
Privacy is momenteel dagelijks in het nieuws. Wat doen partijen als Facebook, LinkedIn met onze persoonsgegevens? Het loopt wellicht minder in het oog, maar eigenlijk iedere organisatie verwerkt persoonsgegevens. Wat betekent de nieuwe regelgeving voor u? Een praktisch stappenplan.
Persoonsgegevens zijn steeds meer waard in het digitale tijdperk. Ze worden ook steeds kwetsbaarder. Mensen moeten weten wie met hun gegevens op de loop gaat en hoe ze daar invloed op kunnen uitoefenen. Daarom zijn er regels voor organisaties die iets met persoonsgegevens willen doen. Die regels zijn vastgelegd in privacywetten. Dat is dus beschermingswetgeving, net zoals bij het arbeidsrecht en het huurrecht.
Is privacy nu een juridisch of een ICT-onderwerp? Het antwoord is: allebei. Een organisatie zal zowel op juridisch als op technisch vlak maatregelen moeten treffen, evenals op het vlak van bedrijfsprocessen. Denk bijvoorbeeld aan het afsluiten van verwerkersovereenkomsten, het opstellen van een datalekprotocol maar ook aan een technische inrichting van systemen en procedures waardoor zorgvuldig wordt omgegaan met persoonsgegevens.
Nieuwe privacyregels vanaf 25 mei 2018
Onze huidige Wet bescherming persoonsgegevens (Wbp) stamt uit 2001. Tot nu toe is de handhaving niet sterk geweest en niet veel mensen maakten zich er druk over. Maar op 25 mei 2018 wordt onze Wbp, net als de privacywetten in alle EU-landen, vervangen door de Algemene verordening gegevensbescherming, de AVG. Handhaving en toezicht (in Nederland door de Autoriteit Persoonsgegevens) wordt naar verwachting een stuk strikter. Die AVG is vergelijkbaar met de Wbp, maar er zijn ook verschillen, onder meer:
- als je persoonsgegevens wilt verwerken moet je veel beter gaan verantwoorden en vastleggen wat je doet en waarom, en hoe de privacy van de betrokkenen daarbij wordt gewaarborgd (de verantwoordingsplicht);
- betrokkenen krijgen er een paar rechten bij, zoals het vergetelheidsrecht en het recht op dataportabiliteit;
- beginselen zoals privacy by design en dataminimalisatie worden wettelijke verplichtingen;
- veel organisaties moeten straks een Functionaris Gegevensbescherming (FG) hebben;
- de sancties worden veel hoger.
Lees ook: AVG: Stappenplan compliance aan privacywetgeving
Waar gaan de regels over?
1. Verwerking van persoonsgegevens
De privacywet richt zich op het verwerken van persoonsgegevens. Een gegeven is al snel een persoonsgegeven, dus als je als organisatie met gegevens bezig bent, valt dit vrijwel altijd onder deze wet. Een persoonsgegeven is ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Dat betekent niet dat je aan de hand van een persoonsgegeven altijd iemand kunt identificeren. Als een gegeven betrekking heeft op iemand en als je kunt achterhalen wie dat is, dan is het een persoonsgegeven. Voor bijzondere categorieën van persoonsgegevens gelden speciale regels, zoals voor gegevens over iemands gezondheid, geloof of seksuele gerichtheid. De definitie van verwerken is zo ruim, dat vrijwel alles daaronder valt. Zelfs wissen en anonimiseren.
Voorbeelden verwerken persoonsgegevens waar u even extra bij na moet denken
- Een Nederlands hoofdkantoor heeft ook een aantal vestigingen in het buitenland, zowel in de EU als daarbuiten. Alle vestigingen maken gebruik van hetzelfde intranet met daarop onder meer het ’smoelenboek’ van het personeel.
- Behalve directeur van een onderneming is de persoon in kwestie tevens bestuurslid van de golfclub. Deze stelt het kantoorsysteem beschikbaar voor de ledenadministratie.
