Wat betekent de AVG voor uw organisatie?

Door 5 maart 2018Artikel

Ruim 82% van de 1000 door TNO ondervraagde Nederlanders zeggen veel belang te hechten aan privacy en de bescherming van persoonsgegevens. Dit betekent een kans voor uw organisatie om door het voeren van een privacyvriendelijk beleid positief op te vallen.  Bovendien bent u verplicht om te voldoen aan de nieuwe privacyregelgeving. Hieronder wordt deze regelgeving uitgebreid uiteengezet en wordt puntsgewijs ingegaan op de belangrijkste veranderingen.

De huidige Nederlandse privacywet, de Wet Bescherming Persoonsgegevens (Wbp), vervalt vanaf 25 mei 2018. De nieuwe privacyregelgeving kent verschillende roepnamen: de Algemene Verordening Gegevensbescherming (AVG), de Europese privacywet, de Europese Privacyverordening en in het Engels General Data Protection Regulation (GDPR).  Dit zijn allemaal benamingen voor dezelfde nieuwe Europese wet over privacy en gegevensbescherming. De Europese regelgeving is een verordening, dit betekent dat de wet directe werking heeft en niet omgezet hoeft te worden in een Nederlandse wet. Op 25 mei 2018 treedt de nieuwe wet in alle Europese lidstaten tegelijk in werking en is wereldwijd op organisaties van toepassing. Uw organisatie dient over minder dan een half jaar te voldoen aan alle verplichtingen in de wet.

Hieronder zetten we voor uw organisatie uiteen wat de wet regelt, welke verplichtingen uit de wet volgen en wat er veranderd is ten opzichte van de Wbp. We zetten voor een volledig beeld eerst de belangrijke begrippen uit de AVG uiteen. Daarna duiden we een aantal van de belangrijkste verplichtingen uit de AVG (let wel: dit is geen volledige weergave van alle verplichtingen die volgen uit de AVG). Per verplichting worden de veranderingen ten opzichte van de Wbp weergegeven. Tot slot stippen we aan dat de naleving van de wetgeving door de toezichthouder wordt gecontroleerd en gesanctioneerd.

De belangrijke begrippen uit de AVG

Over welke gegevens gaat de AVG? Persoonsgegevens!

De privacywetgeving ziet op persoonsgegevens. Persoonsgegevens zijn gegevens die iets zeggen of kunnen zeggen over een natuurlijk persoon. Een gegeven is vrij snel aan te merken als een persoonsgegeven en kan door de combinatie met andere gegevens een persoonsgegeven worden. Voorbeelden van persoonsgegevens zijn: namen, geboortedata, klantprofielen, e-mailadressen, adressen, rekeningnummers, telefoonnummers, en IP-adressen. Dit zijn allemaal gegevens die een organisatie vaak standaard over zijn of haar klanten en werknemers verzamelt. Maar denk ook aan informatie die persoonsgegevens kunnen bevatten: video-surveillance, energiegegevens en bitcoin-transacties. In de wet wordt ook een speciale categorie persoonsgegevens, bijzondere persoonsgegevens, genoemd. Deze gegevens zijn persoonsgegevens over iemands: gezondheid, levensovertuiging, ras, politieke voorkeur, seksuele leven, lidmaatschap van een vakbond en strafrechtelijk verleden.

Waarop is de AVG van toepassing? Op de verwerking van persoonsgegevens!

De privacywetgeving ziet op de verwerking van persoonsgegevens. Verwerken is een zeer breed begrip. Voorbeelden van verwerken zijn: verzamelen, opslaan, combineren, bewerken, vastleggen, inzien, toegang krijgen, anonimiseren, pseudonimiseren en vernietigen. Maar denk ook aan het verwijderen van data, data aggregatie en data alignatie. Bijna alle handelingen die uw organisatie met persoonsgegevens uitvoert kunnen dus aangemerkt worden als verwerken.

