Per 25 mei 2018 is de Wet bescherming persoonsgegevens vervangen door de AVG. Verwerkt jouw organisatie persoonsgegevens? Dan moet je voldoen aan de eisen van de AVG. Voldoe je als organisaties niet aan de AVG? Dan riskeer je een boete. Deze kan oplopen tot 20 miljoen euro! Wat de AVG inhoudt en wat dit concreet betekent voor jouw organisatie? Dat vertellen we je graag in deze blog.
Wat is het doel van de AVG?
Het doel van de AVG is om extra bescherming te bieden aan de privacy van onze persoonsgegevens, zodat er vertrouwelijk mee wordt omgegaan. Je wilt namelijk niet dat deze gegevens zomaar gebruikt worden voor andere processen. Of dat ze in handen van derden terecht komen.
Voor wie geldt de AVG?
De AVG is van toepassing op alle organisaties die persoonsgegevens verwerken.
Wat betekent ‘verwerking’?
Verwerking is in de AVG opgenomen als een ruim begrip. Onder verwerken valt onder andere het verzamelen, ordenen, opslaan, raadplegen en gebruiken van persoonsgegevens. Maar ook het wissen of vernietigen ervan. Hieronder valt onder meer het bijhouden van een klantenbestand, van afspraken met klanten of van personeelsinformatie.
Wat zijn persoonsgegevens volgens de AVG?
Persoonsgegevens betreffen de informatie die direct over een persoon gaan. Namelijk de volgende gegevens:
- naam;
- adres met postcode;
- woonplaats;
- telefoonnummer;
- e-mailadres;
- geboortedatum.
Daarnaast gaat het ook om alle gegevens die naar een bepaalde persoon verwijzen. En waarmee je die persoon kan identificeren. Dus ook indirecte persoonsgegevens. Zoals foto’s en berichten op social media.
Welke rechten hebben jouw bezoekers volgens de AVG?
De persoon van wie je de gegevens verwerkt, de betrokkene, heeft een aantal belangrijke rechten. We benoemen ze hieronder.
- Recht op inzage, rectificatie en aanvulling
De betrokkene heeft het recht om de persoonsgegevens in te zien. Om te weten welke gegevens het zijn en aan wie eventueel de gegevens verstrekt zijn. En hoe lang de gegevens bewaard worden. Daarnaast mag de betrokkene deze gegevens wijzigen, indien nodig.
- Recht op de beperking van de verwerking
Het is belangrijk dat de betrokkene weet waarvoor zijn persoonsgegevens gebruikt worden. De persoonsgegevens mogen niet zonder toestemming gebruikt worden voor eventuele andere (derde) doeleinden.
- Recht op verwijdering (‘vergetelheid’)
Als organisatie moet je de mogelijkheid hebben om persoonsgegevens te kunnen verwijderen. Daarnaast is het voor de betrokkene belangrijk dat hij de mogelijkheid heeft om op verzoek de persoonsgegevens te laten verwijderen. Moet je als organisatie de persoonsgegevens op grond van de AVG verwijderen? Dan moet je ook andere organisaties, die de persoonsgegevens hebben gekregen, informeren. Met het bericht dat de persoonsgegevens zijn verwijderd. En ze verzoeken dat ook zij de persoonsgegevens verwijderen.
- Recht op dataportabiliteit
Nieuw in de AVG is dat de betrokkene het recht heeft om persoonsgegevens over te dragen (‘dataportibiliteit’). Dit houdt het volgende in. De betrokkene moet zijn persoonsgegevens van de organisatie kunnen krijgen. En deze ongehinderd kunnen overdragen aan een andere organisatie. Ook heeft de betrokkene het recht dat de persoonsgegevens rechtstreeks van de ene naar de andere organisatie wordt overgedragen als dit technisch gezien mogelijk is.
Wat moet je doen als organisatie?
Val je onder de werking van de AVG? Dan moet je als ‘gegevensverwerker’ aan diverse voorwaarden voldoen.
Passend beschermingsbeleid en verantwoordingsplicht
Je moet een passend gegevensbeschermingsbeleid uitvoeren. Daarnaast moet je bewijzen dat je aan de AVG voldoet. In dit beleid staan passende technische en organisatorische maatregelen om zo te waarborgen en te kunnen aantonen dat de verwerking van de gegevens volgens de AVG regels worden uitgevoerd. Kom je de verplichtingen van de AVG na? Dan voldoe je daarmee aan de verantwoordingsplicht.