- Om het rijgedrag van chauffeurs te verbeteren plaatst een onderneming camera’s in de cabine van vrachtwagens.
- HR stuurt bij het boeken van zakenreizen steeds een kopie van het paspoort van de reizende medewerker aan het reisbureau.
2. Grondslagen voor de verwerking van persoonsgegevens
Zonder wettelijke grondslag mag je geen persoonsgegevens verwerken. Dit is onder de AVG niet anders dan onder de Wbp. Hieronder staan de zes grondslagen die de wet opnoemt, elk met een voorbeeld:
- toestemming: tracking cookies bij websites;
- noodzakelijk voor sluiten of uitvoeren overeenkomst met betrokkene: NAW-gegevens vastleggen van je medewerkers;
- voldoen aan een wettelijke verplichting: salarisgegevens doorsturen naar de Belastingdienst;
- noodzakelijk voor bescherming vitale belangen: naam van een bewusteloze werknemer doorgeven aan een ambulancebroeder;
- noodzakelijk voor publiekrechtelijke taak: bijhouden van gegevens door het Kadaster;
- noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerker: BKR-toets bij nieuwe klanten.
Je moet vaststellen welke grondslag van toepassing is op jouw verwerking. Sommige grondslagen hebben haken en ogen. Zo moet je bij de grondslag toestemming kunnen aantonen dat je de betrokkene goed hebt geïnformeerd en moet een gegeven toestemming ook weer makkelijk kunnen worden ingetrokken. Bij de grondslag gerechtvaardigd belang moet je kunnen aantonen dat jouw belang voldoende opweegt tegen dat van de betrokkene.
3. Doelbinding
Je moet steeds kunnen aangeven wat het doel is waarvoor je de persoonsgegevens wilt verwerken. De doeleinden moeten welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Je moet hier goed bij stilstaan, ook voor gegevens die je al had. Je mag de verkregen gegevens namelijk niet verder verwerken als dat met die doeleinden onverenigbaar is. Een te ruime doelomschrijving voldoet niet aan de wet, maar met een te krappe omschrijving beperk je jezelf onnodig als je nog iets anders met de gegevens wilt gaan doen.
4. Verwerkingsverantwoordelijke en verwerker
Als je zelf het doel en de middelen van de verwerking bepaalt, ben je daarvoor de verwerkingsverantwoordelijke. Als je de verwerking uitbesteedt aan iemand anders, dan is dat de verwerker. Een verwerker mag niets anders doen dan de instructies van de verantwoordelijke opvolgen. Er zijn verschillen in de wettelijke verplichtingen die beiden hebben. De verantwoordelijke en de verwerker moeten een verwerkersovereenkomst met elkaar hebben. Daarin moet van alles zijn geregeld zoals de beveiliging, de melding van eventuele datalekken, voldoen aan verzoeken van betrokkenen die hun rechten willen uitoefenen, etc.
5. Registerplicht, PIA’s en FG’s
Onder de Wbp moest je elke verwerking van persoonsgegevens melden bij de privacytoezichthouder, de Autoriteit Persoonsgegevens (AP). Onder de AVG hoeft dat niet meer, maar nu moet je zelf een register bijhouden van al je verwerkingsactiviteiten. Daarin moeten onder meer de doeleinden van de verwerking staan, de categorieën van betrokkenen en van de gegevens, aan wie de gegevens worden verstrekt, hoe lang ze worden bewaard, etc. Bij een verwerking met een hoog risico moet je een ‘gegevensbeschermingseffect¬beoordeling’ doen (ook wel PIA genoemd, Privacy Impact Assessment). Veel organisaties moeten onder de AVG een Functionaris Gegevensbescherming (FG) hebben, die onder meer intern toeziet op de naleving van de privacyregels.
