25 mei 2018 nadert. Vanaf dat moment moeten ‘wij’ AVG proof zijn. En dat moeten we niet alleen zijn, dat moeten we ook kunnen aantonen. Dat deze Europese wetgeving er aan zit te komen, is al jaren bekend (vanaf mei 2016), maar lijkt op de een of andere manier aan de aandacht van de meeste ondernemers te zijn ontsnapt. Met nog een kleine drie maanden te gaan, schrikken de meeste ondernemers nu wakker van de wekker die door de overheid is gezet. De ondernemers die ik spreek kennen vaak inmiddels wel de term AVG, maar hebben nog geen idee wat de gevolgen zijn. De term ‘register van verwerkingsactiviteiten’ is bijvoorbeeld nog redelijk onbekend, terwijl de meesten van ons dit register per 25 mei 2018 zullen moeten hebben. Op internet is volop informatie te vinden. Maar hierop is denk ik wel het spreekwoord “we zien door de bomen het bos niet meer” van toepassing. Bovendien vliegen de onbekende termen als ‘DPIA’, ‘DPO’, ‘GDPR’ ‘privacy by default’, ‘dataminimalisatie’ en ‘accountability’ je om je oren.
Dit artikel is – met het risico ook een van de vele bomen te worden – bedoeld om de snooze knop van de wekker van de ondernemers uit te drukken en samen bewust te worden wat de nieuwe privacywetgeving voor jouw bedrijf betekent. 
Laat ik beginnen met een geruststelling:
Met de nieuwe Europese Verordening, voluit “Algemene Verordening Gegevensbescherming” (hierna: AVG) verandert er inhoudelijk eigenlijk niet zo heel veel ten opzichte van de reeds bestaande Wet bescherming persoonsgegevens.
De grootste verandering is de verantwoordingsplicht die op jouw als ondernemer komt te rusten en de ruimere sanctioneringsmogelijkheden.
In die wet waren al de volgende uitgangspunten opgenomen:
> Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
> Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
> Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
> De gegevensverwerking moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.
Met de komst van de AVG wordt bereikt dat binnen alle lidstaten dezelfde regels gelden. Ook heeft deze Verordening als voordeel, ten opzichte van een Europese richtlijn, dat deze Verordening rechtstreekse werking heeft. Met ander woorden: er is geen wetgeving van de individuele lidstaten nodig om de regels te laten gelden.
Voor de positie van de Autoriteit Persoonsgegevens en nadere invulling van onderwerpen waarbij ruimte is voor afwijking of aanvulling van de AVG, is een Uitvoeringswet in de maak. Deze wet is in december 2017 bij de Tweede Kamer ingediend. Het is nog maar de vraag of deze ook per 25 mei 2018 in werking zal treden.
Wanneer is nu die AVG van toepassing?
De AVG is van toepassing op geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens. Ook is de AVG van toepassing op de handmatige verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen.
Drie vragen die gesteld moeten worden!
Als ondernemer dien je je de volgende vragen te stellen:
1. verwerk ik gegevens?
2. zijn die gegevens persoonsgegevens?
3. verwerk ik deze gegevens geheel of gedeeltelijk geautomatiseerd, of zijn ze opgenomen in een bestand danwel bestemd om daarin te worden opgenomen?
Wat zijn nu persoonsgegevens, wanneer spreek je over verwerken, en wat is een bestand in de zin van AVG?
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijk persoon (de betrokkene). Met andere woorden, het moet gaan om een concreet persoon, danwel er moet te herleiden zijn op basis van de persoonsgegevens (zo nodig door verschillende gegevens te combineren) om welk natuurlijk persoon het gaat.
Hebben de gegevens géén betrekking op een natuurlijk persoon, maar bijvoorbeeld op een besloten vennootschap, dan is de AVG niet van toepassing. Let op: een eenmanszaak is ook een natuurlijk persoon! Gaat het om de verwerking van gegevens van personen binnen een organisatie, de werknemers, dan is dit ook verwerking van persoonsgegevens.
Verder: er zijn ook bijzondere categorieën van persoonsgegevens, zoals medische gegevens of gegevens over de politieke overtuiging van een persoon. Dit zijn bijzondere persoonsgegevens en deze mogen niet worden verwerkt, tenzij hiervoor een uitzondering is of tenzij de betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking. Ook zijn de persoonsgegevens van strafrechtelijke aard een uitzondering. Hiervoor gelden speciale regels.
