Veel bedrijven verwerken persoonsgegevens, en waarschijnlijk op meer plekken dan zij zich bewust van zijn. Vanaf 25 mei 2018 moet elk bedrijf dit precies weten, want vanaf die dag moet elke organisatie die persoonsgegevens verwerkt een interne registratie hebben van álle bestanden en het gebruik van persoonsgegevens. Die dag treedt namelijk de AVG in werking, met strenge nieuwe eisen over beveiliging, datalekken, compliance en aansprakelijkheid. De boetes zijn hoog. Actie is dus geboden voor alle bedrijven die persoonsgegevens verwerken.
Moet elk bedrijf zo’n interne registratie bij gaan houden?
Als een bedrijf meer dan 250 personen in dienst heeft, dan is dit bedrijf sowieso verplicht om een register bij te houden. Dit geldt zowel voor de verantwoordelijke als de eventuele verwerkers die in opdracht van de verantwoordelijke persoonsgegevens verwerken (als de verantwoordelijke dit zelf doet, is er geen sprake van verwerkers). De verantwoordelijke is de partij die bepaalt welke persoonsgegevens worden verwerkt, voor welk doel, en met welke middelen. Ter illustratie twee voorbeelden:
- een winkelier die naast zijn fysieke winkel een webshop heeft waarvoor een bestand met namen en adressen van klanten moet worden bijgehouden om bestellingen te kunnen leveren is de verantwoordelijke. Zijn webdeveloper is een verwerker als deze de webshop – inclusief het klantenbestand – beheert voor de winkelier;
- een wellness centre houdt een bestand met namen, adressen en bezoekfrequentie van klanten bij, om hen op basis hiervan regelmatig een aanbieding te doen (= verantwoordelijke). Haar automatiseerder (kassa, CRM, mailing lijsten e.d.) is een verwerker als deze het klantenbestand beheert voor het wellness centre.
Als een bedrijf minder dan 250 personen in dienst heeft, dan hoeft er alleen maar een register bijgehouden te worden als er sprake is van:
- risicovolle verwerkingen, die de privacy van klanten in gevaar kunnen brengen. Denk hierbij bijvoorbeeld aan het bijhouden van klantprofielen, die gekoppeld worden aan andere gegevens over deze klanten (bv. afkomstig van social media). Als een bedrijf vermoedt dat zijn (geplande) verwerkingen risicovol zijn, kan dit bedrijf een “Privacy Impact Assessment (PIA)” uit laten voeren. Dit is een uitgebreid onderzoek om privacyrisico’s in kaart te brengen en deze zo veel mogelijk weg te nemen.
- structurele verwerking van persoonsgegevens (bv. het monitoren van bezoekers van een ruimte via cameratoezicht);
- verwerking van gevoelige gegevens (gezondheid, etnische afkomst e.d.)
Wat moet er precies worden bijgehouden in zo’n register?
Het register dat een ‘verantwoordelijke’ moet bijhouden wijkt af van het register dat een ‘verwerker’ moet bijhouden. Het register van een verantwoordelijke bevat de volgende informatie:
- de naam en contactgegevens van verantwoordelijke;
- de doeleinden waarvoor gegevens worden verwerkt;
- de categorieën gegevens (zoals NAW-gegevens, contactgegevens, betaalgegevens);
- de categorieën betrokkenen (bijvoorbeeld: klanten, websitebezoekers, werknemers);
- de categorieën ontvangers (aan wie worden de gegevens verstrekt);
- informatie over eventuele doorgifte van gegevens naar landen buiten de EU;
- de bewaartermijnen van de gegevens;
- de manieren waarop gegevens zijn beveiligd (bijvoorbeeld: encryptie, logische toegangscontrole, pseudonimisering).
Het register van een verwerker bevat de volgende informatie:
- de naam en contactgegevens van de verwerker en de verantwoordelijke (of hun vertegenwoordigers)
- de categorieën verwerkingen (dit komt overeen met de doeleinden uit het register van de verantwoordelijke);
- informatie over eventueel doorgifte van gegevens naar landen buiten de EU;
- de manieren waarop gegevens zijn beveiligd.
