De Algemene Verordening Gegevensbescherming Een praktische rondleiding Op 25 mei 2018 is het zover: de General Data Protection Resolution of de Algemene Verordening Gegevensbescherming (AVG) zoals we deze in Nederland hebben genoemd, wordt actief. Dit betekent dat elke organisatie die zich bezighoudt met de verwerking van persoonsgegevens daar zeer zorgvuldig mee om zal moeten gaan. In de kern komt het erop neer dat organisaties transparant moeten zijn over hoe zij met persoonsgegevens omgaan en moeten uitleggen hoe en waarom dat gedaan wordt. Verder hebben personen het recht om volledig verwijderd te worden uit alle systemen van een organisatie waar ze die toestemming aan hadden gegeven en ook het recht om hun gegevens over te laten zetten naar een andere organisatie. Tenslotte hebben personen inzagerecht en kunnen ze daarmee altijd opvragen welke gegevens hen zijn opgeslagen en gebruikt. Het heeft niet veel uitleg nodig dat dit een grote impact heeft op de manier waarop voortaan met persoonsgegevens zal worden omgaan. De tijd dringt Hoewel de AVG in 2016 is ingegaan, heeft de overheid betrokken organisaties een voorbereidings- en gewenningsperiode van 2 jaar gegeven. Uit onderzoek van de MKB servicedesk onder MKB bedrijven juli 2017 blijkt dat de boodschap nog niet overal is doorgedrongen: een behoorlijke meerderheid van 60% zegt niet op de hoogte te zijn van deze verplichting. Dit is gezien de gevolgen van het niet op orde hebben van de registratie en verwerking van privacygevoelige gegevens niet verstandig. Het is mogelijk dat bij ernstige overtredingen er naast een schadevergoeding aan de getroffenen ook een administratieve boete van 20.000.000 euro of 4% van de totale jaaromzet opgelegd wordt. En dat zal een bedrijf in veel gevallen tot een faillissement dwingen. Het is niet eenvoudig om jezelf in te lezen in de materie, omdat de wet bestaat uit 99 artikelen en 173 overwegingen. In dit stuk komen de belangrijkste zaken aan de orde. Het gaat om persoonsgegevens De wet is van toepassing op de verwerking van persoonsgegevens van EU burgers die in een bestand staan of daarin worden opgenomen. Dit gaat over geautomatiseerde of gedeeltelijk geautomatiseerde verwerking, dus ook het vastleggen of raadplegen van persoonsgegevens in een papieren dossier valt hieronder. Als persoonsgegevens door een natuurlijk persoon voor puur persoonlijke of huishoudelijke activiteiten gebruikt, vallen deze niet onder de AVG. Je persoonlijke verjaardagskalender en belcontactenlijst zijn dus veilig, echter als deze in je organisatie worden verspreid, dan in de AVG wel van toepassing.
Wat zijn privacygevoelige gegevens? Hier wordt een behoorlijk brede definitie gehanteerd. Volgens de AVG gaat het hier om alle gegevens die direct of indirect leiden tot de identificatie van een natuurlijk persoon. Denk hierbij aan naam, locatie/positie, mailadres, identificatienummer maar ook aan geslacht of salarisgegevens. Voorbeelden zijn het naast het voor de hand liggende NAW (naam, adres, woonplaats) ook opslaan van iemands positie in een app of een paspoortnummer. Het is zelfs zo dat een aantal bijzondere gegevens alleen maar onder hoge uitzondering verwerkt mogen worden. Dit gaat om persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond afgeleid kunnen worden. Ook (vrijwel) verboden is de verwerking van genetische gegevens, biometrische gegevens, gegevens over gezondheid en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Gegevens betreffende strafrechtelijke veroordelingen mogen alleen onder toezicht van de overheid worden vastgelegd. Er zijn wel wat uitzonderingen, bijvoorbeeld het verwerken van de politieke overtuiging van leden van een politieke partij. De context waarin de gegevens dan worden verwerkt, is dan belangrijk. Een ander voorbeeld is het verwerken van gegevens die een betrokkene zelf al openbaar heeft gemaakt. Bij organisaties die op grote schaal extra gevoelige gegevens verwerken, moet een een onafhankelijke functionaris voor gegevensbescherming worden aangesteld. Als privacygevoelige gegevens worden gedeeld met een land buiten de EU of een internationale organisatie, gelden extra voorwaardes. Wat is verwerking en wat zijn je verantwoordelijkheden? Het begrip verwerking wordt breed opgevat. AVG schaart onder verwerken verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. Degene wiens gegevens worden verwerkt, heet de betrokkene. Betrokkenen zijn altijd natuurlijke personen, jijzelf bijvoorbeeld. Degene die deze gegevens opslaat/verwerkt of laat opslaan/verwerken, wordt de verwerkingsverantwoordelijke genoemd. Degene die in opdracht van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt, is de verwerker. Verwerkers, verwerkingsverantwoordelijken en ontvangers kunnen personen zijn, rechtspersonen, organisaties of instanties. Werk je voor een verwerkingsverantwoordelijke, dan kun je er vanuit gaan dat als jij of je bedrijf op wat voor manier ook in contact komt met privacygevoelig gegevens, je een verwerker bent geworden. Maak je op verzoek van je opdrachtgever, de verwerkingsverantwoordelijke, een Excelbestandje met persoonsgegevens van hun personeel, met als doel deze te vertrekken aan hun boekhoudkantoor, dan wordt het boekhoudkantoor ook weer een verwerker. Zo zie je al snel een keten ontstaan van verwerkers en sub-verwerkers.
