De AVG, waar gáát dat nou helemaal over?

Algemene Verordening Gegevensbescherming
By Rutger Alsbach 4 maanden agoNo Comments
Home  /  k2  /  De AVG, waar gáát dat nou helemaal over?

De AVG, de nieuwe privacywet

Het zal nog maar weinigen zijn ontgaan dat er een nieuwe privacywet aankomt: op 25 mei is het zover. Ook is het duidelijk dat mensen privacy steeds belangrijker zijn gaan vinden, al dan niet naar aanleiding van grote datalekken en schandalen waarbij persoonsgegevens op allerlei manieren worden misbruikt. Veel bedrijven en instellingen zijn al druk bezig om zich voor te bereiden op die nieuwe privacywet, de AVG (Algemene Verordening Gegevensbescherming). Organisaties met een tot nu toe wat meer afwachtende houding beginnen zo langzamerhand toch wat nerveus te worden. Kan ik nog wel blijven zakendoen? Moet ik vrezen voor die megaboetes van 20 miljoen euro of erger? Onze associate Rutger Alsbach brengt het voor u in perspectief.

Allereerst: waarom zijn privacyregels nodig?

Persoonsgegevens zijn overal en ze worden steeds meer waard in het digitale tijdperk. Aan de
andere kant willen de mensen (‘betrokkenen’) weten wie er met hun gegevens op de loop gaat en
hoe ze daar invloed op kunnen uitoefenen. Zonder wettelijke regels is dat niet goed mogelijk. Wat begin je als eenvoudige sterveling anders tegen een bedrijf als Google? Of Cambridge Analytica? Daarom zijn die regels vastgelegd in privacywetten. Net als in het arbeidsrecht of het huurrecht is dat dus beschermingswetgeving. Als je je dat goed blijft realiseren, zijn al die privacyregels al een stuk makkelijker te begrijpen.

Nieuwe privacyregels: de AVG vanaf 25 mei 2018

Onze huidige Wet bescherming persoonsgegevens (Wbp) stamt uit 2001. Tot nu toe is de
handhaving niet erg sterk geweest en veel mensen maakten zich er ook niet druk over. Maar op 25 mei 2018 wordt onze Wbp, tegelijk met de privacywetten in alle andere EU-landen, vervangen
door de AVG (of in het Engels: de GDPR, General Data Protection Regulation). Toezicht en
handhaving worden naar verwachting een stuk strikter. Inhoudelijk is de AVG vergelijkbaar met de Wbp, maar er zijn ook verschillen, onder meer:

  • Als je persoonsgegevens wilt verwerken moet je veel beter dan voorheen gaan verantwoorden – en bovendien vastleggen – wat je doet en waarom, en hoe de privacy van
    de betrokkenen daarbij wordt gewaarborgd (de verantwoordingsplicht).
  • Betrokkenen krijgen er een paar rechten bij, zoals het vergetelheidsrecht en het recht op
    dataportabiliteit. Ook moeten ze beter worden geïnformeerd over wat er met hun
    gegevens gebeurt.
  • Beginselen zoals privacy by design en dataminimalisatie worden wettelijke verplichtingen.
  • Veel organisaties moeten straks een Functionaris Gegevensbescherming (FG) hebben.
  • En de boetes die de privacytoezichthouders kunnen opleggen worden fors hoger.In
    Nederland is die toezichthouder de Autoriteit Persoonsgegevens (AP).

Is dat nou wel zo relevant voor mijn organisatie?

Als je denkt dat je nauwelijks persoonsgegevens verwerkt, of dat het allemaal wel in orde is: dat kan best kloppen. Maar je kunt het ook hieronder nog even checken, aan de hand van de belangrijkste begrippen en principes van de AVG.

Verwerking van persoonsgegevens

K2 Marketing KlantCentraalDe privacywet richt zich op het verwerken van persoonsgegevens. Een gegeven is al snel een persoonsgegeven, dus als je als organisatie met gegevens bezig bent, valt dit vrijwel altijd onder deze wet. Een persoonsgegeven is namelijk “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Dat betekent niet dat een persoonsgegeven altijd uniek hoeft te zijn voor een bepaalde persoon: als een gegeven betrekking heeft op iemand en als je kunt achterhalen wie dat is, dan is het een persoonsgegeven. Bijvoorbeeld, als je klant in je webshop een paar sneakers heeft gekocht dan is dat feit een persoonsgegeven – ook al heb je precies zulke sneakers ook al aan veel andere klanten verkocht. Voor bijzondere categorieën van persoonsgegevens gelden speciale regels, zoals voor gegevens over iemands gezondheid, geloof of seksuele gerichtheid. Behoudens uitzonderingen is de verwerking daarvan gewoon verboden. De definitie van verwerken is zo ruim, dat eigenlijk alles daaronder valt wat je met een persoonsgegeven zou kunnen doen. Zelfs wissen en anonimiseren. Waarschijnlijk valt alleen ‘dromen over een persoonsgegeven’ niet onder de definitie… En overigens, de AVG is op dit punt vrijwel gelijk aan de Wbp.