Wie zijn de spelers in de AVG? De verwerkingsverantwoordelijke, verwerker en betrokkene!

De verschillende spelers hebben verschillende rechten en plichten. De drie belangrijke spelers onder de AVG zijn: de betrokkene, de verwerkingsverantwoordelijke en de verwerker. De persoon van wie de gegevens zijn en van wie de gegevens worden verwerkt is de betrokkene. De verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking vast. De verwerker verwerkt de persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke.

Het is van belang om vast te stellen of uw organisatie verwerkingsverantwoordelijke of verwerker is omdat de spelers onder de AVG verschillende verplichtingen hebben. Zo is de verwerkingsverantwoordelijke en niet de verwerker verplicht om een privacyverklaring op te stellen voor de betrokkene. Om vast te stellen welke rol uw organisatie speelt is de feitelijke verhouding tussen verwerkingsverantwoordelijke en verwerker leidend. Indien uw organisatie bijvoorbeeld het feitelijke beheer over de data heeft, de bewaartermijnen vaststelt en gaat over het verstrekken van de gegevens aan derden dan is uw organisatie hoogstwaarschijnlijk de verwerkingsverantwoordelijke van de verwerking en niet de verwerker. De verwerkingsverantwoordelijke delegeert taken aan de verwerker. Als verwerkingen door een verwerker in opdracht van de verwerkingsverantwoordelijke worden uitgevoerd dan is een overeenkomst tussen de verwerkingsverantwoordelijke en verwerker nodig.

De belangrijke verplichtingen uit de AVG en de veranderingen ten opzichte van de Wbp

Beveiligingsmaatregelen nemen

Persoonsgegevens dienen voldoende beveiligd te worden. Uw organisatie dient met betrekking tot de beveiliging van persoonsgegevens passende technische en organisatorische maatregelen te nemen. De vraag welke maatregelen passend zijn hangt af van de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context, de doelen van de verwerking en de privacyrisico’s. De beveiliging van de verwerking dient in uw organisatie een blijvende punt van aandacht te zijn omdat de stand van de techniek evolueert. In de AVG worden een aantal manieren genoemd om de beveiliging te regelen waaronder de pseudonimisering en versleuteling van persoonsgegevens.

Verandering: In de AVG worden in tegenstelling tot in de Wbp manieren genoemd om de beveiliging van persoonsgegevens te regelen. Dit biedt een welkom handvat bij het implementeren van een beveiligingsbeleid. Ook worden de nieuwe begrippen privacy door standaardinstellingen en privacy door ontwerp geïntroduceerd. Let op: het niet voldoen aan deze verplichtingen kunnen boetes opleveren van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet van uw organisatie.

Rechten van betrokkenen beschermen

Uw organisatie dient rekening te houden met de rechten van betrokkenen. Een belangrijk recht van een betrokkene is het recht op informatie. Het is verplicht om als verwerkingsverantwoordelijke de betrokkene met behulp van een privacyverklaring te informeren over de verwerking van gegevens, om welke gegevens het gaat en op welke wijze dit gebeurt. Onder het recht op informatie valt ook het vermelden van de juridische grondslag van de verwerking en het doel waarvoor de gegevens worden verwerkt. Ook na het moment van verwerken blijft het recht op informatie van belang. Mocht uw organisatie de privacyverklaring wijzigen moet u erop toezien dat u de betrokkene de wijzigingen daadwerkelijk opmerkt.