Verplichtingen van de AVG
- Het kunnen bewijzen van ontvangen toestemming van de betrokkene.
- Het hebben van een register met alle verwerkingen.
- Het hebben van een register met alle datalekken.
Toestemming betrokkene
Sinds de AVG moeten mensen toestemming geven door een duidelijke, actieve handeling. Hierbij kun je bijvoorbeeld denken aan het moeten klikken op een vakje op een website.
Gebruik je al aangekruiste vakjes op een website? Dit geldt dan niet als toestemming. Je moet kunnen aantonen dat je de toestemming hebt gekregen van de betrokkene om zo de persoonsgegevens te mogen verwerken. Leg dit dus vast!
Heb je een in de algemene voorwaarden opgenomen toestemming? Dit geldt ook niet als expliciete toestemming. Voor elk doeleinde moet apart toestemming worden gegeven door de betrokkene. Bijvoorbeeld het volgende. Heb al je toestemming gekregen voor een nieuwsbrief over onderwerp A? Dan mag er geen nieuwsbrief worden verstuurd over onderwerp B. Alleen als voor die nieuwsbrief ook apart toestemming is gegeven.
Interne procedure datalekken
Ben je een gegevensverwerker? Dan moet je een procedure opstellen voor de afhandeling van beveiligingsincidenten. Waaronder een protocol voor datalekken. Wanneer is er sprake van een datalek? Als persoonsgegevens zijn doorgezonden, opgeslagen of op een andere manier zijn verwerkt. En als deze gegevens vernietigd, verloren of gewijzigd zijn, of onjuist zijn verstrekt. Dit is ook het geval als iemand daar onjuist toegang voor heeft gehad en dit het gevolg is van een inbreuk op de beveiliging van die gegevens. Ongeacht of dat nu per ongeluk of onrechtmatig is geweest.
Alle datalekken moeten worden gedocumenteerd. Ieder datalek moet ook worden gemeld bij de Autoriteit Persoonsgegevens. Behalve als het niet waarschijnlijk is dat dit een risico inhoudt voor de rechten en vrijheden van de betrokkene. Je moet een melding doen aan een betrokkene als het datalek een hoog risico voor de betrokkene inhoudt.
Verwerkingsovereenkomst
Een gegevensverwerker moet een verwerkingsovereenkomst aangaan met verwerkers. Voorbeelden van verwerkers zijn leveranciers van softwarepakketten, aanbieders van cliënten- of werknemersportalen, externe salarisadministrateurs, verhuurders van multifunctionals, externe systeembeheerders en aanbieders van opslagdiensten. In de verwerkingsovereenkomst zullen afspraken moeten worden vastgelegd. Namelijk over de verwerking van persoonsgegevens.
Register van verwerkingsactiviteiten
Je bent verplicht om een register van verwerkingsactiviteiten aan te leggen waarin het volgende wordt vastgelegd.
- Het doel van de verwerking van de gegevens (grondslag).
- Een beschrijving van degenen op wie de gegevens betrekking hebben.
- Welke gegevens worden opgeslagen.
- Aan wie de persoonsgegevens worden verstrekt.
- De bewaringstermijn van de gegevens en de beveiligingsmaatregelen.
Overigens gelden voor het aanleggen van dit register een beperkt aantal uitzonderingen.
Privacyverklaring
Tot slot moet je een procedure maken rond de rechten van een betrokkene. Daarnaast wordt een privacyverklaring vereist waarin informatie wordt verstrekt aan de betrokkene op het moment dat die de gegevens verstrekt. Deze informatie moet beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk zijn en in duidelijke en eenvoudige taal. Het wordt erg aanbevolen om deze informatie op je website te vermelden.
Conclusie
Kortom, veel werk aan de winkel. De hoge boetes die door de Autoriteit Persoonsgegevens kunnen worden opgelegd, zullen hier als een stevige stok achter de deur zorgen!
Wil je nog meer weten over de AVG? Check dan de website van de autoriteit persoonsgegevens.