De belangrijkste uitgangspunten AVG ziet privacy als een belangrijk recht. Veel plichten worden neergelegd bij degene die privacygevoelige gegevens opslaat en gebruikt, de verwerkingsverantwoordelijken en de verwerkers. Veel rechten worden gegeven aan degene wiens gegevens worden opgeslagen, de betrokkenen. Door de AVG wordt het recht van bescherming van persoonsgegevens gelijkgesteld met het recht op vrijheid van meningsuiting en van informatie. Deze regels gelden: De verwerkingsverantwoordelijke moet ervoor zorgen voor dat de persoonsgegevens transparant, rechtmatig en behoorlijk worden verwerkt; Er moet een bepaald doel zijn, persoonsgegevens mogen alleen maar verzameld en verwerkt worden voor gerechtvaardigde, goed omschreven doelen, en daarna niet meer gebruikt voor andere doelen; Het principe zo weinig mogelijk is van toepassing: alleen dat wat strikt noodzakelijk is, wordt verwerkt en persoonsgegevens mogen alleen opgeslagen voor de tijd die nodig is om ze voor het omschreven doel te gebruiken; Verder moeten er maatregelen worden genomen om onjuiste gegevens te kunnen corrigeren of verwijderen; Tenslotte dienen er passende technische en/of organisatorische maatregelen te worden genomen om de beveiliging van de persoonsgegevens te waarborgen, zodat zij beschermd zijn tegen ongeoorloofde verwerking en tegen verlies, vernietiging en beschadiging. Duidelijk is dat het aloude we slaan zoveel mogelijk op en we zien wel wat we ermee doen en willekeurige profilering niet meer kan en zelfs strafbaar wordt! En daarmee zijn we er nog niet. Een verwerking is namelijk pas rechtmatig als er aan ten minste een van deze voorwaarden is voldaan: Toestemming: de betrokkene, ouder dan 16, heeft zijn toestemming gegeven voor de verwerking van zijn persoonsgegevens. De verwerkingsverantwoordelijke moet dit kunnen aantonen. Als de toestemming onderdeel was van een groter geheel, moet het de betrokkene duidelijk per onderdeel op eenvoudige wijze duidelijk zijn gemaakt waar hij toestemming voor heeft gegeven. En een betrokkene kan zijn toestemming altijd intrekken, dit moet net zo eenvoudig zijn als het toestemming geven; Overeenkomst: de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waar de betrokkene onderdeel van uitmaakt, bijvoorbeeld een arbeidscontract of serviceovereenkomst; Wettelijke verplichting/algemeen belang: de verwerkingsverantwoordelijke is wettelijk verplicht de persoonsgegevens te verwerken of vanuit vervult een taak van algemeen belang; Vitaal belang: de verwerking is noodzakelijk om de vitale belangen van de persoon te beschermen; Gerechtvaardigde belangen: de verwerking is noodzakelijk voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke. Uitzondering hierop is als de belangen van de betrokkene zwaarder wegen, dit kan voorgelegd worden bij de Autoriteit Persoonsgegevens. De wet moedigt aan om deze uitgangspunten vast te leggen in een gedragscode die branche-organisaties, verenigingen en andere geaccrediteerde organisaties kunnen opstellen. Ook wordt aangemoedigd om een certificeringsproces op te zetten.
