De Algemene Verordening Gegevensbescherming (AVG) vervangt per 25 mei 2018 de huidige privacywetgeving. De AVG bevat regels voor het (automatisch) verwerken van persoonsgegevens. Ook de gegevens die je verwerkt van je personeel, vallen onder deze wet.
De nieuwe Europese regels sluiten aan bij de privacywetgeving die nu al in Nederland bestaat. Het grootste verschil tussen de (oude) Wet bescherming persoonsgegevens en de AVG is dat je actief verplicht wordt alle gegevens en waarvoor ze gebruikt worden vast te leggen.
De basisprincipes rondom zorgvuldige gegevensverwerking veranderen niet. Dus als je nu aan de regels van de Wbp voldoet, dan voldoe je dat straks ook, maar je moet wel zorgen dat alles goed gedocumenteerd wordt. Doet je dat niet dan kan de Autoriteit Persoonsgegevens (AP) hoge boetes opleggen.
Bewustwording: wat moet je doen?
De eerste stap is een betere bewustwording van de nieuwe regels. Je kunt het beste alle medewerkers die met de AVG te maken hebben informeren over de nieuwe privacyregels. Zij weten goed welke gegevens verzameld worden en welke gevolgen dat heeft op processen, diensten en producten. Daarnaast kunnen zij bepalen wat je moet doen om aan de AVG te voldoen.
Stel een privacyverklaring op
De organisatie moet in een privacyverklaring uitleggen wat je doet met persoonlijke gegevens. Dat moet verplicht in begrijpelijke taal, niet met allerlei juridische formuleringen.
In de privacyverklaring moet ten minste staan:
- Welke gegevens je verwerkt
- Waarvoor je de gegevens gebruikt
- Waarom dat belangrijk is voor je klant
- Hoe lang je de gegevens bewaart
- Het recht op inzage, aanpassen en verwijderen van gegevens
- Het recht om toestemming te kunnen beperken, én weer te kunnen intrekken
- Het recht op dataportabiliteit: klanten hebben er recht op om gegevens makkelijk te kunnen meenemen en doorgeven aan een andere organisatie
- Het recht op het indienen van klachten bij de AP (Autoriteit Persoongegevens)
Zorg dat je systemen goed beveiligd zijn. Gebruik daarvoor geaccepteerde beveiligingsstandaarden
Leg vast hoe je gegevens verwerkt
Uitgangspunt van de wet is transparantie bij de gegevensverwerking. Je moet van de AVG daarom altijd verantwoording kunnen afleggen over hoe je gegevens gebruikt.
Breng gegevensverwerkingen daarom duidelijk in kaart. Maak aan leveranciers, klanten en personeel duidelijk welke persoonsgegevens je gebruikt, met welk doel, waar je ze opslaat en met wie je die gegevens deelt. Een overzicht van gegevensverwerkingen heb je ook nodig wanneer betrokkenen gebruik maken van hun privacyrechten.
Toestemming voor verwerken van gegevens
De AVG stelt strengere eisen aan de toestemming die je moet vragen voor het verwerken van gegevens. Evalueer daarom de manieren waarop je toestemming vraagt, krijgt en registreert van personen voor het verwerken van gegevens. Je moet kunnen aantonen dat je geldige toestemming hebt gekregen.
In de wet is er bijzondere aandacht voor toestemming als er sprake is van een arbeidsverhouding. Omdat er een afhankelijkheidsrelatie is tussen werkgever en werknemer, mag je niet veronderstellen dat je toestemming hebt. Je dient expliciet toestemming te vragen. Blijft deze in eerste instantie achterwege dan doe je er verstandig aan het nog eens te vragen. Je zou pas toestemming kunnen veronderstellen als een werknemer meer dan voldoende op de hoogte is gesteld van het verzoek en hebt gemeld dat bij gebreke van expliciete toestemming hij/zij impliciete toestemming heeft verleend.
Toestemming voor externe verwerking
Wanneer je diensten uitbesteedt waarbij persoonsgegevens van klanten (of personeel) zijn betrokken, heb je hiervoor nadrukkelijk toestemming nodig van die klant. Dit geldt bijvoorbeeld als je hiervoor een extern callcenter of administratiekantoor gebruikt.