Het recht op inzage is een ander belangrijk recht dat is neergelegd in de AVG. De betrokkene heeft het recht om een kopie aan te vragen van de gegevens die worden verwerkt. Ook krijgt in de AVG de betrokkene het recht op rectificatie van onjuiste gegevens en het recht op vergetelheid. Dit laatste recht houdt in dat de persoonsgegevens gewist moeten worden mocht er bijvoorbeeld geen rechtsgrond (meer) aanwezig zijn om de gegevens te verwerken. Daarnaast bestaat er voor de betrokkene het recht op beperking van de verwerking van zijn persoonsgegevens. Ook bezit de betrokkene het recht op overdraagbaarheid van de gegevens die op hem zelf van toepassing zijn. De betrokkene heeft het recht op bezwaar tegen de verwerking van zijn persoonsgegevens. Ten aanzien van de geautomatiseerde individuele besluitvorming, waaronder profilering, heeft de betrokkene het recht hier niet aan onderworpen te worden, uitzonderingen daargelaten.

Het is belangrijk dat het interne beleid binnen uw organisatie aansluit bij de rechten van de betrokkenen. Het is bijvoorbeeld, gelet op het recht van inzage en het recht op gegevensoverdraagbaarheid, verstandig om een verwerkingsregister bij te houden waarin op een overzichtelijke manier is weergegeven welke persoonsgegevens worden verwerkt. De Europese toezichthouder heeft, in een guideline over gegevensoverdraagbaarheid, uiteengezet hoe de persoonsgegevens door uw organisatie aan de betrokkene of een andere organisatie overgedragen dienen te worden.

Verandering: De rechten van een betrokkene worden onder de AVG uitgebreid. Nieuw is dat het recht op overdraagbaarheid en het recht op vergetelheid zijn opgenomen in de wet. Met betrekking tot de overdraagbaarheid van persoonsgegevens kunt u de hierboven genoemde Guidelines over gegevensoverdraagbaarheid raadplegen. Let op: het niet voldoen aan deze verplichting kan een boete opleveren van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet van uw organisatie.

Informatie verstrekken

De verwerkingsverantwoordelijke is verplicht om de betrokkene, in een privacyverklaring, informatie te geven over de verwerking van persoonsgegevens. De AVG maakt een onderscheid tussen persoonsgegevens die de betrokkene zelf aan uw organisatie verstrekt en persoonsgegevens die uw organisatie via een andere bron verzamelt. Denk in het eerste geval aan de situatie waarin uw organisatie een formulier op de website heeft staan voor geïnteresseerde die hiermee zichzelf met hun naam en e-mailadres kunnen aanmelden voor uw nieuwsbrief. In het tweede geval verwerkt uw organisatie gegevens die verkregen zijn via een andere bron, bijvoorbeeld via apparatuur die uw organisatie heeft geïnstalleerd bij de betrokkene, applicaties die de betrokkene gebruikt op een tablet of smartphone of via het internet. Het is van belang om nauwkeurig na te gaan hoe de gegevens worden verzameld omdat er andere eisen zijn aan de inhoud van de privacyverklaringen. Bij het (laten) opstellen van een privacyverklaring dient dus eerst bepaald te worden via welke manier de gegevens worden verzameld.

Er zijn vervolgens een aantal belangrijke onderwerpen die in de verklaring dienen te staan waaronder maar niet uitsluitend: de grondslag van de verwerking en het doel van de verwerking. Bij het vaststellen van het doel van de verwerking dient uw organisatie er rekening mee te houden dat de gegevensverwerking voor een ander doel dan de in het privacyverklaring beschreven doel aan strikte regels is onderworpen. Het doel dient dus met grote zorgvuldigheid vastgesteld te worden. Er zijn een beperkt aantal in de wet vastgestelde grondslagen voor gegevenswerking waarop uw organisatie zich kan beroepen. De grondslag moet worden genoemd in de verklaring en indien uw organisatie een gerechtvaardigd belang heeft bij de gegevensverwerking dient dit gerechtvaardigde belang nader omschreven te worden.