Grondslagen voor de verwerking van persoonsgegevens

Zonder wettelijke grondslag mag je geen persoonsgegevens verwerken. Ook dit is onder de AVG
niet anders dan onder de Wbp. Er staan maar zes grondslagen in de wet. Je moet vaststellen welke van toepassing is op jouw verwerking. Sommige grondslagen hebben haken en ogen. Zo moet je bij de grondslag ‘toestemming’ steeds kunnen aantonen dat je de betrokkene goed hebt
geïnformeerd en moet een gegeven toestemming ook altijd weer makkelijk kunnen worden
ingetrokken. Bij de grondslag ‘gerechtvaardigd belang’ moet je kunnen aantonen dat jouw belang
voldoende opweegt tegen dat van de betrokkene.

Doelbinding

Je moet steeds kunnen aangeven wat het doel is waarvoor je de persoonsgegevens verzamelt. De
doeleinden moeten welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Je moet hier
goed bij stilstaan, ook voor gegevens die je al had. Je mag de verkregen gegevens namelijk niet
verder verwerken voor andere doeleinden als dat onverenigbaar is met het doel waarvoor ze zijn
verzameld. Het luistert nauw: een te ruime doelomschrijving (bv. ‘geld verdienen’) voldoet niet
aan de wet, maar met een te krappe omschrijving (bv. ‘verkoop van een paar sneakers, maat 42’)
beperk je jezelf onnodig ingeval je nog iets anders met de gegevens wilt gaan doen.

Verwerkingsverantwoordelijke en verwerker

Als je zelf het doel en de middelen van de verwerking bepaalt, ben je daarvoor de verwerkingsverantwoordelijke. Als je de verwerking uitbesteedt aan iemand anders, dan is dat de verwerker. Een verwerker mag niets anders doen dan de instructies van de verantwoordelijke
opvolgen. Er zijn verschillen in de wettelijke verplichtingen die beiden hebben. De verantwoordelijke en de verwerker moeten bovendien een verwerkersovereenkomst met elkaar hebben. Daarin moet van alles zijn geregeld zoals de beveiliging, de melding van eventuele datalekken, voldoen aan verzoeken van betrokkenen die hun rechten willen uitoefenen, etc.

Registerplicht, PIA’s en FG’s

Onder de Wbp moest je elke verwerking van persoonsgegevens melden bij de privacytoezichthouder, de Autoriteit Persoonsgegevens (AP). Onder de AVG hoeft dat niet meer, maar nu moet je zélf een register bijhouden van al je verwerkingsactiviteiten. De gedachte daarachter is, dat je nooit kunt aantonen dat je persoonsgegevens correct verwerkt, als je die verwerkingen niet allemaal precies in beeld hebt. In het register moeten onder meer de doeleinden van de verwerking staan, de categorieën van betrokkenen en van de gegevens, aan wie de gegevens worden verstrekt, hoe lang ze worden bewaard, etc. Bij een verwerking met een hoog risico moet je bovendien een ‘gegevensbeschermingseffectbeoordeling’ doen (meestal PIA genoemd, Privacy Impact Assessment). Veel organisaties moeten onder de AVG een Functionaris Gegevensbescherming (FG) hebben, die intern toeziet op de naleving van de privacyregels. De AVG geeft daarvoor een aantal concrete criteria.

Meldplicht datalekken

Een goed protocol voor beveiligingsincidenten en datalekken is eigenlijk onmisbaar. Sinds 1 januari 2016 staat de meldplicht voor datalekken al in de Wbp. Die komt bijna ongewijzigd terug in de AVG. Het komt erop neer dat je een (beveiligings-) incident met persoonsgegevens binnen 72 uur aan de AP moet melden, behalve als het onwaarschijnlijk is dat het incident een risico voor de betrokkenen oplevert. Maar als het datalek waarschijnlijk een hóóg risico inhoudt voor de betrokkenen, moet je het lek óók aan al die betrokkenen melden. Hierdoor kunnen zij dan hopelijk de mogelijke gevolgen nog beperken (bijvoorbeeld door wachtwoorden te wijzigen of een creditcard te blokkeren). Je moet je organisatie en de beveiliging dus zo inrichten dat je een datalek snel kunt ontdekken, maatregelen kunt nemen en de melding(en) op tijd kunt doen.

