Direct contact met ons?
030 72 10 714
Door Hannah Brenninkmeijer | 07 juni 2018 | Privacyrecht, AVG, privacy

De nieuwe privacywetgeving!

De laatste tijd spreek ik veel ondernemers die nog niet of nauwelijks zijn gestart met de implementatie van de AVG. De wettekst bevat veel onbegrijpelijke termen en is vaak niet eenvoudig te duiden voor ondernemers. Hierdoor weten ze niet of de wet eigenlijk wel op ze van toepassing is en zo ja wat van ze wordt verlangd. En als ze dat wel weten, weten ze niet waar ze moeten beginnen. En dus schuiven ze de implementatie voor zich uit. Dit terwijl de AVG al sinds 25 mei jl. in werking is.

Herken je dit? Je bent niet de enige! Natuurlijk is de kans niet heel groot dat de AP morgen bij je op de stoep staat, maar je wil toch niet negatief in het nieuws komen door een terechte klacht of door een datalek? De imagoschade voor je onderneming is dan niet te overzien.

Om die reden zet ik de meeste gestelde vragen en de te nemen stappen voor ondernemers uiteen.

Geldt de AVG ook voor mij?

De AVG is van toepassing op iedereen die persoonsgegevens verwerkt. Hieronder tref je een aantal vragen om na te gaan of je persoonsgegevens verwerkt en of de AVG dus van toepassing is.

Wat zijn persoonsgegevens?

Volgens de wet zijn persoonsgegevens alle gegevens over geïdentificeerde of identificeerbare natuurlijke personen. In gewone mensentaal: het gaat om alle gegevens die informatie kunnen verschaffen over een bepaald persoon, bijvoorbeeld over zijn eigenschappen, zijn opvattingen of zijn gedragingen. Ook als de naam van de persoon niet met zoveel woorden is genoemd, kan sprake zijn van een persoonsgegeven, bijvoorbeeld als de identiteit van de persoon redelijkerwijs zonder al te veel inspanning kan worden vastgesteld.

Wat zijn bijzondere persoonsgegevens?

Gevoelige persoonsgegevens, waarbij te denken valt aan gegevens over iemands:

Wat is verwerken?

Verwerken is alles van verzamelen tot vernietigen. Ook het slechts opslaan van persoonsgegevens valt onder het begrip verwerken.

Is de AVG van toepassing?

Als je hebt vastgesteld dat je persoonsgegevens verwerkt, moet je vaststellen of de AVG van toepassing is. Die is van toepassing als je – al dan niet via een computersysteem – de feitelijke macht over die gegevens uitoefent, dat willen zeggen dat je een handeling met die gegevens kunt verrichten.

 Conclusie: Bijna iedere ondernemer verwerkt persoonsgegevens en heeft de feitelijke macht over die gegevens. Dat betekent dat de bepalingen op hen van toepassing zijn. Zelfs op zzp’ers en eenmanszaken in de vorm van kleine winkeliers of horecaondernemers. Dus naar alle waarschijnlijkheid geldt het ook voor jou.

Denk voor verwerkingen aan klantenlijsten, prospectlijsten, lijsten voor verzending van een nieuwsbrief etc. Denk ook aan cookies die je voor marketingdoeleinden gebruikt of aan google analytics. Voor een onderneming met werknemers in dienst geldt dat zij ook persoonsgegevens van hun werknemers verwerken voor de loonadministratie, voor het personeelsdossier etc.

Voor bijzondere persoonsgegevens geldt dat je ze in beginsel niet mag verwerken, tenzij daarvoor een wettelijke uitzonderingsgrond geldt. Als je daarover vragen hebt, kun je contact opnemen met ons kantoor via 030-721 07 10 of via privacy@eerlijkmetrecht.nl

Wat is een rechtmatige verwerking?

De verwerking van persoonsgegevens moet voldoen aan de volgende regels:

Veel antwoorden op praktisch vragen, zoals de vraag of je een camera mag ophangen, kun je terugvinden op de website van de Autoriteit. Ook hebben veel bedrijven tools ontwikkeld. Bijvoorbeeld om na te gaan of je bedrijf AVG-proof is. Maak daarvan gebruik!

Wat wordt van mij verwacht?

Sinds de inwerkingtreding van de AVG geldt een documentatieplicht. Dat betekent dat je moet kunnen aantonen dat je onderneming in overeenstemming met de AVG handelt.

Hoe begin ik dan?

