AVG-handleiding voor een MKB-onderneming
Inleiding
Vanaf 25 mei 2018 is de Algemene Vordering Gegevensbescherming (AVG) van toepassing. Deze nieuwe Europese privacywetgeving geldt voor de gehele EU en heeft in Nederland de Wet Bescherming Persoonsgegevens vervangen.
De nieuwe privacywetgeving kent vernieuwingen, aanpassingen en aanvullingen. De AVG versterkt de positie van de betrokkenen. Dit zijn de mensen wiens persoonsgegevens worden verwerkt. Zij krijgen in vergelijking met voorheen sterkere en nieuwe privacy rechten. Daartegenover staat dat organisaties en bedrijven die persoonsgegevens verwerken meer verplichtingen hebben gekregen.
Bij het niet nakomen hiervan kunnen er zelfs hoge financiële boetes aan die organisaties en ondernemingen worden opgelegd. Een vorm van sancties die kunnen oplopen tot 4% van de totale (wereldwijde) jaaromzet. Voor de laagste boetes kun je al snel rekenen op 60.000 tot 75.000 euro.
Activiteiten en verwerken van gegevens vallen veel sneller dan voorheen onder de privacywetgeving. Dit komt vooral omdat het begrip “persoonsgegevens” sterk is veranderd. Het gaat niet meer alleen om namen en adressen etc. maar ook gegevens gekoppeld aan I.P-adressen en cookies vallen onder de nieuwe wet. Hoe dan ook, je verantwoordelijkheid als ondernemer voor de juiste en optimale inrichting van je totale registratie en voor de inrichting en het gebruik van je (computer) bestanden en programma’s is veel groter geworden.
Maar let wel: AVG proof bestaat niet. Je kunt alleen maar je uiterste best doen, met de bestaande methodieken, en met inachtneming van je verplichtingen als verwerkingsverantwoordelijke zoals weergegeven in de AVG, de hoogst mogelijke bescherming van de opgeslagen persoonsgegevens na te streven. Let wat dit betreft op het centrale verplichtingsartikel 24 van de AVG: Je dient als verwerkingsverantwoordelijke binnen het bedrijf passende organisatorische en technische maatregelen te nemen om de privacy-risico’s bij het werken met de persoonsgegevens optimaal te beschermen.Als je als ondernemer deze verantwoordelijkheid ten volle serieus neemt dan kom je je verplichtingen na. Nogmaals AVG proof bestaat niet, maar de lat hoog leggen wel.
Alvorens de wetgeving zelf uit een te gaan zetten wij hieronder de belangrijkste stappen die u als ondernemer heeft te doen.
De AVG en de belangrijke aanpassingen/wijzigingen in de onderneming
1. Wetenschap
Zorg ervoor dat al uw mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels.
Welke diensten en goederen en vooral welke aanpassingen zijn er nodig binnen uw bedrijf om aan de AVG te voldoen.
Let wel: de implementatie van de AVG kan veel tijd met zich meebrengen.
2. Rechten van betrokkenen
De personen van wie u persoonsgegevens verwerkt, krijgen meer en verbeterde privacy rechten.
Denk aan: recht op inzage, recht op correctie en verwijdering en recht op data-portabiliteit.
Over dit alles straks meer.
3. Overzicht verwerkingen
Breng al uw gegevensverwerking op uw computersysteem in het verwerkingsregister in kaart.
Leg vast welke persoonsgegevens u verwerkt en wat het doel daarvan is.
Geef aan waar de gegevens vandaan komen en met wie u ze deelt. (in het verwerkingsregister of in een apart schema)
Maak hiervoor een eenvoudig schema in uw computer en hou dit goed bij.
Vermeld in dit schema ook op basis van welke wettelijke grondslag u de gegevens verwerkt. Voorbeelden hiervan zijn toestemming van betrokkenen of een gerechtvaardigd belang.
Hoe dan ook noem deze grondslag in het overzicht. Alle grondslagen zijn in de AVG terug te vinden.
Zie modellen verwerkingsregisters, opgenomen in het programma.
4. Data protection impact assessment ((D)PIA) = Gegevensbeschermingeffectbeoordeling
Dit is een instrument om vooraf de privacy risico’s in kaart te brengen. Vervolgens kunnen er maatregelen worden genomen om deze risico’s te verkleinen. Dit is met name vereist bij profilering van gegevens en bij verwerking van bijzondere categorieën van gegevens op grote schaal.
Als uiteindelijk blijkt dat de risico’s van de schending van privacy bij de verwerking groot is en dat deze ondanks een (D)PIA niet verklaard kunnen worden dat dient u met de Autoriteit Persoonsgegevens overleg te weren voordat u uw verwerking start. U ontvangt dan een schriftelijk advies.
Er is een volledige (D)PIA-procedure bij het programma opgenomen.
5. Privacy bij design + Privacy bij default
Privacy bij design betekent dat u bij het ontwerpen van uw diensten en produceren al ervoor zorgt dat de persoonsgegevens goed beschermd zijn.
Privacy bij default betekend dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
Bv: als u een app aanbiedt dient u de locatie van de gebruikers niet te registreren
of
als iemand zich abonneert op een nieuwsbrief dan dient u niet meer gegevens rrfr te vragen dan nodig zijn.
6. Functionaris Gegevensbescherming (F.G.)
Onder de AVG kunnen organisaties verplicht zijn om een F.G. aan te stellen. Uit de wet valt op te maken voor welke organisaties dit geldt waarover straks meer.
7. Meldplicht Datalekken
De AVG stelt strenge eisen aan de registratie van de datalekken die zich binnen uw organisatie hebben voorgedaan. U dient deze allemaal te documenteren net als alle verwerkingen. Dit in een zogenaamd “register datalekken”.
Als model is zo’n register bijgevoegd bij het programma.
Deze registratie kan op een eenvoudige wijze met onder andere vermelding van datum en aard van lek, een reactie hierop (eventueel contact AP) en namen van betrokkenen worden opgenomen in een eenvoudig schema.