Zijn de persoonsgegevens geanonimiseerd, dan is de AVG ook niet van toepassing. Op gepseudonimiseerde persoonsgegevens weer wel. Denk hierbij aan een klantnummer in een database.
Wat betekent verwerken van persoonsgegevens?
Oké. Dan hebben we helder wat nu persoonsgegevens zijn. Wanneer is er dan sprake van het verwerken van deze persoonsgegevens?
Heel kort door de bocht: alle handelingen die met persoonsgegevens worden gedaan kan als verwerken worden aangemerkt, met uitzondering van het mondeling bespreken van persoonsgegevens.
Onder verwerken wordt namelijk verstaan élke bewerking of elk geheel van bewerking met betrekking tot persoonsgegevens. Dus denk aan het vastleggen, verzamelen, doorsturen, maar ook wissen, beperken of vernietigen van persoonsgegevens. Maar ook het opvragen, gebruiken of raadplegen dient onder het begrip “verwerken” te worden verstaan.
Wat is dan een bestand?
Dan hebben we bijna de drie hierboven genoemde vragen kunnen beantwoorden. De vraag is enkel nog wat onder een ‘bestand‘ moet worden verstaan. Dit is elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is, dan wel op functionele of geografische gronden is verspreid. Kortom het maakt niet uit of de gegevens bij elkaar verzameld zijn, of zich op verschillende locaties bevinden. Hierbij kan het dus gaan om computers, smartphones, servers, databases etc, maar ook archiefkasten en een geordende verzameling visitekaartjes.
De drie belangrijke rollen in de zin van AVG
Voordat ik aan de zes uitgangspunten van de AVG toekom, nog drie begrippen, drie rollen, die duidelijk moeten zijn. Voor de verschillende rollen gelden namelijk verschillende regels.
De verwerkingsverantwoordelijke is degene die het doel en de middelen voor de verwerking bepaalt. Dit is dus degene die bepaalt dat de gegevens moeten worden verwerkt en ook hoe deze gegevens moeten worden verwerkt.
Deze verantwoordelijkheid kan ontstaan door een juridische bevoegdheid, bijvoorbeeld het verwerken van de gegevens door de Belastingdienst. Het kan ook ontstaan door een impliciete bevoegdheid ( op basis van gangbare juridische regels en de maatstaven in het maatschappelijk verkeer). Denk hierbij aan de verwerking van persoonsgegevens van een werkgever van zijn werknemers. Ook kan de verantwoordelijkheid ontstaan door een feitelijke invloed die partijen op de verwerking van persoonsgegevens kunnen uitoefenen. Afspraken vastgelegd in contracten spelen hierbij een rol. Het gaat er om wie de beslissingen neemt en wie feitelijke bepaalt wat er met de gegevens gaat gebeuren. Indien een werknemer in opdracht van zijn werkgever persoonsgegevens verwerkt ten behoeve van de rechtspersoon van werkgever, dan wordt de rechtspersoon aangemerkt als verwerkingsverantwoordelijke, niet de individuele werknemer. Als partijen met elkaar samenwerken, dan kan er ook sprake zijn van gezamenlijke verwerkingsverantwoordelijken.
De tweede rol is die van de verwerker . Een verwerker handelt in opdracht van de verwerkersverantwoordelijke, zonder onder diens rechtstreekse gezag te staan. De verwerker volgt de instructies op van de verwerkersverantwoordelijke. Denk hierbij bijvoorbeeld aan het verwerken van de salarisadministratie door een administratiekantoor in opdracht van een werkgever. Maar ook: het beheren in de Cloud van een database voor een onderneming door een ICT bedrijf.
Om als verwerker te worden aangemerkt moet de dienstverlening daadwerkelijk zijn gericht op de verwerking van persoonsgegevens, ten behoeve van de verwerkingsverantwoordelijke. Indien de verwerking slechts een uitvloeisel is van de dienstverlening, dan zal de verwerker mogelijk ook zelf verwerkingsverantwoordelijke zijn. Dus, gekeken moet worden welke opdracht aan de verwerker is gegeven. Voor zover dit op méér ziet dan de verwerking van persoonsgegevens, dan is deze ondernemer voor deze verwerking zelf aan te merken als verwerkingsverantwoordelijke. Enkele verplichtingen van de verwerkingsverantwoordelijke rust ook op de verwerker.
De derde rol is die van de betrokkene. De persoon waarop de persoonsgegevens zien. Deze betrokkene heeft op basis van de AVG diverse rechten ten aanzien van zijn persoonsgegevens.
