de nodige werkzaamheden en kosten met zich mee brengen. Mocht je niet voldoen dan kunnen alle Europese privacytoezichthouders, zoals in Nederland bijvoorbeeld Autoriteit Persoonsgegevens, boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde omzet. 

Rechten van betrokkenen

Om überhaupt met persoonsgegevens te mogen werken, moet iedere organisatie toestemming van de betreffende personen krijgen. Als organisatie moet je ook kunnen bewijzen dat je daadwerkelijk toestemming hebt gekregen. Mensen moeten hun rechten verder met gemak kunnen uitoefenen. Enkele rechten zijn:

  • Recht op inzage
  • Recht op correctie
  • Recht op vergetelheid
  • Recht op dataportabiliteit

Inzage en correctie spreek voor zich. Het recht op vergetelheid en dataportabiliteit is interessant om verder toe te lichten.

Recht op vergetelheid

Organisaties moeten persoonsgegevens wissen als iemand hier om vraagt. Hier zijn echter wel voorwaarden aan verbonden. Opnieuw heeft het AP hier meer informatie over gepubliceerd.

Recht op dataportabiliteit

Dit is een nieuw recht. Mensen moeten hun eigen persoonsinformatie die de organisatie heeft kunnen opvragen. Als organisatie moet je dit kunnen overdragen, zodat mensen dit kunnen overhandigen aan een andere organisatie.

Overzicht verwerkingen

Iedere organisatie heeft een verantwoordingsplicht. Als organisatie moet je in de meeste omstandigheden een register van verwerkingsactiviteiten bijhouden. Je documenteert dan welke persoonsgegevens je gebruikt en met welk doel. Deel je deze informatie vervolgens ook nog? Dan moet dit gedocumenteerd worden. Je organisatie moet zo kunnen aantonen dat je aan de AVG voldoet. Het bijhouden van een register is verplicht wanneer je persoonsgegevens verwerkt. Als je organisatie meer dan 250 medewerkers bevat is een register met verwerkingsactiviteiten altijd verplicht.

Data protection impact assessment (DPIA)

DPIA is een test om privacyrisico’s vooraf in kaart te brengen. Hier kan je vervolgens naar handelen. DPIA kan vanaf 25 mei verplicht zijn als er een potentieel hoog privacyrisico is voor betrokkenen. Momenteel is alleen nog de Rijksoverheid verplicht, andere organisaties nog niet.

Privacy by design & privacy by default

Onder privacy by design wordt bedoeld dat bij het ontwerpen van nieuwe producten of diensten al rekening wordt gehouden met het beschermen van persoonsgegevens. Privacy by default is echter iets anders. Dit gaat in op dat je alleen persoonsgegevens verwerkt die je daadwerkelijk nodig hebt en dus essentieel zijn. Als pakketbezorgdienst moet je bijvoorbeeld het adres hebben van de ontvanger. Dit is essentieel omdat je anders geen pakket kan bezorgen. Een enkel informatieve app over alle soorten kaas in de wereld heeft het adres van een eindgebruiker echter niet nodig. Je mag het dan ook niet vragen.

Functionaris voor de gegevensbescherming

Het kan zo zijn dat je binnen de organisatie verplicht bent iemand aan te stellen om de AVG te waarborgen. Als organisatie ben je in de volgende drie situaties al verplicht iemand aan te stellen:

  • Overheden en publieke organisaties
  • Organisaties die monitoren en mensen observeren (denk bijvoorbeeld aan een Apple met de Apple Watch en hartloop apps)
  • Organisaties die bijzondere persoonsgegevens zoals gezondheid, ras en bijvoorbeeld politieke opvattingen bijhouden

Zelf vind ik het laatste punt nog vaag. Het is de vraag wat nu precies allemaal onder bijzondere persoonsgegevens valt. Als je op een papiertje noteert dat iemand op vakantie is geweest als reminder bij een telefoongesprek, heb je waarschijnlijk ook al te maken met bijzondere persoonsgegevens.

Meldplicht datalekken

Het melden van datalekken was natuurlijk al verplicht. Onder de AVG blijft dit nagenoeg hetzelfde.

Verwerkersovereenkomsten

Ga na als je gegevensbewerking uitbesteedt aan andere partijen of deze aan de AVG eisen voldoen. Zorg er ook voor dat je verwerkersovereenkomsten sluit met deze partijen.

Leidende toezichthouder

Als internationale organisatie is het mogelijk dat je gegevens grensoverschrijdend verwerkt. Om te voorkomen dat je met meerdere privacytoezichthouders te maken krijgt is een leidende toezichthouder in het leven geroepen. Als je organisatie vestigingen heeft in meerdere EU-lidstaten hoef je nog maar met één toezichthouder zaken te doen. De leidende toezichthouder is dan verantwoordelijk voor het coördineren en betrekken van andere toezichthouders. 

Toestemming

Ergens toestemming voor vragen is niet nieuw. Echter is de manier waarop onder de AVG strenger. Een vinkje vooraf aanvinken om ergens mee akkoord te gaan mag niet. Nieuw is dat je moet kunnen aantonen dat je daadwerkelijk toestemming hebt. Een toestemming moet voldoen aan de volgende punten:

  • Vrijelijk gegeven
  • Ondubbelzinnig
  • Geïnformeerd
  • Specifiek
  • Toestemming intrekken moet makkelijk zijn

Als je niet voldoet aan deze punten is de toestemming niet geldig.

25 mei 2018 en verder

De AVG brengt voor iedere organisatie extra werkzaamheden met zich mee. De regelgeving vereist namelijk de nodige aandacht, inspanning en er moet budget worden vrijgemaakt. Het is wel fijn dat er, met de komst van de AVG, één privacywet voor de gehele Europese Unie (EU) is. Dit versimpelt het e.e.a. als je Europees zaken doet. Het is in ieder geval belangrijk om ruim voor 25 mei 2018 aan de slag te gaan. Als organisatie wil en moet je ook voldoen aan de wetgeving.