8. Verwerkersovereenkomst
Maak bij alle uitbesteding van gegevensverwerking een “verwerkersovereenkomst” op. Let op bewerker wordt in de AVG-verwerker genoemd.
Check of het overeengekomen nog steeds volledig is. Anders dient het aangepast of aangevuld te worden.
Zie modellen verwerkersovereenkomst.
9. Leidende Toezichthouder
Heeft uw organisatie meerdere vestigingen in meerdere EU-staten dan moet u als bedrijf de leidende toezichthouder, oftewel de leidende AP, in een bepaald land waar uw bedrijf gevestigd is, aanwijzen.
10. Toestemming
De AVG is streng met toestemming van betrokkenen. Voor niet alle maar veel gegevensverwerkingen heeft u toestemming van betrokkenen nodig.
Je moet kunnen aantonen dat er een geldige toestemming is van de betrokkenen om zijn persoonsgegevens te verwerken. Leg wijze en moment van het geven van toestemming vast.
Dit kan als rubriek worden opgenomen het overzicht verwerkingen (zie III)
Het kan eveneens vastgelegd worden in een zogenaamd algemeen intakeformulier.
Zie het model formulier toestemming gegevensverwerking
Al uw activiteiten met persoonsgegevens vallen al snel onder de nieuwe privacywet. Het centrale begrip “persoonsgegevens” is veel breder geworden. Naast bestanden met namen, adressen etc. vallen nu ook gegevens gekoppeld aan IP-adressen, Mac-adressen, cookies etc. onder de wet. Bijvoorbeeld: als u weet hoe de persoon heet achter een cookie dan dient u deze gegevens te behandelen als privacygevoelig.
De privacyverklaring opgenomen op uw website van uw bedrijf (bijvoorbeeld als aanvulling op uw algemene voorwaarden) moet in eenvoudige taal geschreven zijn en daarmee zeer transparant. U dient volledig uit te leggen wat u doet met de persoonlijke gegevens. Bovendien dient u klanten of betrokkenen te wijzen op de mogelijkheden van aanpassen, inzien of zelfs vernietigen of verwijdering van de gegevens.
Tot slot dient u uw klanten te wijzen op de mogelijkheden tot het indienen van een klacht bij de centrale Toezichthouder: de A.P.
Voorbeelden van privacyverklaringen zijn bijgevoegd . Zorg ervoor dat u bij het opstellen van uw privacyverklaring de belangrijkste bestanddelen opneemt.
Alle datalekken en verwerkingen van persoonsgegevens moeten gedocumenteerd worden op een door u zelf te kiezen wijze. Er dient vermeld te worden welke gegevens verwerkt worden en met welk doel. Eveneens dient u aan te geven in het verwerkingsregister hoe alles verwerkt wordt.
Met al uw leveranciers en afnemers dient een overeenkomst gemaakt te zijn over de specifieke afspraken met betrekking tot de omgang met de gegevens.
Let op!: Als u een deel van uw diensten uitbesteedt waarbij persoonsgegevens gemoeid zijn dient u eerst toestemming te hebben van uw klant.
Zitten er mogelijk risico’s aan het verwerken van gegevens dan dient u een (D)PIA te verrichten. Deze test is opgenomen in ons programma.
Valkuilen en aandachtspunten:
- Verzamel zo weinig mogelijk privacygevoelige informatie en zo wel gooi deze dan weer zo snel mogelijk weg.
(Bewaar bv. nooit een kopietje van een paspoort voor het overnemen van de gegevens.)
- Al uw software en aanverwante diensten moeten rekening kunnen houden met de privacy. Informeer bij aanschaf hier goed naar. Zorg ervoor dat u gecertificeerd materiaal koopt waarbij met privacy garantie rekening is gehouden. De gehanteerde en geaccepteerde norm is ISO 217001. Ook dienen alle standaardinstellingen van een dienst zo privacy vriendelijk mogelijk te zijn.Informeer bij aanschaf voor deze privacy garantie naar de thermen zoals hiervoor al genoemd: Privacy bij Design en Privacy bij Default.
- Uw beveiliging moet op orde zijn en blijven. Denk aan het cruciale van encryptie, tweefactoren authenticatie. Regelmatig dient door de daartoe gecertificeerde bedrijven en personen uw ICT-systeem worden onderzocht op mogelijke risico’s.
N.B. Kijk in het kader van de beveiliging uit met gebruikmaking van vingerafdrukken of biometrie als toegangsbeveiliging.
Dit ligt heel gevoelig bij de AVG omdat deze gegevens een streng beschermingsregime hebben.
De uitgangspunten en beginselen van de AVG.
Indeling AVG in hoofdstukken:
Hoofdstuk 1: Algemene bepalingen
Hoofdstuk 2: Beginselen
Hoofdstuk 3: Rechten van betrokkenen
Hoofdstuk 4: Plichten van Verwerkingsverantwoordelijke en Verwerker
Hoofdstuk 5: Doorgiften van persoonsgegevens aan derde landen of internationale grgrgrgrgrgr organisaties
Hoofdstuk 6: Onafhankelijke Toezichthoudende Autoriteiten
Hoofdstuk 7: Samenwerking en Coherentie
Hoofdstuk 8: Beroep, Aansprakelijkheid en Sancties
Hoofdstuk 9: Bepalingen i.v.m. specifieke situaties op het gebied van gegevensverwerking
Hoofdstuk 10: Gedelegeerde handelingen
Hoofdstuk 11: Slotbepalingen
De gehele verordening 2016/679 (De AVG) kun u geheel doorlezen via de link aangegeven op de website.
Het is overbodig te zeggen dat het (meerdere malen) doornemen van deze wet van belang is voor het begrijpen voor al ditgeen waarover we hier spreken.
