De AVG ben jij er al klaar voor?
Over een dag is het 25 mei 2018. De datum waarop de nieuwe privacywet, namelijk de algemene verordening gegevensbescherming (hierna: ‘AVG’) in werking zal treden. Dat deze datum nu wel heel dichtbij komt, merken we ook bij Anderz Advocaten. We ontvangen veelvuldig telefoontjes en mailtjes van onze klanten met verschillende vragen over de AVG. Voor ons dan ook een goede reden om over de AVG een blog te schrijven. Met als doel jou als ondernemer pro actief en in begrijpelijke taal over de hoofdlijnen van de AVG te informeren. Want wat houdt deze AVG in? Wat gaat er eigenlijk veranderen? Waar moet je als ondernemer op letten? En wie gaat de naleving van de AVG controleren?
De AVG
De AVG is de vervanger van de Wet Bescherming Persoonsgegevens en zal in de gehele Europese Unie gaan gelden. De privacyregels worden op deze wijze voor alle landen van de Europese Unie gelijk getrokken. Voor iedere onderneming die persoonsgegevens in een bestand bewaart, zal de AVG van toepassing zijn. Als ondernemer ontkom je er dus niet aan en zul je je aan de regels van de AVG moeten gaan houden. Dit zowel bij het digitaal als fysiek bewaren van persoonsgegevens. Het is overigens geen kwestie van het enkele bewaren van persoonsgegevens. Je bent als ondernemer onder de AVG ook verplicht om vast te leggen welke persoonsgegevens je nu precies bewaart, voor hoe lang en wat je ermee doet. Waarbij ook nog de verplichting komt om de persoonsgegevens veilig te bewaren, zodat derde partijen er niet bij kunnen.
Iedere onderneming die persoonsgegevens verzameld en bewaard, zal dus actie moeten gaan ondernemen om aan de AVG te voldoen. Om te beginnen zul je als ondernemer goed in kaart moeten brengen welke persoonsgegevens je verzameld en waar je deze persoonsgegevens bewaard. Ook zul je moeten bedenken of het opslaan en bewaren van deze persoonsgegevens wel functioneel is. Stel jezelf bijvoorbeeld eens de vraag waarom je bepaalde persoonsgegevens vastlegt? Uiteindelijk is het de bedoeling dat je alleen nog maar persoonsgegevens gaat vastleggen die je daadwerkelijk nodig hebt en dat je deze persoonsgegevens ook alleen gebruikt waarvoor je ze verzamelt. Immers, hoe minder informatie je over personen gaat bewaren, hoe moeilijker deze gegevens herleidbaar zullen zijn naar een persoon en hoe minder groot de kans bestaat op schending van de privacy. En dat laatste zullen we onder de AVG zoveel als mogelijk moeten voorkomen.
Toestemming gebruik persoonsgegevens
Onder de Wet Bescherming Persoonsgegevens diende je als ondernemer al toestemming te verkrijgen voor het gebruik van iemands persoonsgegevens. Dit zal onder de AVG niet veranderen. Wel komt er onder de AVG een verantwoordelijkheid bij en dat is dat je aan de betrokken personen moet laten weten dat zijn of haar persoonsgegevens door jouw onderneming worden verwerkt en met welk doel dit gebeurt. De betrokken personen hebben ook het recht om hun gegevens in te zien en waar nodig aan te laten passen. Let er in ieder geval op dat het je als ondernemer uitdrukkelijk verboden is om zomaar bijzondere persoonsgegevens te verwerken. Dit tenzij hiervoor een wettelijke uitzondering bestaat of als de betrokken persoon hier zelf toestemming voor heeft gegeven. Bij bijzondere persoonsgegevens dien je bijvoorbeeld te denken aan een bepaalde godsdienst of levensovertuiging, een bepaald ras, een lidmaatschap van een vakvereniging of politieke partij en strafrechtelijke gegevens. Maar ook gegevens over iemand zijn gezondheid of seksuele aard.