Breng eerst in kaart welke persoonsgegevens je in welk systeem  verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt. Denk daarbij aan je klantenlijsten, lijsten voor verzending van de nieuwsbrief, prospectlijsten, leverancierslijsten, de inbox van je e-mail, de gegevens die je op de website verwerkt via cookies en die je verkrijgt via aanmeldings- of contactformulieren op je website.

Als je personeel in dienst hebt, kun je ook denken aan personeelsbestanden, de gegevens die je verwerkt voor ziekmelding van werknemers, verlofregistratie en loonbetaling, en de gegevens van sollicitanten.

Hoewel je je cijfers natuurlijk ook goed wil beveiligen, zijn dit geen persoonsgegevens.

Ga na waar je de meeste risico’s loopt en verhelp deze als eerste

Een ongeluk zit in een klein hoekje. We zijn allemaal maar mensen en laten wel eens iets slingeren. Zorg dus voor een goede beveiliging met tweetraps inlog van je laptops en telefoons, zodat – als ze per ongeluk in de trein blijven liggen – de gegevens niet zonder meer toegankelijk zijn. Maak ook je medewerkers bewust van het belang van privacy en stel een helder beleid op waarin is vastgelegd dat ze hun laptops niet in hun auto mogen laten liggen, geen bestanden met persoonsgegevens per mail mogen versturen en geen wachtwoorden mogen opslaan op hun computer. Ook adviseren we een clean desk en clean screen beleid. Tot slot adviseren we je je inbox niet als opslagruimte te gebruiken, maar e-mails met persoonsgegevens te verwijderen of op te slaan in de daarvoor bedoelde mappen.

Leg de verwerkingen die je in kaart hebt gebracht vast in een register

Het is verplicht een overzicht te kunnen tonen van al je verwerkingen. Leg deze dus vast in een register. Je kunt een gratis model krijgen, als je contact met ons kantoor opneemt via 030-721 07 10 of via privacy@eerlijkmetrecht.nl. Mogelijk vind je ook modellen van een dergelijk register als je die zoekt op internet. Ook is software te koop waarin je de verwerkingen kunt registreren.

Informeer de betrokkenen

Informeer degenen van wie je de persoonsgegevens verwerkt (de betrokkenen) over het feit dat je hun persoonsgegevens verwerkt, met welk doel je dat doet en hoe lang je de gegevens bewaart. Ook moet je ze wijzen op hun rechten. Het is het meest praktisch dat in een privacystatement te doen. Daarin kun je meteen ook je cookiebeleid meenemen. Vul dus ten minste de volgende zaken in je privacystatement in:

Ook dien je betrokkenen ervan op de hoogte te stellen dat gegevensverstrekking niet verplicht is en dat zij gegeven toestemming te allen tijde kunnen intrekken.

Het is praktisch als de privacyverklaring eenvoudig te vinden is op je website. Geef deze dan ook een geheel eigen pagina en zorg dat deze makkelijk te vinden is op je site.

Tip: plaats een link naar je statement in de disclaimer van je mail, zodat betrokkenen op eenvoudige wijze je transparante beleid kunnen inzien.

Tip: Gebruik je Google Analytics voor jouw website? Denk dan ook het anonimiseren hiervan en een goede cookiemelding.

Privacy by design en by default?

Lastige nieuwe termen die beogen dat je nog voor je een nieuwe dienst start de privacybescherming in die dienstverlening inbedt. Zodat daar automatisch rekening mee wordt gehouden en het dus minder effort kost. Je zult dus zien dat ook leveranciers daarop steeds meer zullen inspelen zodat je verouderde gegevens automatisch worden verwijderd uit bijvoorbeeld personeelssystemen.

Privacy by design houdt in je al bij het ontwerpen van producten en diensten ervoor moet zorgen dat de persoonsgegevens goed worden beschermd.

Privacy by default houdt in dat je technische en organisatorische maatregelen moeten nemen om ervoor te zorgen dat je als standaard alléén die persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Bijvoorbeeld door:

Onderzoek of je een Functionaris voor de Gegevensbescherming (FG) moet of wilt aanstellen

Onder de AVG kan je onderneming verplicht zijn een functionaris voor de gegevensverwerking (FG) aan te stellen. Wanneer is aanstelling van een FG verplicht?

Als je ervoor kiest al dan niet een FG aan te stellen, moet je goed kunnen onderbouwen waarom je dat wel of niet hebt gedaan. Van belang is dat een concern één FG mag aanstellen voor het hele concern.