Om het enigszins doorzichtig te houden zal ik hieronder aangeven welke hoofdstukken en welke artikelen daaruit van essentieel belang zijn voor de AVG-inrichting van een kleine of middelgrote onderneming:
Hoofdstuk I, artikel 1 t/m 4, de algemene bepalingen zijn van essentieel belang. Met name artikel 4 met definities is essentieel om te kennen als het gaat om verwerking van persoonsgegevens en de rol van de verschillende partijen daarbij.
Hoofdstuk II, artikel 5 t/m 11 geven de essentiële beginselen van verwerking weer. Het gaat om rechtmatigheid en voorwaarden voor verwerking.
Let daarbij ook op artikel 9 waarin de verwerking van bijzondere categorieën van persoonsgegevens worden besproken.
Hoofdstuk III, artikel 12 t/m 23. Deze geven de rechten aan van de betrokkenen oftewel van de persoon wiens gegevens worden verwerkt.
Deze artikelen zijn voor u van zeer groot belang. Deze dient u als het ware uit uw hoofd te kennen.
Als het hier fout gaat zitten we meteen in de klachten- en mogelijk sanctiesfeer.
Hoofdstuk IV, artikel 24 t/m 43 geven de verplichtingen weer voor u als verwerkingsverantwoordelijke en verwerkers waar u mee samenwerkt.
Hiervoor geldt hetzelfde als het vorige hoofdstuk. Deze dient u als het ware uit uw hoofd te kennen. Als het hiermee misgaat kan dit eveneens leiden tot klachten en sancties.
In dit hoofdstuk wordt o.a. gesproken over beveiliging van de verwerking (Art.32), hoe te handelen bij een datalek (Art. 33), de overweging of noodzaak voor het verrichten van een PIA oftewel gegevensbeschermingeffectbeoordeling (Art. 35), als ook de aanwijzing en taken van een Functionaris Gegevensbescherming (Art. 27 e.v.)
Tot slot wordt de regelgeving rondom gedragscodes en certificering besproken die van belang zijn voor verwerkingsverantwoordelijke waarvan u er, met uw onderneming, een bent.
Hoofdstuk VI, artikel 51 t/m 59 geven de rol en bevoegdheden weer van de leidinggevende autoriteit, in Nederland de Autoriteit Persoonsgegevens.
Dit is de hoogste instantie aangaande de AVG die de ontwikkeling van de verordening in de gaten blijft houden en deze zo nodig middels jurisprudentie en aanwijzingen zal toelichten en uitleggen. Het interpreteren zal in ontwikkeling blijven. De wet zal op punten over 5 of 10 jaar anders uitgelegd worden dan nu.
Het is ook de instantie waar alle meldingen van datalekken terechtkomen en de instantie die alle klachten behandeld en zo nodig sanctioneert.
In hoofdstuk VII, artikel 77 t/m 84 is alles specifiek neergelegd aangaande klachten en daarmee recht op schadevergoeding en aansprakelijkheid.
De hierboven weergegeven specifieke hoofdstukken en artikelen van de AVG zijn voor u als ondernemer van belang om uw bedrijf zo in te richten, waarbij de nieuwe Europese privacywetgeving in hoog aanzien staat en zeer serieus wordt genomen. Nogmaals AVG-proof bestaat niet maar de lat hoog leggen is natuurlijk een must.
De wetgeving AVG in inleidende vorm:
Ik zal hieronder de belangrijkste artikelen van de AVG weergeven op een dusdanige wijze dat door de bomen het bos nog wel gezien kan worden.
Dit betekent dat ik in de opsomming het aantal artikelen zo beperkt mogelijk zal houden en de uitleg daarvan summier maar voldoende.
U heeft de kennis en het begrip ervan nodig in de praktijk en zo zal ik het dan ook behandelen. Daarom hiervoor een indeling van de hoofdstukken van de verordening.
Een complete verordening is in zijn databeleid bijgevoegd als bijlage 1.
De algemene bepalingen
De eerste belangrijke bepaling betreft artikel 4 waarin nauwkeurige definities zijn weergegeven van de belangrijkste begrippen waarmee we binnen de AVG van doen hebben.
U kunt aan de hand van deze gedetailleerde omschrijvingen exact uitmaken wat bijvoorbeeld wordt verstaan onder persoonsgegevens en verwerking hiervan.
Want hier gaat het natuurlijk om in de privacybescherming.
Om welke gegevens gaat het eigenlijk. Dit zijn er veel meer dan waar je in eerste instantie aan denkt. Bestudeer hiervoor Art. 4 lid 1 AVG
Daarnaast wordt in dit artikel nauwgezet uiteengezet wat bewerken of verwerken nu allemaal voor behandelingen kunnen zijn. Dit is wat uiteindelijk ook weergegeven dient te worden in een overzicht en opgenomen dient te worden in het verwerkingsregister. Zie hiervoor artikel 4 lid 2 AVG en bijlage 3.
Van dit artikel zijn ook de leden 7,8 en 9 van groot belang. Wie is de verwerkings- verantwoordelijke, wie de verwerker en wie ontvanger. Het verschil tussen deze rollen kan bij een aansprakelijkheidskwestie van groot belang zijn.
Dan wil ik wijzen op de leden 16 tot en met 19 die van belang zijn voor grote ondernemingen die in verschillende (EU) landen zijn gevestigd.
De uitgangspunten en beginselen van de AVG zijn opgegrond in artikel 5.
Als je gegevens verwerkt moet je namelijk kunnen aantonen dat je voldoet aan de voorschriften van de AVG die in elk EU-land gelden.
Het gaat hierbij om transparantiebeginsel, doelbinding, noodzakelijkheidsbeginsel, juistheidsbeginsel, proportionaliteitsbeginsel en subsidiariteitsbeginsel.
Allemaal tezamen gaat het om de accountabiliteit en auditabiliteit van een onderneming.
In met name de leden a tot en met d van artikel 5 wordt aangegeven waaraan het verwerken van persoonsgegevens dient te voldoen.
