Door Advisie
12 minuten

Om de verwerking van persoonsgegevens in goede banen te leiden en misbruik te voorkomen is de huidige privacywetgeving op Europees niveau aangepast. Binnen de Europese Unie geldt vanaf 25 mei 2018 de nieuwe privacywet: General Data Protection Regulation (GDPR). In Nederland wordt deze wet nader geregeld in de Algemene Verordening Gegevensbescherming (AVG). De AVG is er gekomen om ons garanties te geven dat er vertrouwelijk wordt omgegaan met onze persoonsgegevens. Deze regels moeten voorkomen dat onze gegevens niet zomaar gebruikt worden voor doeleinden waarvan we geen weet hebben of waarvoor we niet willen dat ze gebruikt worden. Dit betekent dat als je als bedrijf persoonsgegevens verwerkt, je moet voldoen aan de regels van de AVG. Voldoe je niet aan deze regels dan kunnen hoge boetes het gevolg zijn. Iedere organisatie krijgt hiermee te maken. De AVG is niet iets eenmaligs, maar dient voortaan een vast onderdeel van je bedrijfsvoering te zijn en te blijven.

Wat zijn persoonsgegevens?

Onder persoonsgegevens verstaan we ieder gegeven dat herleid kan worden naar een specifieke persoon. De AVG maakt een onderscheid in ‘gewone’ persoonsgegevens zoals bijvoorbeeld naam, telefoonnummer, adres, e-mailadres en ‘bijzondere’ persoonsgegevens. Denk hierbij aan nationale identificatienummers (Burger Service Nummer, paspoort/rijbewijs nr.), financiële gegevens (bankrekeningnummer) etc. Voor de verwerking van bijzondere persoonsgegevens gelden er strengere regels! Daarnaast zijn er nog persoonsgegevens die in de regel niet verwerkt mogen worden zoals gegevens over iemands geloofsovertuiging, politieke voorkeur of gezondheid. Deze gegevens mogen slechts in uitzonderlijke gevallen worden verwerkt.

Wat wordt onder verwerking van persoonsgegevens verstaan?

Bij een verwerking wordt al snel gedacht aan het opslaan, wijzigen of verwijderen van persoonsgegevens. Dat is correct, maar realiseer je dat ook het verzamelen, kunnen raadplegen, gebruiken en verstrekken van persoonsgegevens verwerkingen zijn!

Ben ik verwerkingsverantwoordelijke of verwerker?

Alvorens je begint te bepalen welke technische en organisatorische maatregelen je moet nemen, is het belangrijk om je eerst bewust te zijn van de rol die je speelt bij de verwerking van persoonsgegevens. Bepaal je zelf het doel waarvoor je de persoonsgegevens gaat verwerken? Dan ben je een ‘verwerkingsverantwoordelijke’. Verwerk je gegevens voor een verwerkingsverantwoordelijke? Dan ben je ‘verwerker’.

Wanneer is een verwerkersovereenkomst op mij van toepassing?

Als je verwerkingsverantwoordelijke bent en een derde partij voor jou verwerkingen uitvoert, is het noodzakelijk met deze partij een ‘verwerkersovereenkomst’ af te sluiten. De verantwoordelijkheid daarvoor ligt bij de verwerkingsverantwoordelijke. Maar ook als je zelf verwerkingen uitvoert voor een verwerkingsverantwoordelijke is het noodzakelijk een verwerkersovereenkomst af te sluiten. Hoewel dit de verantwoordelijkheid van de verwerkingsverantwoordelijke is, verdient het de aanbeveling voor beide overeenkomsten als organisatie zelf een ‘standaardovereenkomst’ te hebben. Dit om te voorkomen dat je alle verwerkersovereenkomsten van je relaties juridisch moet laten beoordelen. Brancheverenigingen en juristen bieden hiervoor standaard modelovereenkomsten. Let hierbij wel op dat specifieke situaties die alleen voor jouw organisatie gelden niet altijd in een modelovereenkomst worden ondervangen. Het is altijd raadzaam om je verwerkersovereenkomst door een jurist te laten toetsen.