Dan komen we tot de kern!
Wat zijn nu de uitgangspunten van de AVG bij de verwerking van persoonsgegevens:
1.er moet een vooraf vastgesteld en concreet doel zijn waarvoor de persoonsgegevens worden verzameld;
2. de persoonsgegevens mogen enkel worden verwerkt om het vooraf gestelde doel te bereiken. Eventuele overige gegevens mogen niet (langer) worden verzameld. Dit wordt ook wel doelbinding genoemd.
3. er moet een grondslag zijn voor de verwerking van de persoonsgegevens. Er zijn 6 limitatieve gronden:
a. toestemming van de betrokkene. De toestemming moet vrij worden gegeven, specifiek actief en ondubbelzinnig worden verleend.
b. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst.
c. de verwerking is noodzakelijk om te voldoen aan een wettelijke plicht.
d. de verwerking is noodzakelijk om te voldoen aan een publiekrechtelijke taak,
e. de verwerking is noodzakelijk ter bescherming van de betrokkene of
f. de verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.
4. Verder moet aan de eisen van proportionaliteit en subsidiariteit worden voldaan. De gegevens moeten in verhouding staat tot het doel en het doel moet ook niet met minder gegevens kunnen worden bereikt. Een voorbeeld: informatie over de schoenmaat van werknemers is niet van belang, dus mag ook niet worden verwerkt. Dit zou anders zijn indien er door de werkgever werkkleding verplicht wordt gesteld, dan kan die informatie over de schoenmaat wel van belang zijn.
5. Aan de betrokkenen (de werknemers, klanten en derden van wie persoonsgegevens worden verwerkt) moet duidelijk zijn welke gegevens worden verwerkt en welke rechten de betrokkenen heeft. Aan de betrokkenen moet dus worden meegedeeld welke gegevens worden verwerkt, hoe lang deze worden bewaard, en hoe deze verwerking gebeurd. Dit moet worden vastgelegd. Ook moet het privacy beleid helder zijn en zonodig moeten worden aangepast.
Uit met contacten met diverse ondernemers blijkt dat ondernemers met name worstelen met de praktische toepassing van deze uitgangspunten. Een opticien ontvangt een klant in zijn winkel en legt gegevens vast van die persoon in het “oogmeetsysteem”, nog voordat er een overeenkomst tot stand is gekomen (de bril of lenzen zijn immers nog niet gekocht). Het is ook zo wat om de binnenwandelende klant direct een document te laten ondertekenen waaruit blijkt dat hij akkoord is met de verwerking van zijn persoonsgegevens. Deze handelingen kunnen echter wat mij betreft worden aangemerkt als handelingen die worden verricht voorafgaand aan de totstandkoming van de overeenkomst (de zogeheten precontractuele fase), zodat hier de grondslag ook nummer b is, de overeenkomst. Het verwerken van deze gegevens is immers noodzakelijk om uiteindelijk de overeenkomst te kunnen uitvoeren.
Met andere woorden:
De verwerking moet rechtmatig, behoorlijk en transparant zijn
De persoonsgegevens mogen alleen worden verwerkt voor gerechtvaardigde, concrete en vooraf vastgestelde doelen.
De verwerking moet noodzakelijk zijn (relevant) met het oog op bereiken van specifiek doel, dan wel berusten op toestemming.
Niet meer mensen dan strikt noodzakelijk mogen toegang hebben tot die persoonsgegevens en de gegevens mogen ook niet langer bewaard worden dan nodig.
De gegevens moeten juist zijn. Oude gegevens moeten worden gewist.
Gegevens moeten worden beschermd, naar de huidige stand der techniek. (zowel qua firewall, alsook beperken van toegang door medewerkers)
Je moet kunnen verantwoorden dat je aan deze eisen hebt voldaan! (accountability)
Wat zijn dan de concrete verplichtingen?
