De GDPR/AVG komt eraan, maar wat is het?
De AVG (in het Engels GDPR) is de nieuwe Europese Verordening op het gebied van privacy. Deze is op 25 mei 2016 in werking getreden en zal daarom vanaf 25 mei 2018 in de gehele Europese Unie van toepassing zijn. De Algemene Verordening Gegevensbescherming (AVG) gaat over het verwerken van persoonsgegevens en dus over de privacy van personen. Het zal in de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. Wat staat jou te wachten?
LawStories in je mailbox?
AVG of GDPR?
Eerst even over de terminologie. In het Nederlands heet het dus de Algemene Verordening Gegevensbescherming (AVG), maar in het Engels heet het de General Data Protection Regulation (GDPR). Daarom kom je op het internet beide afkortingen tegen.
Het is dus een Europese verordening die direct van toepassing gaat zijn, ook zonder tussenkomst van een Nederlandse wet. Deze verordening zorgt voor zoveel mogelijk eenheid op het gebied van privacy, binnen de EU. Vooral online is dat prettig. Toch is er hier en daar nog wat ruimte waar landen mogen afwijken. Daarom zal de Nederlandse wet nog wel op de AVG worden aangepast, maar dat zal nog enige tijd duren. Voorlopig doen we het dus met de tekst van de AVG/GDPR
Schrik niet, er gaat niet écht veel veranderen
Vele artikelen maken je bang, dat je niets meer zou mogen doen, dat koude acquisitie niet meer mogelijk zou zijn. Bullshit.
Ja, er gaat wel een en ander veranderen of aangevuld worden, maar we hadden de Wbp dus al. Daar was al veel in geregeld, maar eenvoudigweg niet iedereen hield zich daaraan. Door alle aandacht voor het onderwerp is iedereen opeens weer alert en denken ze ook vanalles te moeten doen en dat het nieuw is, terwijl het vroeger ook al moest.
- Beveiliging. Je moest altijd al zorgen dat je persoonsgegevens veilig zou ontvangen en veilig zou opslaan. Het liefst dus ook bij een bedrijf in de EU, met servers in de EU.
- Privacyverklaring. Die moest je ook altijd al hebben als je persoonsgegevens verwerkte. Hij moet nu alleen wat langer worden, met meer informatie en nog eenvoudiger opgeschreven.
- Datalekken melden. Je weet wel, die achtergelaten USB-stickjes, dossiers op het dak van een auto of achtergelaten in de trein of gewoon omdat je beveiliging dus niet op orde was. Moest ook al gemeld worden. Hadden we een aparte regeling voor, maar wordt nu geregeld in de AVG.
- Toestemming of rechtmatig doel. Persoonsgegevens mag je pas verwerken als je daar toestemming voor hebt of wanneer je daar een rechtmatig doel voor hebt, bijvoorbeeld het uitvoeren van een overeenkomst. De criteria voor toestemming worden wel strenger.
- Gevoelige of bijzondere gegevens. Je moet extra voorzichtig omgaan met gevoelige of bijzondere gegevens, zoals medische gegevens en gegevens die iets zeggen over iemands geloofsovertuiging, ras, seksuele geaardheid en dat soort zaken. Moest ook al volgens de Wbp en moet nog steeds volgens de AVG/GDPR.
- Verwerkersovereenkomst. Is er een ander bedrijf dat persoonsgegevens voor jou opslaat of verwerkt, zoals de hostingpartij waar jij ‘in de cloud’ de persoonsgegevens opgeslagen hebt, of het softwarebedrijf waar alle gegevens van jouw klanten in staan die ook de opslag en verwerking verzorgen, dan moest je daar al een bewerkersovereenkomst mee sluiten. Dit gaat nu een verwerkersovereenkomst heten, waarbij de verwerker ook meer verplichtingen en verantwoordelijkheden krijgt.
Wat gaat er dan wél veranderen?
Natuurlijk gaan er ook een aantal zaken veranderen. Vooral voor grotere organisaties komen er extra verplichtingen bij en ook verwerkers (voorheen: bewerkers) krijgen meer verantwoordelijkheden.
Hoge boetes zonder waarschuwing
De Autoriteit Persoonsgegevens (AP) krijgt een boetebevoegdheid, waarbij ze bovendien niet meer verplicht zijn vooraf nog te waarschuwen!
Bij de schending van processuele of procedurele verplichtingen kan de boete oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet van jouw onderneming van het vorig boekjaar. Bijvoorbeeld wanneer je niet op tijd een datalek hebt gemeld.
Als je niet voldoet aan de informatieplicht (daar heb je de privacyverklaring weer!), de gegevens niet zorgvuldig verwerkt of niet aan een van de andere verplichtingen uit de AVG voldoet of wanneer je een bevel van het AP niet opvolgt, kan de boete zelfs oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet van het afgelopen boekjaar.
Begrip persoonsgegevens breder
Zo vallen vanaf nu ook zakelijke gegevens, zoals een e-mailadres en doorkiesnummers die naar een specifiek persoon leiden, onder de term persoonsgegevens. Daarom maken zoveel marketeers zich opeens zorgen over koude (telefonische) acquisitie.