6. Meldplicht datalekken
Een goed protocol voor beveiligingsincidenten en datalekken is eigenlijk onmisbaar. Sinds 1 januari 2016 staat de meldplicht voor datalekken al in de Wbp. Die komt bijna ongewijzigd terug in de AVG. Het komt erop neer dat je een (beveiligings-) incident met persoonsgegevens binnen 72 uur aan de AP moet melden, behalve als het onwaarschijnlijk is dat het incident een risico voor de betrokkenen oplevert. Maar als het datalek waarschijnlijk een hóóg risico inhoudt voor de betrokkenen, moet je het lek óók aan al die betrokkenen melden. Zodat zij de mogelijke gevolgen kunnen beperken (bijvoorbeeld door wachtwoorden te wijzigen of een creditcard te blokkeren). Je moet je organisatie en de beveiliging dus zo inrichten dat je een datalek snel kunt ontdekken, maatregelen kunt nemen en de melding(en) op tijd kunt doen.
Waar moet je beginnen?
Voor 25 mei 2018 moet je klaar zijn. Niets doen is geen optie. De AP geeft op haar website een mooi 10-stappenplan. Het kan nog een hele uitdaging zijn om alles op tijd te realiseren, maar een goed begin is het halve werk.
Zie ook: Bereid u voor op de AVG
Stappenplan beginnen met AVG
- Organiseer een korte maar krachtige awarenesstraining voor iedereen in de organisatie dagelijks met persoonsgegevens omgaat. NB: dit is vrijwel iedereen, van de receptie tot de boardroom. Dit is vaak het allerbelangrijkste en het is vaak snel te regelen. Als mensen weten waar ze rekening mee moeten houden, of dat zelf kunnen bedenken, kun je al een hoop ‘ongelukjes’ voorkomen.
- Inventariseer welke persoonsgegevens je gebruikt in de organisatie en wat daarmee gedaan wordt en hoe deze zijn beveiligd. Werknemersgegevens, maar ook gegevens van klanten, patiënten, winkeldieven, debiteuren, leveranciers, verzin maar. Bij dreigend tijdgebrek is een risk based approach aan te raden. Je begint dan met uitzoeken welke persoonsgegevens en verwerkingsactiviteiten de grootste risico’s voor de betrokkenen opleveren. De bevindingen kan je meteen opnemen in je verwerkingenregister – waar nodig in de vorm van een PIA. Overigens zijn er al een aantal handige tools op de markt die kunnen helpen bij het opzetten en bijhouden van de registers.
- Check of je de zaken zo hebt ingericht dat je snel genoeg kunt reageren in geval van een datalek. Om te beginnen moet je ervoor zorgen dat een mogelijk datalek niet onopgemerkt blijft. Bij signalering van een datalek is een helder protocol een goed hulpmiddel, zodat iedereen weet wat haar of hem te doen staat.
- Ook kan je meestal al relatief gemakkelijk nagaan of je al verwerkersovereenkomsten hebt met alle partijen met wie je deze zou moeten hebben. Dat kan zijn omdat je zelf activiteiten hebt uitbesteed, of omdat je juist de verwerking voor iemand anders doet.
Daarnaast zul je meer structureel aan de slag moeten om het hele verdere 10-stappenplan te volgen. En natuurlijk moet er actie ondernomen worden op de punten die nog niet in orde blijken te zijn. Verbetering van een mogelijk tekortschietende beveiliging heeft daarbij de hoogste prioriteit.
Documenteer de uitkomsten van de vragen hierboven in een overzicht. Vermeld daarin per categorie van gegevens op basis van welke wettelijke grondslag je de gegevens verwerkt. Onder de AVG heb je een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat je organisatie in overeenstemming met de AVG handelt. Je kunt het overzicht ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Met het overzicht zet je een grote stap richting het voldoen aan de AVG.
Auteurs: Reinoud van Servellen en Rutger Alsbach (Reinoud@harveybloom.com en Rutger.Alsbach@harveybloom.com)
>> Kom ook naar de cursusmiddag Privacywet AVG: bent u er klaar voor? met als docent Rutger Alsbach
Geef een reactie