De verwerkingsovereenkomst Als je aan de slag gaat bij een opdrachtgever waarbij de kans bestaat dat je in aanraking komt met privacygevoelige gegevens, dan moet er een verwerkingsovereenkomst worden afgesloten. Hierin spreek je onder andere af dat je als verwerker passende maatregelen hebt genomen om de privacygevoelige gegevens waarmee je werkt te beschermen. Met andere woorden: je belooft dat je ervoor zorgt dat er geen privacygevoelige geven op straat komen te liggen. Register van verwerkingsactiviteiten Verwerkingsverantwoordelijken moeten een administratie bijhouden. Hierin moet onder andere opgenomen worden welke gegevens er worden bewaard, waarom, hun verjaringstermijn, wie deze gegevens verwerken en ontvangen en wie verantwoordelijk is. Dit wordt een Register van verwerkingsactiviteiten genoemd. Verwerkers moeten ook een register bijhouden. In dit register staat welke soort verwerking zij uitvoeren (afdrukken, raadplegen, bijwerken etc), wie dat doen, voor wie zij dit doen en welke maatregelen zij genomen hebben om de gegevens te beschermen. Verwacht wordt dat veel organisaties het opzetten en onderhouden van het register zullen uitbesteden aan gespecialiseerde bedrijven. Er bestaat een meldplicht bij datalekken Liggen er persoonsgegevens op straat, dan is de verwerkingsverantwoordelijke verplicht om binnen 72 uur na ontdekking dit te melden aan de toezichthoudende autoriteit, tenminste als de inbreuk een risico inhoudt voor de rechten en vrijheden van de betrokkenen. In Nederland is dat de Autoriteit Persoonsgegevens. Er moet bijvoorbeeld aangegeven worden over hoeveel en welke gegevens het gaat en welke maatregelen er getroffen zijn om de schade zoveel mogelijk te beperken. Dit alles dient gedocumenteerd te zijn. Ook moeten de betrokkenen worden benaderd en worden geïnformeerd. Je moet met een goed verhaal komen als je pas na 72 uur een datalek meldt. Het niet melden van datalekken is strafbaar en kan zware consequenties hebben. Je kunt met klachten altijd terecht De betrokkene kan altijd een klacht indienen bij de Autoriteit Persoonsgegevens en/of naar de rechter stappen. Dit kan ook gedaan worden door een organisatie zonder winstoogmerk die de belangen van betrokkenen behartigt. Schade Als je in de rol van verwerker of verwerkingsverantwoordelijke verantwoordelijk bent voor materiële of immateriële schade van een betrokkene, kun je gedwongen worden om een schadevergoeding te betalen. Hier geldt omgekeerde bewijslast, jij moet bewijzen dat je niet verantwoordelijk bent geweest voor de schade. Verder kan het zijn dat je een administratieve geldboete krijgt opgelegd, die kan oplopen tot 20 miljoen of 4% van je totale omzet. Het tell me -principe wat vroeger werd gehanteerd is vervangen door het show me -principe. Het Register van verwerkingsactiviteiten is hiermee zeer belangrijk geworden. De AVG gaat uit van doeltreffende, evenredige en afschrikkende boetes. Let erop dat een organisatie zowel strafrechtelijk (Openbaar ministerie), bestuursrechtelijk (Autoriteit Persoonsgegevens) als civielrechtelijk (betrokkenen) gedaagd kan worden.