De rechtmatige verwerking van gegevens
Dit is in artikel 6 en 7 van de AVG opgenomen:
Het gaat om toestemming van de betrokkene, wettelijke plicht, bescherming van vitaal belang, taak in het kader van algemeen belang of openbaar gezag en gerechtvaardigd belang.
Artikel 7 benoemd de voorwaarden voor de toestemming voor het verwerken van persoonsgegevens. Het gaat om de toestemming van de betrokkene die ondubbelzinnig moet zijn. Het recht van intrekking van de toestemming komt in lid 3 aan de orde.
Als ondernemer kan je tijdens het eerste (intake) gesprek met een nieuwe klant meteen de toestemming van echt verwerkingen van de persoonsgegevens voor het doel waarvoor de klant bij je is gekomen vast laten leggen in een simpel overeenkomstje of digitale akkoordverklaring toevoegen aan het verwerkingsregister formulier waar sowieso al persoonsgegevens worden opgenomen.
Neem in je eigen intakeformulier bijvoorbeeld op:
“ Akkoordverklaring voor verstrekking persoonsgegevens i.v.m. de te verlenen diensten/ te voeren procedure” met daaronder datum, plaats en handtekening. Dit is formeel voldoende m.b.t. de toestemming voor dat doel.
Er bestaat een bijzondere categorie van persoonsgegevens en de verwerking hiervan. Deze staan opgesomd in Art. 9 AVG
In lid 1 staat welke persoonsgegevens in ieder geval niet verwerkt (opgenomen) mogen worden. Dit betreft gegevens zoals ras, religie, politieke opvullingen en seksuele geaardheid.
Uiteraard mag dit dan weer wel opgenomen worden als de betrokkene hier zelf toestemming voor geeft danwel dat dit noodzakelijk is ter bescherming van diverse belangen. Het artikel is gedetailleerd en uitgebreid.
Vanaf artikel 12 AVG gaat het over de rechten van de betrokkenen. Dit is degene die de persoonsgegevens verstrekt aan de verwerkersverantwoordelijke. U dus.
De rechten van de betrokkenen worden uiteengezet in de artikelen 12 tot en met 22
Bij deze artikelen gaat het om het recht op informatie, recht van inzage, recht van rectificatie of het wissen, recht om vergeten te worden, recht op beperking van de verwerking, recht op dataportabiliteit en recht van bezwaar.
Vanaf artikel 24 tot en met 30 AVG wordt melding gemaakt van verplichtingen van verwerkingsverantwoordelijke en verwerker.
Als verplichting voor de verwerkingsverantwoordelijke staat artikel 24 AVG centraal:
Als verwerkingsverantwoordelijke dien je te zorgen voor passende organisatorische en technische maatregelen binnen het bedrijf waardoor de bescherming van de persoonsgegevens waarmee gewerkt wordt past binnen de normering en regelgeving van de AVG. Als je als verwerkingsverantwoordelijk voldoet aan de organisatorische passende eisen van artikel 24 dan kun je stellen dat u niet alleen aan de voor u in de wet gestelde gerelateerde verplichtingen voldoet maar dat er tevens wordt tegemoetgekomen aan alle rechten van de verstrekker van de gegevens . Als u als verantwoordelijke ook de juiste en passende technische maatregelen heeft genomen ter bescherming van de gegevens dan zullen een Datalek en Hacking van de opgeslagen gegevens u niet treffen.
Omdat dit een heel scala aan onderzoeken , controles en daarna aanpassingen betreft is dit, als het door een aangestelde persoon hiervoor uitgevoerd wordt , een ingewikkeld en langdurig traject om dit geheel en juist in beeld te brengen.
Ons programma is er op gericht om met een lange lijst van vragen waar slecht ja of nee op beantwoord dient te worden dit complexe proces enorm te optimaliseren en enorm te verkorten. Er wordt veel tijd en daardoor geld gewonnen.
Bij de volledige check van ons programma wordt uitgebreid in kaart gebracht waar het bedrijf zowel organisatorisch als technisch staat. Vervolgens wordt aangegeven in een score wat er nog dient te gebeuren op zowel organisatorisch als technisch gebied om AVG proof en Datalekvrij beoordeeld te kunnen worden.
Alle verplichte registers, verklaringen , procedures en overeenkomsten worden aangereikt waardoor u ze direct in uw werkomgeving kunt opnemen waarmee u onmiddellijk een start maakt met het proces om de regelgeving van de AVG optimaal na te leven.
Hieronder valt ook de check van de technische veiligheid die ook onder de verplichting van de AVG valt. Immers Datalekken en Hacking van de te beschermen gegevens wordt u aangerekend als het technische gedeelte van de werkomgeving onvoldoende op orde is. Hierdoor krijgt u van de Autoriteit Persoonsgegevens een boete , beginnend bij 60.000 euro opgelegd , als blijkt dat uw omgeving onvoldoende veilig was en het Lek daardoor alleen al aan u te wijten is. De Boetes kunnen, afhankelijk van de omvang van het Lek en de onvoldoende veiligheid van uw hard- en software oplopen tot 4% van de totale jaar omzet van het bedrijf.
Nog even wat aandacht voor een aantal benoemde verplichtingen welke u heeft:.
Denk aan de verplichtingen zoals: verbod op profilering, meldplicht datalekken, privacy bij design en bij default en denk aan de eventuele (D)PIA.
Op de overtreding van dit alles kunnen sancties (waaronder financiële) opgelegd worden aan de verwerkersverantwoordelijke.
Nogmaals een van de allerbelangrijkste verplichtingen is het bijhouden van het register van verwerkingen. Dit in het kader van de zogenaamde documentatieplicht.
Je mag dit register opstellen en richten naar eigen welbevindingen en in het licht van de bedrijfsvoering of de te verlenen diensten. Wij bieden modellen verwerkingsregister ( met toelichting) aan welke u zo kunt opnemen in uw omgeving.
Het verwerkingsregister dient de volgende rubrieken, in ieder geval, te bevatten:
- Naam + andere noodzakelijke gegevens betrokkene. Noem categorie betrokkene en categorie persoonsgegevens.