Dit verschilt je verwerkingsverantwoordelijke bent, of verwerker. De volgende verplichtingen rusten op een verwerkingsverantwoordelijke:
– registerplicht: je dient een register van verwerkingsactiviteiten te hebben; Hierin worden de belangrijkste verwerkingsactiviteiten opgesomd. Er zijn geen vormvoorschriften voor dit register, mag dus naar eigen wens worden opgemaakt. Hierin moet komen te staan de verwerkingsdoeleinden van de persoonsgegevens, een beschrijving van de categorieën van de betrokkenen en de categorieën van de persoonsgegevens. Informatie over hoe lang de gegevens bewaard worden en een algemene beschrijving van de technische en organisatorische maatregelen;
– de aanstelling van een functionaris voor gegevensbescherming (de Data Protection Officer) is een verplichting in bepaalde gevallen;
– voorafgaand aan risicovolle verwerkingsactiviteiten moet een zogeheten Gegevensbeschermingseffectbeoordeling worden uitgevoerd;
– bij het inrichten van verwerkingen moet rekening worden gehouden met privacy door ontwerp en door standaardinstellingen (privacy by design & default);
– er dienen passende beveiligingsmaatregelen te worden getroffen
– er is een meldingsplicht in geval van een datalek (en wel binnen 72 uur!)
– met de verwerkers van de persoonsgegevens moet een verwerkersovereenkomst te worden gesloten.
– je dient mee te werken en gehoor te geven aan de betrokkene toegekende rechten op basis van de AVG
Als verwerker zijnde ben je verplicht om de hiervoor genoemde verwerkersovereenkomst te tekenen en na te komen. Verder handel je op basis van de instructie van de verwerkersverantwoordelijke. Schakel je derden in bij de uitvoering van de opdracht, dan dient dus ook met hen een verwerkersovereenkomst te worden gesloten. Ook is een verwerker gehouden om een register van verwerkingsactiviteiten bij te houden.
Je weet nu wat de AVG betekent
En nu? Ik kan mij voorstellen dat bij de omschrijving van de hiervoor aangehaalde verplichtingen, nog de wenkbrauwen omhoog gaan.
Van belang is dat je je bewust bent van de verplichtingen die op jou rusten. Het van A tot Z inrichten van jouw onderneming op de AVG zal een helse klus zijn. Mijn tip aan ondernemers is, begin bij het begin. Welke klussen moeten als eerste worden opgepakt?
- Stel vast welke persoonsgegevens er binnen jouw bedrijf worden verwerkt. Beoordeel en leg vast hoe dit gebeurt.
- Check of binnen jouw onderneming een Functionaris Gegevensbescherming moet worden ingesteld. Ook als die verplichting niet voor jou geldt, dan nog is het handig om iemand binnen jouw bedrijf aan te wijzen die als aanspreekpunt zal fungeren, zowel intern als extern.
- Met welke partijen werk je samen, dan zijn deze partijen mogelijk verwerkers. Met die partijen moeten dus verwerkersovereenkomsten worden gesloten.
- De betrokkenen, vaak jouw werknemers en klanten, moeten in Jip en Janneke taal worden geïnformeerd over de verwerking van deze persoonsgegevens. De offerte, opdrachtbevestiging en/of overeenkomst die jij gebruikt zal dus moeten worden aangepast.
- Ook moet er worden gekeken naar het personeelshandboek en het door jou gehanteerde privacybeleid. Maak een beleid hoe te handelen in geval van een datalek.
- Kijk verder eens naar de inrichting van jouw organisatie, zowel digitaal als fysiek. Hoe staat het met de mate van bescherming/beveiliging van de persoonsgegevens?
Heb je deze stappen ondernomen, dan ben je al een heel eind!
Het is van belang dat je hiermee aan de slag gaat, want de in de AVG geldende sancties zijn enorm! Was in de Wet bescherming persoonsgegevens nog een drempel opgenomen, nu er direct een fikse boete door de Autoriteit persoonsgegevens worden opgelegd (tot 20 miljoen of, indien hoger, 4 % van de wereldwijde jaaromzet).
Afsluiting
Ik heb met dit artikel absoluut niet de intentie om compleet te willen zijn. Er zijn, al zou je dat gelet op de omvang van deze tekst niet denken, nog veel zaken onbesproken gelaten of onvoldoende uitgediept.
Mocht je zelf meer willen lezen, kijk dan vooral eens op de site van de Autoriteit Persoonsgegevens. Daar is ook een handleiding te vinden, waarin een uitgebreide toelichting wordt gegeven op de AVG. Tot slot is er inmiddels ook een Regelhulp speciaal voor ondernemers.
Zie je ondanks al deze tools nog steeds als een berg op tegen het ondernemen van actie met de AVG? Heb je iemand nodig die jou helpt met deze inventarisatie en het aanpassen van jouw organisatie aan de nieuwe privacy wetgeving, zodat jij volledig AVG proof bent? Neem dan gerust contact met mij op!
Het is immers tijd om wakker te worden!