En nu? De Autoriteit Persoonsgegevens heeft een lijst met 10 stappen opgesteld die als leidraad geldt voor het implementeren van maatregelen in organisaties die met de AVG te maken hebben. Dit zijn: Stap 1: Bewustwording Zorg ervoor dat iedereen in de organisatie de nieuwe privacyregels kent. Stap 2: Rechten van betrokkenen Zorg ervoor dat de organisatie klaar is om aan vragen van betrokkenen te voldoen, zoals bijvoorbeeld het recht van inzage en het recht op dataportabiliteit. Stap 3: Overzicht verwerkingen Maak een overzicht van alle gegevensverwerkingen, verwerkers en ontvangers. Ga na of er aan de uitgangspunten wordt voldaan. Stap 4: Data protection impact assessment (DPIA) Kijk of er een DPIA uitgevoerd moet worden. Dit is aan de orde als je organisatie gegevens verwerkt met een hoog privacyrisico. Stap 5: Privacy by design & privacy by default Zorg ervoor dat vanaf nu alle uitgangspunten wat betreft persoonsgegevens in acht worden genomen bij nieuwe producten en diensten. Verzamel en verwerk alleen het strikt noodzakelijke. Stap 6: Functionaris voor de gegevensbescherming Bepaal of je een functionaris voor gegevensbescherming (FG) moet aanstellen. Mocht dit het geval zijn, ga dan nu op zoek naar de FG, er wordt verwacht dat er mei volgend jaar een groot tekort zal zijn. Stap 7: Meldplicht datalekken Zorg dat je register van verwerkingsactiviteiten in orde is en blijft. Documenteer alle datalekken. Stap 8: Verwerkersovereenkomsten Stel verwerkerscontracten op met degenen die je gegevens verwerken, en loop bestaande contracten na. Stap 9: Leidende toezichthouder Grote internationale organisaties moeten bekijken onder welke toezichthouder in welk land zij vallen, dat hoeft er maar 1 te zijn. Stap 10: Toestemming Onder de AVG moet de verwerkingsverantwoordelijke kunnen aantonen dat zij toestemming van de betrokkene hebben om zijn gegevens op te slaan. Zorg ervoor dat je registratie- en verwerkingsprocessen dit ondersteunen Tot slot De invoering van AVG gaat consequenties hebben voor de manier waarop we met persoonsgegevens omgaan. Organisaties moeten hierop voorbereid zijn in hun systemen, processen en overeenkomsten. Het is niet verstandig om dit uit te stellen en te wachten totdat de eerste koppen gaan rollen. Buiten de eventuele financiële gevolgen wordt het binnenkort ook steeds moeilijker zaken te doen als je niet aan de AVG eisen voldoet. Je klanten en leveranciers zullen dat steeds meer gaan eisen. Mis je de boot, dan mis je waarschijnlijk business. De gevolgen van AVG zijn groot en het kan zijn dat je niet precies weet wat nu te doen. Roep zo snel mogelijk de hulp in van een expert om de gevolgen van de invoering van AVG in jouw bedrijf in kaart te brengen. Plots&Plans werkt hierin samen met Sebyde Privacy. Deze expertise is schaars en hoe dichterbij de deadline komt, hoe drukker de experts zullen zijn. Plots&Plans organiseert privacy workshops over dit onderwerp, meer informatie hierover op info@plotsandplans.nl
De auteur Marcel van Baren werkt ruim 25 jaar in de IT. Hij is in zijn carrière met vele aspecten hiervan in aanraking gekomen, van het analyseren van processen tot aan de assemblage van PC s en van het schrijven van testplannen voor Identity&Access Management omgevingen tot aan het managen van een team van hooggekwalificeerde Security Professionals. Marcel heeft gewerkt voor zeer grote bedrijven tot aan hele kleine bedrijfjes, waar zijn hart ligt bij het MKB. In november 2017 heeft hij het bedrijf Plots&Plans opgericht. Plots&Plans richt zich op het ondersteunen, begeleiden, adviseren en trainen van MKB-ondernemers op het gebied van IT vraagstukken, met name gericht op veranderprocessen, persoonlijke ontwikkeling, privacy (AVG) en security met als doel groei van bedrijven te bevorderen en het IT bewustzijn te vergroten. Plots&Plans BV Plutoniumweg 8 7335EZ Apeldoorn Bezoekadres (op afspraak) Verzetsstrijderspark 10 7316 CM Apeldoorn http://www.plotsandplans.nl info@plotsandplans.nl Bronnen EU algemene verordening gegevensbescherming (EU-AVG): https://www.privacy-regulation.eu/nl/index.htm AVG/GDPR komt eraan. Hoog tijd dat de recruitment- en inhuurwereld wakker worden!: https://www.zipconomy.nl/2017/09/avggdpr-komt-er-aan-hoog-tijd-dat-de-recruitment-en-inhuurwereldwakker-worden/ Mkb slecht voorgelicht over Europese privacywet: https://www.mkbservicedesk.nl/10941/mkb-slechtvoorgelicht-over-europese.htm Voorbereiding voor de AVG: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europeseprivacywetgeving/voorbereiding-op-de-avg