- Contactgegevens verantwoordelijke, verwerker en F.G. Functionaris Gegevensbescherming (indien verplicht). De aanstelling van een F.G. is in ieder geval verplicht voor overheidsorganisaties en publiekrechtelijke organen. Daarnaast bij grote bedrijven die veel gegevens verwerken zeer raadzaam.
- Verwerkingsdoeleinden
- Categorieën ontvangers
- Doorgifte naar andere organisaties
- Technische en organisatorische beveiligingsmaatregelen
- Contactgegevens verwerker en iedere verantwoordelijke waarvoor verwerker handelt.
- Contacten A.P. (Autoriteit Persoonsgegevens)
De procedure Datalekken (Art 33 t/m 36 AVG)
Naast de plicht tot blijven actualiseren van het verwerkingsregister heb je als gegevensverantwoordelijke de plicht tot het opstellen van een procedure voor het melden van datalekken. Als voorbeeld is het model en de procedure datalekken bijgevoegd .
Elke organisatie die persoonsgegevens opslaat, is verplicht datalekken te melden binnen 72 uur na ontdekking. Om dit zorgvuldig te doen is het handig vooraf procedures af te spreken zie hiervoor ook de bijgevoegde procedure.
Wat is een datalek:
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, een gestolen geprinte ledenlijst of cliëntgegevens.
Er moet in kaart gebracht worden wat de gevolgen zijn voor de personen van wie de persoonsgegevens gelekt zijn. Dit gebeurt door de F.G. Deze doet een melding bij de A.P.
Meldingen kunnen digitaal gedaan worden bij het meldloket van de Autoriteit Persoonsgegevens:
http://datalekken.autoriteitpersoonsgegevens.nl
Ook het register datalekken kan vormvrij worden opgesteld zolang het maar aan alle relevante rubrieken zoals ook: datum, tijdstippen, aard van de lek, omvang van het lek en namen van de betrokkene medewerkers bevat.
Een ander belangrijke verplichting voor de gegevensverantwoordelijke is het vastleggen van de diverse data in een schema. Wie binnen het bedrijf verantwoordelijk is voor het vastleggen van de data, op welke computer de data is opgeslagen en op welke wijze de data is opgeslagen en op welke wijze deze computer is beveiligd tegen virussen en hacken.
Zorg dat de betreffende data maar op één computer of één systeem staat. Verspreiden van dezelfde data over verschillende computers of systemen wordt gezien als datalekken (ook door eigen medewerkers).
Om personen toegang te geven tot gegevens moeten procedures worden opgesteld.
Let op. Met externe gebruikers van de bestanden (b.v. drukkers, verspreiders van nieuwsbrieven en koepelorganisaties) moeten overeenkomsten worden opgesteld voor
het gebruik van de gegevens. Dit is de zogenaamde verwerkersovereenkomst welk als model is bijgevoegd.
In deze verwerkersovereenkomsten moeten ook weer afspraken gemaakt worden over het vernietigen van de gegevens na gebruik. Als niet alles goed is vastgelegd en verwerkt kunnen verwerkers maar ook verantwoordelijke daarop worden aangesproken.
Als de gegevensopslag risico loopt kun je kiezen voor het verrichten van een (D)PIA = Privacy Impact Assessment.
Hierbij breng je in beeld wat de gevolgen zijn van het verzamelen van persoonsgegevens voor de betrokken personen zelf.
Deze (D)PIA dient in ieder geval verricht te worden indien:
- Met de persoonsgegevens systematisch persoonlijke aspecten worden geëvalueerd
- Op grote schaal bijzondere gegevens worden verwerkt.
- Personen gevolgd worden in een publieke ruimte (b.v. door cameratoezicht).
Zie voor de wetgeving datalekken artikel 35 en 36 AVG.
De procedure gegevens risico-analyse en DPIA komt u tegen in onze software. Dit geldt ook voor een procedure cameratoezicht.
De Functionaris Gegevensbescherming (Art 37 tot en met 39 AVG)
Een F.G. is verplicht voor een overheidsorganisatie of overheidsorgaan danwel voor organisaties die persoonsgegevens analyseren en profileren alsook bij organisaties waar bijzondere persoonsgegevens worden opgeslagen.
Toch is het ook zonder verplichting, voor een grotere organisatie het wel verstandig een F.G. aan te stellen. Dit is dan de persoon binnen een bedrijf of onderneming die blijft checken of de voorschriften van de AVG goed worden uitgevoerd.
De F.G. is de centrale persoon die alle persoonsgegevens intern beheert. De F.G. heeft zeggenschap over de bestanden en legt verantwoording af aan de verantwoordelijke beheerder, meestal het bestuur. De F.G. beslist in opdracht van het bestuur hoe de bestanden worden opgeslagen en over de procedures over de naleving van de AVG. De F.G zorgt ook dat de medewerkers in het kader van de AVG juist worden begeleid of opgeleid.
De F.G. zorgt verder dat de virusscan op orde is en dat de computer beschermd is tegen hacken, en dat er privacy veilige programmatuur wordt gebruikt. De FG kan en zal dankbaar gebruik maken van ons programma omdat dit zijn overzicht en de te nemen maatregelen enorm versneld en optimaliseert.
De verplichte FG of Privacy Officer heeft vele taken en verantwoordelijkheden die nog accurater uitgevoerd kunnen worden als het resultaat van onze check hiervoor als uitgangspunt ter beschikking heeft. Het zal hem/ haar heel veel tijd besparen en zijn uitgebreide takenpakket kan nog optimaler worden uitgevoerd.
Als u een kleinere onderneming heeft waarbinnen geen FG verplicht is optimaliseert het programma de AVG proof en Datalekvrije omgeving.
De constateringen van de check en de daarop volgende aanwijzingen hoeven alleen maar uitgevoerd te worden. Kennis van de wet is daarvoor niet noodzakelijk.
- Een F.G. handelt in opdracht van de verantwoordelijke.