Welke rechten hebben personen?

Vanaf 25 mei heeft iedere persoon van wie persoonsgegevens worden verwerkt het recht om deze gegevens in te zien, te corrigeren en te laten verwijderen. Als het technisch niet mogelijk is om gegevens te verwijderen, kun je deze ook anonimiseren. De gegevens blijven dan wel aanwezig maar zijn niet meer herleidbaar naar een specifieke persoon.

Als je vanuit een andere wet of regelgeving (bijvoorbeeld de belastingwet of een arbeidsovereenkomst) verplicht bent om bepaalde persoonsgegevens gedurende een bepaalde tijd te bewaren blijft anonimiseren toegestaan.

Daarnaast bestaat er nog het recht op ‘dataportabiliteit. Dit betekent dat een persoon jouw organisatie mag vragen om alle gegevens die je van deze persoon vastlegt of verwerkt over te dragen aan een derde partij.

Ook kent de wet ‘het recht om vergeten te worden’. Dit gaat een stap verder dan alleen het verwijderen of anonimiseren van gegevens. Het houdt namelijk ook in dat je derde partijen met wie de gegevens zijn gedeeld, moet verzoeken de gegevens van deze persoon te verwijderen. En eventuele openbare publicaties die je hebt gedaan waarin zijn of haar persoonsgegevens voorkomen eveneens verwijdert.

Wanneer heb ik toestemming nodig om persoonsgegevens te verwerken?

De wet kent een aantal gronden op basis waarvan je persoonsgegevens mag verwerken. Een veel voorkomende grond is het verwerken van persoonsgegevens omdat dit noodzakelijk is voor de uitvoering van een overeenkomst. Bijvoorbeeld het registreren van NAW-gegevens om een levering van een product of dienst te kunnen doen.

Een andere veel voorkomende grond is een wettelijke verplichting om persoonsgegevens te verwerken. Denk hierbij aan de verplichtingen die je als werkgever hebt om persoonsgegevens op grond van bijvoorbeeld de wet op de loonbelasting te verstrekken aan derden.

Wil je persoonsgegevens gebruiken voor bijvoorbeeld het versturen van een nieuwsbrief of doen van een aanbieding, dan heb je toestemming nodig. Eenmaal toestemming dan mag je vervolgens nieuwsbrieven naar je klant versturen op grond van een gerechtvaardigd belang dat je hierbij als organisatie hebt. Let er hierbij altijd op dat de belangen van betrokkenen in alle gevallen zwaarder wegen dan de belangen van de organisatie! De betrokkene moet geïnformeerd zijn over het belang, voor welk doel je de gegevens verwerkt en hoe lang je de gegevens gaat bewaren. Het verdient daarom aanbeveling je gegevensverwerking niet te gemakkelijk op deze grond te baseren. Vraag in dit geval liever eerst toestemming alvorens je informatie toestuurt. Ook voor het verkrijgen van toestemming is het belangrijk dat u betrokkenen vooraf goed informeert over het doel van gegevensregistratie, -verwerking en met welke partijen je de gegevens eventueel gaat delen. Het is niet toegestaan om bijvoorbeeld een vinkje voor toestemming al ingevuld aan te bieden. Degenen die toestemming verlenen moeten dit bewust doen en dus zelf de keuze aanvinken!

Wat is de registerplicht?

Als verwerkingsverantwoordelijke en/of verwerker ben je in vrijwel alle gevallen verplicht een register bij te houden van je verwerkingen. Dit betekent dat je bijhoudt welke categorieën persoonsgegevens je verwerkt, met welk doel, hoe lang je ze bewaart en de ontvangers van de gegevens zijn etc. 

Wat is een datalek en welke maatregelen moet ik nemen?