De informatie moet op een beknopte, transparante, begrijpelijke en gemakkelijke toegankelijke manier en in duidelijke en eenvoudige taal worden verstrekt aan de betrokkene. De Europese toezichthouder heeft deze begrippen in Transparantie richtsnoeren nader uitgelegd, dit document ligt nog tot 23 januari ter consultatie. De toezichthouder beveelt bijvoorbeeld aan om de informatie (in verband met de leesbaarheid) op een ‘layered’ manier aan te bieden. Hierdoor hoeft de betrokkene niet door een lap tekst heen te scrollen. Het biedt de betrokkene de mogelijkheid om een onderwerp, zoals welke persoonsgegevens er precies verwerkt worden, in een oogopslag te vinden en na te lezen. Ook is het van belang om de inhoud van de privacyverklaring te laten aansluiten bij de juiste doelgroep. Indien uw organisatie bijvoorbeeld persoonsgegevens verwerkt van kinderen dient de verklaring begrijpelijk te zijn voor kinderen. De betrokkene dient de privacyverklaring gemakkelijk, bijvoorbeeld in de vorm van een FAQ op uw website, te kunnen raadplegen.

Verandering: In de AVG worden er ten opzichte van de Wbp strengere en geconcretiseerde eisen gesteld aan de inhoud van de privacyverklaring van uw organisatie. Een belangrijke verandering is dat het doel en de grondslag van de verwerking omschreven dienen te worden. Let op: het niet voldoen aan deze verplichting kan een boete opleveren van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet van uw organisatie.

Verwerkingsregister bijhouden

Een register van verwerkingsactiviteiten moet in elk geval worden bijgehouden wanneer uw organisatie meer dan 250 personen in dienst heeft. Indien uw organisatie minder dan 250 mensen in dienst heeft is het slechts bij risicovolle verwerkingen verplicht om een verwerkingsregister bij te houden. Dit is het geval wanneer structureel persoonsgegevens worden verwerkt, de gegevens een hoog privacyrisico inhouden en bij het verwerken van bijzondere persoonsgegevens. Het is zeer waarschijnlijk dat ook indien uw organisatie een kleine onderneming is, uw organisatie structureel persoonsgegevens verwerkt. Bovendien is het voor uw organisatie, gelet op het recht van inzage en het recht op gegevensoverdraagbaarheid, raadzaam om bij te houden welke persoonsgegevens er worden verzameld. Welke informatie er in het verwerkingsregister opgenomen dient te worden hangt af van de vraag of uw organisatie verwerkingsverantwoordelijke of verwerker is van de gegevensverwerking.

Verandering: Gegevensverwerkingen hoeven per 6 november 2017 niet meer, op grond van de in de Wbp neergelegde meldplicht, gemeld te worden bij de Autoriteit Persoonsgegevens. Het is wel verplicht om in een voorkomend geval een verwerkingsregister bij te houden. De Autoriteit Persoonsgegevens kan door middel van dit verwerkingsregister controleren of uw organisatie de privacyregels op de juiste wijze heeft geïmplementeerd. Let op: het niet voldoen aan deze verplichting kan een boete opleveren van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet van uw organisatie.

Privacyrisicio’s bepalen

Een ‘Data Protection Impact Assessment’ (DPIA), of in het Nederlands een gegevensbeschermingseffectbeoordeling, is een manier om vooraf de risico’s van de gegevensverwerking te bepalen. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkene. Of een DPIA uitgevoerd moet worden dient uw organisatie zelf te bepalen. Door de Europese toezichthouder zijn wel DPIA richtsnoeren vastgelegd met het oog op het verduidelijken van de vraag wanneer een DPIA verplicht is. Er zijn door de toezichthouder negen criteria vastgesteld die kunnen dienen als handreiking om te bepalen of uw organisatie verplicht is een DPIA uit te voeren. De toezichthouder raadt aan om, in gevallen waarin niet duidelijk is of een DPIA vereist is, toch een DPIA uit te voeren omdat een DPIA een nuttig middel is dat verwerkingsverantwoordelijken helpt om aan de AVG te voldoen.