- Een F.G. is verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die zij verwerken.
- Een F.G. neemt passende technische en organisatorische beveiligingsmaatregelen met passend beschermingsniveau.
- Een F.G. moet een uitgebreide kennis hebben omtrent de informatiesystemen en het type data die zij verwerken.
- Een F.G. stelt de verantwoordelijke onmiddellijk op de hoogte van een datalek. Dit betekent binnen 72 uur na de ontdekking van het lek = Wet Meldplicht Datalekken.
- Een F.G. is verplicht zijn medewerking te verlenen aan verzoeker van de Autoriteit Persoonsgegevens.
- Een F.G. moet in bepaalde gevallen een (D)PIA uitvoeren. Dit bij profilering en het opslaan van bijzondere gegevens en het opslaan van camerabeelden waar personen op te zien zijn.
De taken van een F.G. zijn volgens de AVG samengevat:
- Informeren en adviseren
- Toezien op de naleving van de verordening
- Met de A.P. samenwerken
- Het uitvoeren van een (D)PIA
- Optreden als contactpersoon tussen betrokkene en verantwoordelijke danwel betrokkene en A.P.
- Opleiden van het personeel voor de verwerking van persoonsgegevens in de lijn van de A.V.G
Tot slot is hoofdstuk 8 (Art. 77 AVG e.v.) van belang met betrekking tot sancties en aansprakelijkheid bij overtreding van de verplichtingen volgens de AVG.
Let op: Deze administratieve geldboete kan oplopen tot maximaal 4% van de totale wereldwijde jaaromzet in een voorgaand boekjaar van een (Europese) onderneming.
De belangrijkste bepalingen hieromtrent zijn opgenomen in Art. 83 lid 4 en 5.
Resumerend
Hiermee zijn voor de (kleinere) ondernemer de belangrijkste artikelen van de AVG aangestipt, waarmee de rechten van de betrokkenen en de plichten van de verantwoordelijken aan de orde zijn gesteld.
In de volgende hoofdstukken zal op diverse onderwerpen uit de AVG-wetgeving, die in direct verband staan met de Privacywetgeving, nader worden ingegaan en zullen deze meer specifiek worden toegelicht.
De AVG verder uitgewerkt:
Hoofstuk 1: Algemene bepalingen en beginselen:
De verordening van de Europese Unie is er ter bescherming van de grondrechtelijke en fundamentele vrijheden van natuurlijke personen en dan met name het recht op bescherming van hun persoonsgegevens.
Kort gezegd in Art. 1 lid 1 AVG:
Het betreft de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens
én
betreffende het vrije verkeer van persoonsgegevens.
In lid 2 wordt de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen vastgelegd.
In lid 3 wordt aangegeven dat het vrije verkeer van persoonsgegevens in de Europese Unie aan regels is gebonden.
Lees in de definities bij artikel 4 nauwkeurig wat met persoonsgegevens wordt bedoeld, want daarmee begint het hele verhaal:
Het betreft alle informatie over een geïdentificeerd of identificeerbaar natuurlijke personen. Het gaat om persoonsgegevens die geautomatiseerd (geheel of gedeeltelijk) zijn verwerkt danwel die in een (ander) bestand zijn opgenomen.
Het gaat om gegevens die herleidbaar zijn tot een natuurlijk persoon (direct of indirect) o.a. een naam, een identificatienummer of locatiegegevens.
Het gaat om informatie die kenmerkend is voor de fysieke, fysiologische, genetische, psychische, economische, culturele, of sociale identiteit van een natuurlijk persoon. Zo wordt het nauwkeurig in Art 4 lid 1 AVG geformuleerd.
Daarnaast is het essentiële element het verwerken van herleidbare persoonsgegevens van natuurlijke personen.
Wat verwerking is wordt bepaald in Art 4. lid 2: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen of raadplegen, gebruiken of verspreiden, wissen of vernietigen van persoonsgegevens.
Dit zijn allemaal vormen van het verwerken van persoonsgegevens als deze informatie kenmerkend is en herleidbaar is tot de identiteit van een natuurlijk persoon.
In deze gevallen vallen al deze handelingen onder de rechten en vooral verplichtingen zoals ze in de AVG zijn opgenomen.
De AVG wenst dat al deze handelingen die in de loop der tijd plaatsvinden met de persoonsgegevens in het verwerkingsregister worden opgenomen. Op deze wijze kan altijd gecontroleerd worden wanneer wat met de gegevens is gedaan.
Als voorbeeld: Stel een werkgever van vrachtwagenchauffeurs legt de ritten vast van zijn werknemers met een camera die in de cabine is geplaatst. Hij verantwoordt dit later te hebben gedaan in het kader van de verkeersveiligheid. Heeft de werkgeven met deze handeling iets te maken met de bepalingen van de AVG.
Ja. Immers het vastleggen van de cabine en vooral een deel van het gezicht van de chauffeurs is het verwerken van gegevens dat herleidbaar is tot een specifieke persoon.
Deze verwerking volgens Art. 4 lid 2 maakt de werkgever verwerkersverantwoordelijke volgens Art 4 lid 7.
Had hij dit zomaar ( zelfs in het kader van de verkeersveiligheid) mogen doen?
Verwerking van persoonsgegevens dient een gerechtvaardigde grondslag te hebben.
Als hij voor zijn handelen geen toestemming aan zijn werknemers heeft gevraagd heeft hij gehandeld in strijd met Art.5 en 6 AVG.
Een verwerking is slechts dan rechtmatig als er toestemming voor is gegeven.
(Art. 6 lid 1 a)
Danwel dat het noodzakelijk is voor de uitvoering van een overeenkomst of om te voldoen aan een wettelijke verplichting (Art. 6 lid 1 b en c).
Danwel dat het noodzakelijk is om vitale belangen of het algemeen belang te beschermen (Art.6 lid 1 d en e).