Toestemming voor verwerking van gegevens
De ‘nieuwe’ AVG grondslagen voor de verwerking van persoonsgegevens komen overeen met de grondslagen uit de huidige Wet bescherming persoonsgegeens. De grondslag van toestemming van de betrokkene is wel uitgebreid met voorwaarden onder de AVG. Het moet gaan om expliciete toestemming van de betrokkene en betekent in ieder geval:
- eerst informeren van betrokkene(n) over beoogde verwerking door de verantwoordelijke;
- heldere voorstelling (in begrijpelijke taal) over de grondslag van de verwerking en de verwerking die toegankelijk en makkelijk te vinden is;
- vereist een actieve handeling van de gebruiker, dus niet stilzwijgend, en met opt-in als uitgangspunt;
- aanvaarding en instemming met algemene voorwaarden is niet voldoende en het moet ook gescheiden zijn van andere schriftelijke overeenkomsten;
- intrekking is te alle tijde mogelijk;
- jonger dan 16 jaar alleen met toestemming ouders;
- vrijwillig gegeven, deze moet in vrijheid zijn afgegeven. D.w.z. de betrokkene moet een keuze hebben, de toestemming kan niet afgedwongen worden zoals bijvoorbeeld het geval kan zijn bij een werkgeversrelatie (of bij een andere gezagsverhouding);
- toestemming mag niet slaan op verschillende zaken (d.w.z. gebundelde handelingen met verschillende rechtsgevolgen).
Wat verandert er nog meer?
Naast de registratie van de verwerking van persoonsgegevens zijn er nog meer veranderingen te noemen. We noemen hier degene die het meeste belang kunnen hebben voor MKB-bedrijven:
- Naast bestanden met namen, adressen en dergelijke vallen nu ook gegevens gekoppeld aan IP-adressen, MACadressen, cookies en dergelijke onder de privacywet. Ook als een bedrijf niet weet hoe de persoon achter een cookie heet, dient dit gegeven als privacygevoelig behandeld te worden;
- Bedrijven moeten in eenvoudige taal precies en volledig uitleggen wat zij doen met persoonlijke gegevens. Ook moeten zij mensen wijzen op hun rechten, zoals dat men gegevens mag aanpassen, het dossier mag inzien of zelfs laten vernietigen. Bouwt een bedrijf interesseprofielen van haar klanten op, dan moeten die op verzoek kunnen worden verwijderd. Bovendien moet een bedrijf haar klanten wijzen op de mogelijkheid een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens
- De boetes worden vele malen hoger. De maximale boete per overtreding van de huidige privacywet is 900.000 euro. Dit verandert met de komst van de AVG naar 20 miljoen euro of 4% van de wereldwijde jaaromzet. Bovendien komt er komt een Europees Comité dat toeziet op de juiste toepassing van de AVG.
- Bedrijven moeten zo min mogelijk privacygevoelige informatie verzamelen en deze zo snel mogelijk weer weggooien. Vanuit de gedachte van risicobeheersing vereist de AVG dat bedrijven het minimale aan persoonsgegevens onder zich hebben en dus actief informatie weggooien wanneer deze niet meer relevant is. Hou hierbij wel rekening met de (fiscale) bewaarplicht.
- De beveiliging van de software van bedrijven moet op orde zijn en blijven. Beveiliging van persoonlijke gegevens is cruciaal vandaag de dag. Zonder encryptie, tweefactorauthenticatie en het kunnen scheiden en veilig wissen van persoonlijke informatie nemen bedrijven een zeer groot risico. Bedrijven zullen hun ICT-systemen – en daar horen hun afrekensystemen ook bij! – regelmatig moeten onderzoeken op nieuwe risico’s. Hun leveranciers kunnen hier behulpzaam in zijn.
Bronnen:
- Checkout.nl september 2017
- Autoriteit Persoonsgegevens: https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/algemene-verordening-gegevensbescherming en https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving;
- ICTRecht: factsheets – https://ictrecht.nl/2017/05/24/voorbereiden-op-avg/
Als een afrekensysteem persoonsgegevens verwerkt, moet er o.a. aan bovengenoemde de beveiligingseisen van de AVG voldaan worden. Vanuit de normering Betrouwbaar Afrekensysteem is de beveiliging van het systeem een van de uitgangspunten. Er worden verschillende technische en organisatorische maatregelen geboden om aan de eisen op het gebied van integriteit, bewaren en rapporteren te voldoen. Het volgen van de keurmerknormen helpt u op een aantal onderdelen om te voldoen aan de uitgangspunten van de AVG.