Waar moet je beginnen?

Voor 25 mei 2018 moet je klaar zijn. Internet loopt inmiddels over van de aanwijzingen en tips. Echt goed allemaal. Daar zit veel goeds tussen – tenminste, als je kunt beschikken over zeeën van tijd en menskracht… Dan maar niets doen? Dat is al helemaal geen optie. Een goed begin is echter ook hier het halve werk, en met de onderstaande aanpak zet je al belangrijke stappen richting compliance.

  • K2 marketing intelligenceMaak iedereen in de organisatie bewust van wat het betekent om met persoonsgegevens
    te werken. Organiseer van een training, van de receptionist tot de directeur. Wie de
    beginselen kent, kan al heel veel ‘data-ongelukjes’ feitelijk vermijden.
  • Breng de verwerkingsactiviteiten in kaart. Hiermee start je de aanleg van het verplichte
    verwerkingenregister. En al doende ontstaat daarbij vanzelf een ‘boodschappenlijst’ van
    nuttige of noodzakelijke verbeterpunten. Kies voor een risk based approach: begin met de
    activiteiten te beschrijven die waarschijnlijk de grootste privacyrisico’s met zich
    meebrengen. Soms kan je in één moeite door een PIA doen, als dat nodig is.
  • Houd alle bestaande technische en organisatorische beveiligingsmaatregelen goed tegen
    het licht en verbeter ze zo nodig. Prioriteer ook hier op basis van de omvang van de risico’s.
    Check meteen of je de zaken ook zo hebt ingericht dat je snel genoeg kunt reageren in
    geval van een datalek.
  • Als je gebruik maakt van externe verwerkers (of als je zelf verwerker bent): ga na of je met
    alle relevante partijen een verwerkersovereenkomst hebt en of die voldoet aan de eisen
    van de AVG.

AVG Ready: uw klantdata en uw organisatie op orde

Het behoeft geen betoog dat K2 Marketing je bij de uitvoering van de AVG-aanpak de nodige ondersteuning kan bieden, indien gewenst. Voor een hoop organisaties is er immers onzekerheid of men voldoet aan deze nieuwe wet. K2 Marketing zorgt ervoor dat u helemaal AVG Ready bent en geen zorgen meer hoeft te hebben of u voldoet aan deze nieuwe wet. Dit doen wij samen met u in 3 eenvoudige stappen, of 3 kampen zoals wij dat binnen K2 Marketing noemen. AVG Ready: uw klantdata en uw organisatie op orde.

Kamp 1: Quickscan klantdata: het in kaart brengen van welke klantgegevens waar worden opgeslagen?
Kamp 2: Organisatie: AVG bewustwording workshop (verplicht onderdeel om te zorgen dat alle medewerkers begrijpen wat de wet inhoudt en welke gevolgen dit kan hebben in hun dagelijks werk)
Kamp 3: Klantdata op orde: opbouwen gegevensregister
De top: uw organisatie is AVG Ready en is voldoet aan de wet- en regelgeving

Tot slot

Op 25 mei zullen nog maar heel weinig organisaties 100% aan de AVG kunnen voldoen. De Tweede Kamer heeft daarnaast onlangs een motie aangenomen om de AVG de eerste tijd niet al te streng te handhaven, behalve bij bewuste schendingen. Dus alles is nog niet verloren. Maar nu nog blijven stilzitten zou best zo’n bewuste schending kunnen opleveren. Zorg dat uw organisatie AVG Ready is.

Categories:
  k2, k2 marketing, marketingstrategie
this post was shared 0 times
 000
About

 Rutger Alsbach

  (1 articles)

Op basis van zijn kennis, ervaring en netwerk in de juridische en de IT wereld helpt Rutger organisaties met het zakendoen. Naast het algemene contractenrecht heeft hij speciale expertise in het IT- en privacyrecht. Rutger beschikt over het CIPP/E-certificaat van de IAPP. Hij begeleidde de totstandkoming van softwarelicentie- en onderhoudscontracten, Agile-contracten en van SaaS- en andere cloudoplossingen. Ook begeleidde hij de uitvoering van privacyprojecten in diverse organisaties. Rutger werkte eerder als adviseur, advocaat en als bedrijfsjurist, onder andere bij EY, ANVA en Capgemini.

Leave a Reply

Your email address will not be published.