Intern Privacybeleid
Verder moest je eerst, als je bijvoorbeeld veel of bepaald soort gegevens verwerkte, daarvan vooraf melding maken bij de Autoriteit Persoons. Nu hoeft die melding niet meer vooraf, maar dat betekent niet dat je geen administratie meer hoeft bij te houden! Je moet namelijk, als de Autoriteit Persoonsgegevens (AP, voorheen Cbp) komt controleren, wel aan kunnen tonen dat je aan alle vereisten voldoet, zoals het rechtmatig verzamelen van de gegevens en ze beveiligd opslaan. Kleine organisaties zijn niet verplicht om een zogenaamd privacybeleid te hebben, maar handig is het alsnog wel.
Verwerkingsregister
Zowel verwerkers als verwerkingsverantwoordelijken moeten een verwerkingsregister bij gaan houden. Dat is een register waarin duidelijk wordt opgenomen welke persoonsgegevens er worden opgeslagen en wat daarmee wordt gedaan, welke andere bedrijven of personen bij de gegevens kunnen, hoe de gegevens beveiligd worden en meer van dat soort zaken.
Gelukkig hoeft niet elke onderneming zo’n verwerkingsregister bij te houden. In de volgende situaties is dat wel noodzakelijk:
- Wanneer de onderneming meer dan 250 mensen in dienst heeft
- Bij het verwerken van grote hoeveelheden persoonsgegevens
- Structurele verwerking van persoonsgegevens
- Wanneer de verwerking een risico vormt voor de betrokkene (persoon van wie de gegevens zijn)
- Bij verwerking van bijzondere, gevoelige of strafrechtelijke gegevens
Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO)
Sommige organisaties hebben ook een Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) (ook wel Privacy Officer genoemd) nodig. Dit is een onafhankelijk persoon die toeziet op de juiste verwerking en beveiliging van de persoonsgegevens.
Een FG of DPO is verplicht in de volgende gevallen:
- Wanneer de gegevensverwerking een kernactiviteit van de onderneming is
- Wanneer er op grote schaal persoonsgegevens worden verwerkt
- Bij systematische en stelselmatige monitoring van personen
- Indien er speciale categorieën van gegevens worden verwerkt
Veel ondernemingen zullen niet zo zeer op grote schaal persoonsgegevens verwerken. Heb je en gemiddelde webwinkel, ben je een dienstverlener, of een andere ondernemer die vooral de gegevens van klanten opslaat om bijvoorbeeld te kunnen factureren, is er niet zo veel aan de hand.
Maar voor marketingbedrijven of appbouwers, die bijvoorbeeld aan de hand van gegevens profielen opstellen of aan locatietracering doen, hebben wel een FG of DPO nodig. Ook bij het gebruik dan Big Data zal een FG/DPO noodzakelijk zijn.
Zo’n FG of DPO hoeft overigens niet in dienst te zijn. Het is ook zeker geen full time baan. De persoon moet alleen wel onafhankelijk zijn en dus niet tegelijkertijd andere functies binnen het bedrijf bekleden die met privacy te maken hebben. Als je liever deze verantwoordelijkheid uitbesteed aan een ander bedrijf, zorg dan in elk geval dat deze wel in de EU gevestigd is.
Let op! Vanwege de AVG/GDPR zijn er opeens heel veel mensen en bedrijven die deze diensten aanbieden, maar ze zijn lang niet allemaal even goed.
Ik ben nog niet klaar hoor!
Er zijn nog een hoop andere zaken waar je rekening mee moet gaan houden:
- Recht op dataportabiliteit (gegevens kunnen overdragen)
- Recht om vergeten te worden (wissen van gegevens)
- Privacy by default en Privacy by design
- Privacy Impact Assessment voor nieuwe technologieën en manieren om gegevens te verwerken
- Intrekken van toestemming
- Recht van bezwaar
Hoe dan ook, te veel voor één blogpost.
Hulp nodig? Wij helpen graag!
Help! Ik wil meer info
Stap 1: breng de gegevensverwerking in kaart
Wat je in elk geval moet doen is de gegevensverwerking in kaart brengen. Als je weet wat je opslaat, waar, hoe, door wie, waarom etcetera.
Stap 2: bepaal wat je nog moet doen
Nu je weet hoe je tot nu toe de gegevensverwerking hebt geregeld, kun je ook bekijken wat er nog moet gebeuren. Welke documenten moet je aanpassen of moeten er nog gemaakt worden? Denk aan de privacyverklaring en de verwerkersovereenkomsten, die hebben in elk geval een update nodig.
Is de beveiliging ook op orde? Misschien moet je gegevens naar andere servers verplaatsen.
Stap 3: plannen!
Je hebt nog maar een paar maanden om alles op orde te brengen. Bekijk wat je moet regelen en hoeveel tijd dat gaat kosten. Wat kun je zelf doen, waar heb je hulp of informatie van anderen voor nodig en wat kun je uitbesteden?