In dat geval had er toestemming moeten worden gegeven door de chauffeurs voor het filmen in de cabine. Nu dit niet gebeurd is en door het filmen de beelden herleidbaar zijn tot een natuurlijk persoon is er gehandeld in strijd met de bepalingen van de AVG.
Wat betreft de toestemming moet je als verwerkersverantwoordelijke ook nog kunnen aantonen dat de betrokkene toestemming heeft gegeven. (Art 7. lid 1)
Zorg dus altijd dat je de toestemming niet alleen mondeling ontvangt maar ook schriftelijk vastlegt.
Daarbij heeft de betrokkene bovendien ook nog het recht om nadien zijn toestemming weer in te trekken (Art. 7 lid 3)
Als het om toestemming van personen jonger dan 16 jaar gaat is een verwerking van deze persoonsgegevens slechts rechtmatig voor zover de toestemming voor verwerking van de gegevens middels toestemming of machtiging tot toestemming wordt verleend door de persoon die de ouderlijke verantwoordelijkheid draagt voor het kind. (Art. 8 lid 1)
Dan kent de AVG ook de zogenaamde bijzondere persoonsgegevens:
Dit betreft gegevens aangaande ras, religieuze of levensbeschouwelijke overtuiging, genetische gegevens of gegevens aangaande seksueel gedrag of geaardheid (Art.9 AVG).
De verwerking van deze gegevens zijn verboden tenzij:
- De betrokkene hiervoor nadrukkelijk toestemming heeft gegeven.
- Indien het voor de verwerkingsverantwoordelijke noodzakelijke is i.v.m. uitvoering van bepaalde rechten.
- Het noodzakelijk is i.v.m. de bescherming van de vitale belangen van de betrokkene of in het algemeen belang of belang van de volksgezondheid.
Het komt er samenvattend op neer dat uitvoeringsorganen van de overheid in het kader van specifieke wetgeving, gezondheidsinstellingen in het kader van de volksgezondheid en daarmee algemeen maatschappelijk belang en wetenschappelijke onderzoekers eveneens vanuit het oogpunt van maatschappelijk belang, een beroep kunnen doen op de uitzondering, genoemd in Art. 9 AVG om wel tot verwerking van de bijzondere persoonsgegevens over te mogen gaan.
Let wel: Na een gerechtvaardigde doorbreking van het verbod tot verwerking van bijzondere gegevens, moet er wel altijd een gerechtvaardigde grondslag voor de verwerking aanwezig zijn.
Rechten van betrokkenen
Deze worden weergegeven in de artikelen 12 tot en met 23 van de AVG.
De verwerkingsverantwoordelijke is verplicht om de wijze van de verwerking van persoonsgegevens op een transparante, begrijpelijke en eenvoudige wijze te communiceren aan betrokkene (Art.12 AVG).
Bovendien dient er voor de betrokkene het recht van inzage te bestaan. Na een dergelijk verzoek dient de verwerker binnen een maand aan te voldoen. Zo niet dan kan er een klacht bij de A.P. of de rechter worden ingediend.
Als volgens de verwerkingsverantwoordelijke het verzoek kennelijk ongegrond is of buitensporig van aard dan dient de verantwoordelijke dit aan te tonen
(Art.12 lid 5 AVG).
De verantwoordelijke dient de betrokkene, bij de verkrijging van de persoonsgegevens heel wat informatie te verschaffen. Dit alles is weergegeven in Art. 13 AVG.
In ieder geval dienen de identiteit en contactgegevens van de verantwoordelijke en zo ook van de Functionaris Gegevensbescherming verstrekt te worden. Ook dienen de doelen van de verwerking van de gegevens genoemd te worden.
Er dient een transparante verwerking gewaarborgd te worden:
- Zo moet de periode van opslag genoemd worden.
- Dient gewezen te worden op het recht van inzage of wissing.
- Er moet op gewezen worden een klacht te kunnen indienen bij de A.P.
- Wanneer de verantwoordelijke het voornemen heeft de persoonsgegevens verder te verwerken voor een ander doel dan dient de verantwoordelijk vóór die verdere verwerking over dat ander doel de betrokkene te informeren.
Het recht van inzage van de betrokkene is verder uitgewerkt in artikel 15 AVG.
Het gaat inzage o.a. in:
- De verwerkingsdoeleinden.
- De betrokkenen categorie van gegevens.
- Inzicht in alle ontvangers van de gegevens.
- De periode van opslag.
- Wijzen op het recht tot indienen van klacht
Een voorbeeld van een procedure inzagerecht van betrokkenen is bijgevoegd.
In artikel 16 en 17 is het recht van rectificatie en zelfs wissing van de gegevens weergegeven.
Op deze rechten kan de betrokkene eveneens aanspraak maken. Zo zijn de mogelijkheden van wissing weergegeven in artikel 17 a/f.
Deze belangrijkste reden tot wissing zijn o.a. wanneer de gegevens gebruikt zijn voor een ander doel dan aangegeven danwel dat de persoonsgegevens onderling (b.v. zonder toestemming) zijn verwerkt.
In Art. 20 is het recht van overdraagbaarheid van gegevens geformuleerd. In de praktijk van alledag is dit een belangrijk recht van een betrokkene:
De betrokkene heeft het recht om zijn persoonsgegevens die hij verstrekt heeft aan een verantwoordelijke in een gestructureerde vorm te verkrijgen en over te dragen aan een andere verantwoordelijke zonder daarbij gehinderd te worden.
De bepalingen van bovengenoemde rechten van de betrokkene zijn weergegeven in artikel 23 AVG. De belangrijkste beperkingen zijn gelegen binnen de nationale veiligheid en binnen het doorkruisen van civiele en strafrechtelijke procedures.
Verplichtingen verantwoordelijke
De verplichtingen van u als ondernemer en daarmee verwerkingsverantwoordelijke van persoonsgegevens zijn weergegeven in art 24 tot en met 43 AVG.
Onder de AVG is de verantwoordelijke verplicht om passende en efficiënte maatregelen uit te werken welke maatregelen moeten kunnen worden aangetoond.