Of je nu wel of geen FG aanstelt, we adviseren je ten minste één iemand verantwoordelijk te maken voor de naleving van de privacywetgeving, zodat je adequaat reageert op een datalek of als een betrokkene gebruik wil maken van zijn rechten. Zorg voor een vervanger in geval van vakantie en afwezigheid van de privacyverantwoordelijke, want de termijn voor het melden van een datalek is kort (72 uur).

Stel een beleid op hoe te handelen in geval van een datalek en documenteer alle datalekken, ook de kleine

Het is het meest praktisch een kort beleid op te stellen hoe je moet handelen in geval van een datalek. Denk voor een datalek aan het verlies van een laptop door een medewerker, een cyberaanval of een medewerker die een tas met documenten met persoonsgegevens per ongeluk in de trein heeft laten staan. Maar ook een e-mail met persoonsgegevens die je aan Piet Jansen in plaats van Piet Janssen verstuurt is een datalek.

Je kunt via tools op de website van de AP nagaan of je het lek moet melden. Dit moet binnen 72 uur gebeuren! Ook als je het lek niet hoeft te melden, moet je het vastleggen. Stel hiervoor een document op die de voor privacy verantwoordelijke bijhoudt en aanvult. Met de vastlegging van de datalekken moet de AP kunnen controleren of je aan je meldplicht hebt voldaan en of je kunt onderbouwen waarom je datalekken al dan niet hebt gemeld.

Als je als verwerker van gegevens van andere ondernemingen werkt, is het van belang dat het datalek zo spoedig mogelijk aan de betreffende onderneming wordt gedaan. Die onderneming is zelf verantwoordelijk om na te gaan of hij het lek meldt. Ook deze verplichting leg je vast in je protocol.

Onderzoek of de verwerkersovereenkomsten nog voldoen

Als je je gegevensverwerking aan een verwerker hebt uitbesteed (denk ook aan de Cloud), beoordeel dan of de met die verwerker overeengekomen maatregelen nog steeds toereikend zijn en of ze voldoen aan de vereisten van de AVG. Zorg tijdig voor de noodzakelijke wijzigingen in de overeenkomst voor het geval dat dat niet het geval is. als je wilt, kunnen we een verwerkersovereenkomst voor je opstellen of een aan jou overhandigde overeenkomst voor je nagaan. Dat je een overeenkomst moet sluiten, betekent niet dat je een wurgcontract hoeft te ondertekenen.

Leg de voor de verwerking verkregen toestemming vast

Voor verwerkingen die gebaseerd zijn op toestemming, zoals bijvoorbeeld de verzending van een nieuwsbrief, geldt dat je moeten kunnen aantonen dat je die toestemming (op geldige wijze) hebt verkregen.

Ga dus na hoe je om toestemming verzoekt, hoe je deze krijgt en hoe je deze vervolgens registreert. Als de huidige wijze van het verkrijgen van toestemming niet meer voldoet, moet je de procedures aanpassen.

Let op!:  het moet voor betrokkenen net zo makkelijk moet zijn hun toestemming in te trekken als om die te geven.

Tip: Maak een eenvoudige knop op de website voor het in- en voor het uitschrijven voor de nieuwsbrief. Je hebt geen handtekening nodig voor toestemming. Slechts een actieve handeling van degene die de toestemming verleent. Diegene moet zijn toestemming uitdrukkelijk geven en dus weten dat het indrukken van die knop betekent dat hij zich inschrijft voor de nieuwsbrief.

Ook hier geldt bij voorkeur de tweetrapsaanmelding. Zend degene die de knop heeft ingetoetst een mail met een link. Als hij vervolgens op de link klikt, is de inschrijving voor de nieuwsbrief definitief.

Stel vast of een DPIA nodig is

Onder de AVG kun je worden verplicht een zogeheten privacy impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Als het risico op privacyschending aanwezig is (bijvoorbeeld als je heel veel gegevens of bijzondere persoonsgegevens verwerkt), moet je maatregelen nemen om dit te verkleinen. De PIA is verplicht als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich brengt.

Tenzij je heel veel of bijzondere persoonsgegevens verwerkt, is een DPIA in het algemeen niet nodig voor kleine ondernemers.

Samenvatting:

Als je hebt vastgesteld dat je persoonsgegevens verwerkt, zorg je ervoor dat je ten minste aan de volgende zaken voldoet om AVG-proof te zijn

Heb je vragen over de AVG? Neem dan direct contact op met onze specialisten. Wij helpen je graag.


Juridisch advies nodig?

Stel een vraag aan een van onze adviseurs.