Verandering: Gegevensverwerkingen hoeven per 6 november 2017 niet meer, op grond van de in de Wbp neergelegde meldplicht, gemeld te worden bij de Autoriteit Persoonsgegevens. Het is wel verplicht om in een voorkomend geval een DPIA uit te voeren. Let op: het niet voldoen aan deze verplichting kan een boete opleveren van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet van uw organisatie.

Interne privacytoezichthouder aanstellen

Een ‘Data Protection Officer’ (DPO), of in het Nederlands een Functionaris Gegevensbescherming, is iemand die binnen uw organisatie toezicht houdt op de toepassing en naleving van de AVG. Onder de AVG is het in sommige situaties verplicht een DPO aan te stellen maar uw organisatie kan ook vrijwillig een DPO aanstellen. Indien uw organisatie een overheidsinstanties of publieke organisatie is, dan is het aantellen van een DPO in ieder geval altijd verplicht. Ook indien vanuit de kernactiviteiten van uw organisatie op grote schaal individuen worden gevolgd of bijzondere persoonsgegevens worden verwerkt is uw organisatie verplicht om een DPO aan te stellen. De Europese toezichthouder geeft in de Functionarissen voor gegevensbescherming richtsnoeren aan wanneer en op welke manier een DPO aangesteld dient te worden. De toezichthouder raadt aan om intern vast te leggen hoe een analyse wordt gemaakt om wel of niet een DPO aan te stellen omdat op die manier aangetoond kan worden of er een correcte afweging is gemaakt.

Verandering: Voorheen was uw organisatie vrij om te bepalen of uw organisatie een Functionaris Gegevensbescherming aanstelde of niet. Na invoering van de AVG wordt het in bepaalde situaties, zoals hierboven geschetst, verplicht om een Functionaris Gegevensbescherming aan te stellen binnen uw organisatie. Bovendien bent u verplicht om duidelijk te motiveren wat uw redenen zijn om wel of geen Functionaris Gegevensbescherming aan te stellen. Let op: het niet voldoen aan deze verplichting kan een boete opleveren van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet van uw organisatie.

Datalekken melden

Er is sprake van een datalek bij uw organisatie wanneer persoonsgegevens worden vernietigd, gewijzigd of vrijkomen zonder dat dit de bedoeling is van uw organisatie. Ook een onbedoelde toegang tot persoonsgegevens is een datalek. Een datalek moet worden gemeld bij de toezichthouder en in een voorkomend geval bij de betrokkene waarvan de gegevens zijn ‘gelekt’. De Europese toezichthouder heeft in een richtlijn, Guidelines Personal Data Breach Notification, uitgelegd wanneer er sprake is van een datalek en hoe uw organisatie hierop dient te reageren. Ook de rol die een DPO in een dergelijk situatie speelt wordt verduidelijkt.

Verandering: Onder de AVG zijn de eisen voor het melden van een datalek, het informeren van de betrokkene over een datalek en de documentatieplicht met betrekking tot een datalek aangescherpt. Er is in de AVG nauwkeurig bepaald waaraan de melding van een datalek aan de Autoriteit Persoonsgegevens en een betrokkene moet voldoen. Let op: het niet voldoen aan deze verplichting kan een boete opleveren van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet van uw organisatie.

Overeenkomsten opstellen

Indien een verwerkingsverantwoordelijke in zee gaat met een verwerker dan dient er een verwerkersovereenkomst opgesteld te worden. De overeenkomst heeft onder andere tot doel om te waarborgen dat de verwerker op de juiste wijze met de persoonsgegevens omgaat. De verwerker dient bijvoorbeeld een passend beschermingsniveau te waarborgen en mag de gegevens niet voor een ander doel gebruiken. De AVG schrijft een dwingend voorgeschreven invulling van de verwerkersovereenkomst voor. De overeenkomst dient onder meer afspraken te bevatten over: geheimhouding, beveiligingsmaatregelen, het inschakelen van eventuele sub-verwerkers, het omgaan met datalekken, audits van de verwerkingsverantwoordelijke en de rechten van betrokkenen. Uw organisatie is zowel in de rol van verwerkingsverantwoordelijke als in de rol van verwerker verplicht om in een voorkomend geval een verwerkersovereenkomst op te stellen.