Verantwoordelijkheid en aansprakelijkheid dient per verwerking te worden vastgesteld.
Richtsnoeren ter bepaling van passende maatregelen hebben betrekking op:
- Goedgekeurde gedragscodes
- Goedgekeurde certificeringen
- Aanwijzingen van de Functionaris Gegevensbescherming
- Een (D)PIA oftewel een gegevensbeschermingeffectbeoordeling
Er moet in de interne huishouding sprake zijn van:
- Een overzicht en inzicht in alle gegevensverwerkingen in het register.
- Regels conformiteit = compliance
- Er moet door de verantwoordelijke verantwoordelijkheid kunnen worden afgelegd = accountability
- Er is een actieve en passieve informatieplicht.
- De rechten van betrokkene dienen ingewilligd te worden.
- Er dient sprake te zijn van een passende beveiliging (passende technische en organisatorische maatregelen) (Art. 24 AVG)
- Er is een meldplicht bij datalekken.
- Er dient bij een groot gegevensbestand een (D)P.I.A.-controle plaats te vinden.
In Art. 28 AVG worden alle verplichtingen van de verwerker/verwerkersverantwoordelijke nauwgezet gespecificeerd.
Hierin wordt gesproken over passende technische en organisatorische maatregelen/ en/ verwerkersovereenkomsten.
Artikel 30 gaat nader in op de inrichting van het verwerkingsregister. Aan de hand van dit artikel kan dit register door iedere ondernemer op zijn computer ingericht worden.
Het register dient o.a. de volgende gegevens te bevatten:
- Naam van verwerkingsverantwoordelijke en F.G.
- De verwerkingsdoeleinden.
- Beschrijving van de categorieën van betrokkene en persoonsgegevens.
- De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt.
- De termijnen waarbinnen de gegevens moeten worden gewist.
In Art. 30 lid 2 houdt de verwerker een register van alle categorieën van verwerkingsactiviteiten die er door de verwerkingsverantwoordelijke zijn verricht. Dit register bevat o.a. de volgende gegevens:
- Naam en contactgegevens werknemers.
- Categorieën van verwerkingen die zijn uitgevoerd.
- Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
De wijze van beveiliging is weergegeven in artikel 32 AVG.
De verwerkingsverantwoordelijke en verwerker treffen passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen.
Dit betreft:
- Pseudonimisering en versleuteling van persoonsgegevens.
- Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.
- Het vermogen om bij een fysiek of technische mankement de beschikbaarheid van en de toegang tot de persoonsgegevens altijd te herstellen.
- Een procedure voor het op gezette tijden testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
Artikel 33 geeft de randvoorwaarden aan van een melding datalek.
Dit betreft o.a.:
- De melding dient uiterlijk binnen 72 uur plaats te vinden bij de A.P. (Art. 33 lid 1)
Bij de melding dient vermeldt te worden (Art. 33 lid 2):
- Aard van de inbreuk.
- Naam en contactgegevens van de F.G.
- De waarschijnlijkste gevolgen van de inbreuk.
- De maatregelen die de verwerkingsverantwoordelijke voorstelt.
Lid 3 geeft aan wanneer een melding van de datalek aan de betrokkene niet vereist is. De voorwaarden en vereisten van een gegevensbescherming beoordeling (P.I.A.) zijn weergegeven in artikel 35.
De (D)PIA-procedure is vereist bij een verwerking van persoonsgegevens waarbij er sprake is van een hoog risico van de bescherming van persoonsgegevens bij verwerking ervan.
Het is in ieder geval vereist in gevallen van profilering en ingeval van grootschalige verwerking van bijzondere categorieën van persoonsgegevens. (Art. 9 AVG)
De positie en taken van de Functionaris Gegevensbescherming wordt uitgewerkt in
Art. 37 tot en met 39 AVG.
In principe dient er alleen een F.G. aangewezen te worden ingeval van verwerking van gegevens door:
- Een overheidsinstantie of overheidsorgaan.
- Verwerking van gegevens door een organisatie waarbij voor de doeleinden van verwerking er stelselmatig observatie van betrokkenen is gemoeid.
- De verwerker is belast met grootschalige verwerking van bijzondere categorieën van gegevens.
In artikel 40 tot en met 43 worden de voorwaarden rondom gedragscodes en certificering uitgewerkt.
Deze verwijzen vooral naar de richtlijnen van het Europees Comité en Commissie waardoor er in heel Europa de uniformiteit van verwerking en beveiliging van persoonsgegevens gegarandeerd is.
Het Comité verzameld alle certificeringsmechanismen en merktekens en maakt deze openbaar.
Met name richtlijn 2016/1148 NIB: beveiliging netwerk en informatiesystemen is hierbij zeer relevant.
Men wil een Europese gemeenschappelijkheid om doeltreffend te kunnen reageren omdat de beveiliging een gemeenschappelijk belang is.
In het commentaar van de richtlijn gaat het vanaf punt 34 over de maatregelen voor een optimale veiligheid van de gebruikte systemen.
Het streven naar uniformiteit van de uitwerking van de AVG, als het gaat om regelgeving, risico’s waarborgen en rechten bij bescherming van persoonsgegevens worden gemonitord en bijgehouden door The European Data Protection Board. Dit was daarvoor ‘de Groep Gegevensbescherming’ oftewel “ Groep art. 29”.
Deze groep was opgericht o.g.v. Art. 29 van de richtlijn 95/46 E.G.
De groep is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en privacy.
Voor alle richtsnoeren van de Groep Art.29 zie:
http://ec.europa.eu/newsroom/article29/news.cfm?item
Tot slot wijs ik nogmaals op de bepalingen met betrekking tot sancties en boetes. Deze administratieve geldboete kan oplopen tot maximaal 4% van de totale wereldwijde jaaromzet in een voorgaand boekjaar van een (Europese) onderneming.
De belangrijkste bepalingen hieromtrent zijn opgenomen in Art. 83 lid 4 en 5 van de AVG.