Soms is een Data Privacy Impact Assessment nodig
Sommige organisaties moeten van de AVG verplicht een ‘Data Protection Impact Assessment (DPIA) ’uitvoeren. Hiermee onderzoek je uitvoerig welke risico’s er zijn van de gegevensverwerking.
De DPIA is alleen verplicht als de manier waarop je gegevens verwerkt een hoog privacyrisico heeft. Dat is zo als uw organisatie:
- systematisch en uitvoerig persoonlijke aspecten evalueert
- op grote schaal bijzondere persoonsgegevens verwerkt
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied
Bij onzekerheid, moet je eerst met de AP overleggen, voordat je met gegevensverwerking start. De AP beoordeelt dan of de gegevensverwerking in strijd is met de AVG. Je ontvangt dan schriftelijk advies van de AP.
Privacy by design, privacy by default
In het vervolg moet je je bij alle activiteiten die jouw organisatie begint (of al uitvoert) afvragen of daarmee de privacy van klanten en medewerkers niet wordt geschonden. Als je gegevens strikt genomen niet nodig hebt, moet je die gewoon niet vragen.
Als je nieuwe producten of diensten ontwikkelt, moet je er meteen al rekening mee houden dat persoonsgegevens goed worden beschermd. Dit wordt ook wel ‘privacy by design’ genoemd.
Verwerk verder alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel. Dit noemt men ook ‘privacy by default’. Voorbeelden hiervan zijn:
- laat een app niet zonder gegronde reden de locatie van gebruikers (en medewerkers) registreren
- vink op uw website het vakje ‘ja, ik wil aanbiedingen ontvangen’ niet vooraf aan
- vraag bij het abonneren op een nieuwsbrief niet meer gegevens dan nodig is
Soms is een functionaris gegevensbescherming verplicht
Van de AVG moet je een organisatie soms verplichten een functionaris voor de gegevensbescherming (FG) in te zetten. Dat moet zeker als de onderneming gegevens op grote schaal verwerkt. Als blijkt dat je een FG nodig hebt, begin dan op tijd met werven. Je mag ook een externe FG aanstellen.
De functionaris gegevensbescherming is verantwoordelijk voor:
- toezicht
- inventarisaties van gegevensverwerkingen
- bijhouden van meldingen van gegevensverwerkingen
- afhandelen van vragen en klachten van mensen binnen en buiten de organisatie
- ontwikkelen van interne regelingen
- adviseren over technologie en beveiliging (privacy by design)
- leveren van input bij het opstellen of aanpassen van een gedragscode.
Datalekken vastleggen en melden
De AVG verplicht je alle datalekken intern vast te leggen en te documenteren. Dat geldt ook voor kleine datalekken die je niet hoeft te melden.
Wie privacygevoelige data verwerkt voor opdrachtgevers, is wettelijk verplicht alle datalekken daarbij aan hen te melden. De opdrachtgever moet het datalek verplicht melden de Autoriteit Persoonsgegevens.
Maak een bewerkersovereenkomst
Zorg ervoor dat je een bewerkersovereenkomst hebt met iedere organisatie die persoonsgegevens voor je verwerkt. Het inzien van de gegevens door een externe helpdesk is al een vorm van verwerking. Ook als de bewerker een dochteronderneming is of in het buitenland gevestigd is. In een bewerkersovereenkomst staan bijvoorbeeld:
- bewerking in overeenstemming met instructies verantwoordelijke
- geheimhouding
- beveiligingsmaatregelen
- inschakelen van derden en onderaannemers
- locatie van de gegevens
- audits of onderzoeken
- aansprakelijkheid.
De AVG lijkt het allemaal moeilijker gemaakt te hebben. Dat valt op zich mee, maar je moet wel meer documenteren. Op autoriteitpersoonsgegevens.nl kun je veel antwoorden terugvinden op je vragen. Zo ook een stappenplan: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/2017-11_stappenplan_avg_online_v2.pdf
Mocht je vragen hebben over dit onderwerp of een bewerkersovereenkomst zou willen ontvangen, laat het ons weten, jur@cbm.nl of 023 515 8842.