Verandering: In de AVG worden de eisen ten opzichte van de Wbp waaraan de verwerkersovereenkomst dient te voldoen geconcretiseerd. Ook zijn de regels met betrekking tot de aansprakelijkheid van de verwerker en de verwerkingsverantwoordelijke aangepast. Let op: het niet voldoen aan deze verplichting kan een boete opleveren van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet van uw organisatie.

Privacyvriendelijk beleid standaardiseren

Producten en diensten dienen privacyvriendelijke standaardinstellingen te hebben. Gedacht kan worden aan het aanbieden van heldere keuzemogelijkheden om de privacy instellingen van een door uw organisatie op de markt gebracht product of dienst te bevestigen of te veranderen. Gedurende het gebruik van de producten en diensten dienen de privacy instellingen  makkelijk toegankelijk te zijn. Bij het ontwerpen, ontwikkelen en onderhouden van producten, diensten en processen dient rekening gehouden te worden met gegevensbescherming. Het zorgvuldig selecteren en daardoor minimaliseren van de data die uw organisatie verzamelt draagt bij aan het vereiste privacy door ontwerp. Er mogen niet meer persoonsgegevens verzameld worden dan strikt noodzakelijk voor het doel van de verwerking. Uw organisatie dient bij elke verwerking van een persoonsgegeven de vraag te stellen of die verwerking daadwerkelijk noodzakelijk is om het doel te bereiken. Ook het beperkt toegankelijk maken van de data, het gescheiden bewaren van data en het zo min mogelijk gedetailleerd maken van klantprofielen is een manier om privacy door ontwerp te waarborgen.

Verandering: De begrippen privacy door standaardinstellingen en privacy door ontwerp zijn geïntroduceerd in de AVG. Let op: het niet voldoen aan deze verplichting kan een boete opleveren van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet van uw organisatie.

Naleving controleren en boetes opleggen

In Nederland heeft de Autoriteit Persoonsgegevens (AP) de bevoegdheid om maatregelen en boetes op te leggen aan de verwerkingsverantwoordelijke en de verwerker. De AP die de administratieve geldboeten bij inbreuk op de AVG oplegt, moet ervoor zorgen dat deze in elke zaak doeltreffend, evenredig en afschrikkend zijn. De geldboetes zijn aanzienlijk verhoogd ten opzichte van de Wbp. De gedachte achter deze hoge bedragen is om ervoor te zorgen dat bedrijven niet meer de ‘privacy grenzen’ opzoeken en de lagere boetes voor lief nemen.

Een onderscheid wordt gemaakt tussen twee verschillende soorten overtredingen. De eerste ziet op inbreuken van meer administratieve aard. Deze inbreuken zien op overtredingen van de verplichtingen van de verwerkingsverantwoordelijke, de verwerker, het certificeringsorgaan en het toezichthoudend orgaan. Deze inbreuken zijn dan ook onderworpen aan administratieve geldboeten tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. De inbreuken op meer fundamentele verplichtingen kunnen harder worden bestraft, deze boete kan oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Hiermee wordt harder opgetreden tegen een schending van de rechten van een betrokkene.

Verandering: De AVG brengt een grote verandering teweeg ten aanzien van de Wbp betreffende de hoogte van de geldboetes. Onder de Wbp was de maximale boete 820.000 euro, nu kan deze onder de AVG oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. De AP heeft onder de AVG meer bevoegdheden gekregen met betrekking tot de klachtenbehandeling, de manieren van toezicht houden en de samenwerking met andere toezichthouders. Bovendien heeft de AP ook een ruimere keuze van maatregelen die opgelegd kunnen worden.