Onder de AVG krijg je als ondernemer dus diverse verantwoordelijkheden. Eén van deze verantwoordelijkheden houdt ook in dat je als ondernemer vastlegt wie er binnen de onderneming verantwoordelijk is voor de persoonsgegevens, aan wie deze gegevens worden verstrekt, op welke computer betreffende informatie wordt opgeslagen en op welke wijze deze wordt beschermd tegen virussen of hackers. Zo kan het verspreiden van gegevens over verschillende systemen of computers zonder dat dit duidelijk is vastgelegd bijvoorbeeld worden uitgelegd als datalekken. Zorg daarom voor het opstellen van duidelijke procedures om personen toegang te geven tot persoonsgegevens. Werk je als ondernemer veel samen met derde partijen die gebruik maken van de door jouw onderneming opgeslagen persoonsgegevens, zorg er dan voor dat je met deze partijen overeenkomsten aan gaat in verband met het gebruik van de persoonsgegevens. Deze overeenkomsten worden de zogenaamde verwerkersovereenkomsten genoemd. Hierin dienen afspraken te worden vastgelegd over bijvoorbeeld het vernietigen van persoonsgegevens na gebruik hiervan. Maar ook over de wijze waarop er gebruik wordt gemaakt van de persoonsgegevens.
Een volgende verantwoordelijkheid betreft de aanstelling van een functionaris voor de gegevensbescherming binnen je onderneming. Let wel, dit is niet voor alle ondernemingen verplicht. Deze verplichting geldt bijvoorbeeld wel voor overheids- en publieke organisaties, voor organisaties die persoonsgegevens analyseren en voor organisaties waar bijzondere persoonsgegevens worden opgeslagen. De functionaris voor de gegevensbescherming is de centrale persoon die binnen de onderneming alle persoonsgegevens beheert. Hij/zij heeft zeggenschap over de bestanden en legt hierover verantwoording af aan het bestuur van de onderneming. Verder beslist hij/zij in opdracht van het bestuur van de onderneming over hoe bestanden worden opgeslagen en de procedure voor het beschikbaar stellen van de gegevens. Ook zorgt hij/zij ervoor dat de virusscan op orde is en dat de computers die de onderneming gebruikt beschermd zijn tegen hacken.
Nog een andere uit de AVG voortvloeiende verantwoordelijkheid betreft het afleggen van een privacy impact assessment. Hiermee breng je als ondernemer in beeld wat de gevolgen zijn van het verzamelen van persoonsgegevens voor de betrokken personen zelf. Of je een dergelijk privacy impact assessment dient af te leggen is overigens volledig afhankelijk van wat jouw onderneming met de persoonsgegevens doet. Immers hoeft niet voor alle bestanden met persoonsgegevens een privacy impact assessment te worden gedaan. Dit is in ieder geval wel verplicht indien met de persoonsgegevens systematisch persoonlijke aspecten worden geëvalueerd, in het geval op grote schaal bijzondere persoonsgegevens worden verwerkt en indien personen gevolgd worden in publieke ruimten (denk bijvoorbeeld aan camera toezicht).
Met hetgeen hier boven is beschreven, weten we inmiddels als ondernemer enigszins wat de verantwoordelijkheden zijn die op je rusten onder de AVG als we het hebben over het gebruiken, bewaren en verwerken van persoonsgegevens. Maar dat is nog niet alles. De AVG schrijft namelijk nog een verantwoordelijk voor jou als ondernemer voor en deze houdt in dat er een procedure dient te worden opgesteld voor het melden van datalekken. Indien je als onderneming persoonsgegevens opslaat, dan ben je namelijk onder de AVG verplicht datalekken te melden binnen 72 uur na ontdekking ervan. Ten einde dit zorgvuldig te kunnen doen, is het dus handig om vooraf een duidelijke procedure op te stellen welke binnen de onderneming dient te worden nageleefd.
Naleving van de regels
Tot slot is het nog van belang te weten wie gaat toezien op de naleving van de regels die de AVG met zich meebrengt. In Nederland zal dit de Autoriteit Persoonsgegevens zijn. Deze autoriteit kan ook boetes opleggen wanneer na waarschuwingen een onderneming het beleid rond bescherming persoonsgegevens niet verbetert. Toch een reden om in ieder geval de nodige stappen te gaan zetten om volledig AVG proof te ondernemen.
Mocht deze blog je nu aan het denken hebben gezet of vragen bij je oproepen over of jij jouw onderneming wel voldoende AVG proof hebt gemaakt, neem dan gerust contact op met Anderz Advocaten of kom langs op ons gratis wekelijks inloopspreekuur (iedere maandag van 17 tot 19 uur). Wij staan graag klaar om al je vragen over de AVG te beantwoorden. Vanzelfsprekend kunnen we je ook helpen bij het op maat opstellen van verwerkersovereenkomsten of het uitwerken van één van de diverse procedures die de AVG voorschrijft.