Tegenwoordig horen we steeds vaker dat hackers proberen systemen plat te leggen of in te breken om gegevens te vergaren. Ook zonder kwaadwillende opzet kan er sprake zijn van een datalek. Een laptop of USB-stick met data erop wordt verloren of een email met persoonlijke gegevens is per ongeluk aan een ander verstuurd. Dit zijn ook voorbeelden van datalekken en vormen een serieus ondernemersrisico. Mocht je dit als bedrijf overkomen dan ben je verplicht om binnen 72 uur hiervan melding te maken bij de Autoriteit Persoonsgegevens en alle betrokkenen die het betreft. Daarnaast kent de wet de verplichting om een register bij te houden van alle datalekincidenten die zich hebben voorgedaan.

Wat kun je zelf doen aan voorbereidingen?

Er zijn verschillende stappenplannen te vinden op internet die je kunt doorlopen als voorbereiding op de AVG. De website van de Autoriteit Persoonsgegevens bevat veel nuttige informatie. De volledige wettekst van het AVG-wetsvoorstel kan daar worden gevonden. Ook een heel handig en praktisch document dat je kan helpen is de publicatie van het Ministerie van Justitie en Veiligheid.  

Informeer de interne organisatie over hoe om te gaan met persoonsgegevens

Veel van de bepalingen in de nieuwe privacywet doen in feite een beroep op het gezonde verstand van bedrijven en hun medewerkers. Informeer je medewerkers over de aangescherpte nieuwe privacywetgeving en bereid ze voor op vragen die mensen kunnen stellen naar aanleiding van de gegevensregistratie. Vergeet niet je eigen mensen te informeren over hoe zij met deze vertrouwelijke informatie om moeten gaan. Denk hierbij aan een laptop die mee naar huis gaat of een USB-stick die wordt uitgeleend etc.

Een afbeelding van een slotje met GDPR aansluitend bij dit artikel over de verwerking van persoonsgegevens
Tenslotte

Voor vrijwel iedere organisatie is het noodzakelijk om voor 25 mei 2018 ten minste de volgende zaken goed geregeld te hebben:

  • Er is een register van verwerkingsactiviteiten beschikbaar (registerplicht).
  • Er is een privacybeleid opgesteld zodat je medewerkers precies weten hoe de organisatie om omgaat met persoonsgegevens en wat wel en niet is toegestaan.
  • Er is een Privacy Statement (onder andere voor op de website); hoe ga je om met persoonsgegevens, met welk doel worden deze vastgelegd, worden ze gedeeld met derden, hoe lang worden ze bewaard, etc.
  • Model verwerkersovereenkomsten; zorg ervoor dat je zelf een model voor een verwerkersovereenkomst hebt waarin zaken die specifiek voor jouw organisatie gelden zijn afgevangen.
  • Er is een protocol datalekken waarin is opgenomen hoe een medewerker een datalek moet melden, hoe hier mee omgegaan wordt, welke maatregelen moeten worden genomen en wie moet worden geïnformeerd etc.
  • Er is een register waarin beveiligingsincidenten en datalekken worden vastgelegd en bewaard.

Wat kan Advisie voor jouw organisatie betekenen?

Exact Software ontwikkelt momenteel functionaliteiten die kunnen helpen bij het identificeren van persoonsgegevens in de database. Denk hierbij aan acties zoals het verwijderen of anonimiseren van gegevens. Advisie kan je helpen bij het implementeren van deze functionaliteiten of maatregelen om  bijvoorbeeld aan de registerverplichtingen te voldoen.

Welke specifieke verplichtingen er voor een organisatie gelden en welke persoonsgegevens de organisatie mag verwerken is van vele factoren afhankelijk. Advisie adviseert uitsluitend over de mogelijkheden die de software daarin biedt,  maar je blijft te allen tijde zelf verantwoordelijk voor het voldoen aan wet- en regelgeving.

Bent u voorbereid op de AVG/GDPR?
Doe de Advisie AVG Test en met slechts 10 vragen weet u het!
Doe de test!


Ronald Everts vertelt u graag meer en geeft u vrijblijvend advies over AVG/ GDPR.