Cogens

Facebook

LinkedIn

Copyright 2018 Cogens.
All Rights Reserved. | Design www.fuzzd.nl
 

De AVG: beter laat dan nooit!

COGENS Advocaten > Nieuws  > De AVG: beter laat dan nooit!

De AVG: beter laat dan nooit!

Bent u ondernemer? Dan bent u de laatste tijd overstelpt met informatie over de AVG die op 25 mei 2018 gehandhaafd zal worden. U leest het goed gehandhaafd, want de wet geldt als sinds 2016. Echter veel van deze informatie is juist bedoeld om u bang te maken, want als u niet voldoet aan de AVG krijgt u een torenhoge boete!

Deels is dit juist, maar veel partijen vergeten te vermelden dat ook al ben je nog niet 100% “AVG-Proof”, er echt geen boete opgelegd zal worden. Tenminste voorlopig nog niet. Dit heeft het toezichthoudend orgaan, de Autoriteit Persoonsgegevens (AP), al bekend gemaakt. Indien u nog niet AVG-proof bent, legt de AP alleen een waarschuwing op. Maar, dan moet u wel kunnen aantonen dat u de AVG serieus neemt, bewust bent van de processen die geïmplementeerd dienen te worden en daarmee een start gemaakt heeft. In deze waarschuwing kan wel een tijdelijk verbod opgelegd worden om bepaalde handelingen te verrichten. Hierbij ontvangt u wel aanwijzingen om de geconstateerde gebreken te herstellen. Dat gezegd hebbende: indien u nog niet begonnen bent met de implementatie van de nieuwe wetgeving, wat moet u dan beslist weten?

Algemene informatie

Per 25 mei 2018 wordt de AVG van toepassing met als gevolg dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). Ook betekent dit dat de Wet bescherming persoonsgegevens (Wbp) niet meer geldt. Anders dan u misschien vermoedt, gaat de AVG geen dingen verbieden. De opzet van de AVG is erop gericht dat verwerkers van persoonsgegevens verantwoordelijkheid dragen en afleggen over de handelingen en werkzaamheden die zij verrichten. Daarbij zijn de begrippen “persoonsgegeven” en “verwerken” ruim gedefinieerd. De AVG wordt daarom ook wel een compliance wetgeving genoemd. Oftewel: voldoen aan wet- en regelgeving! Kortom de AVG is een kwestie van de handen uit de mouwen steken.

Een aantal verschillen met de oude wetgeving zijn:

  • Veel meer gegevens vallen onder het begrip “persoonsgegeven”
  • Alle verwerkingen die u doet, moeten zijn vastgelegd in een register
  • U moet een procedure voorhanden hebben om mensen inzage te verschaffen in hun persoonsgegevens, fouten aan te passen en (oude) gegevens te wissen
  • u moet een beleid formuleren ten aanzien van datalekken en beveiliging
  • Indien u samenwerkingspartners en/of leveranciers toegang geeft tot persoonsgegevens, dient u dat te borgen middels een verwerkersovereenkomst
  • de regels omtrent het vragen van toestemming van de betrokkene(n) worden strenger

Een veel voorkomende misvatting is dat ondernemers en verenigingen overtuigd zijn dat de AVG op hen niet van toepassing is. Echter, hoe klein uw onderneming of vereniging ook is, de AVG is van toepassing op iedere verwerking van persoonsgegevens. Het doet er dus ook niet toe of u een commerciële instelling bent of een non-profit organisatie. Daarnaast is het ook niet van belang of u een eenmanszaak dan wel mkb’er bent of een groot bedrijf met tenminste 250 man personeel. Enkel particulieren ontspringen de dans, mits zij maar heel beperkt en uitsluitend voor privédoeleinden gebruik maken van andermans persoonlijke gegevens. Let wel, ook deze uitzondering is erg beperkt. Als u uw cameratoezicht van uw woning richt op de openbare weg, valt u buiten deze uitzondering en dient u zich te houden aan de regels van de AVG.

Daarnaast is de AVG niet alleen van toepassing op de digitale verwerking van persoonsgegevens (bijv. gegevens in een Excel bestand of informatie/administratie in de Cloud) maar geldt de AVG ook voor papieren verwerkingen. Bij papieren verwerkingen is het van belang dat het wel om een “doorzoekbaar bestand” dient te gaan. Denk hierbij aan dossierklappers of de ouderwetse personeelsdossiers in de hangmappen. Een post-it van de secretaresse met daarop een naam en terugbelnotitie valt dan weer niet onder de AVG.

Wat is een persoonsgegeven?

Zoals reeds benoemd is het begrip “persoonsgegeven” onder de AVG flink verruimt ten opzichte van de oude wet (WPB). Onder de AVG is een persoonsgegeven: ieder gegeven waarmee een levend mens kan worden geïdentificeerd. Hierbij is het niet meer van belang of men een naam kan achterhalen, maar geldt onder de AVG dat iemand ook te identificeren is aan de hand van bijvoorbeeld zijn locatie en persoonskenmerken.

Met deze uitbreiding van het begrip vallen dus heel veel gegevens onder de noemer persoonsgegevens:

  • Naam en adres, geboortedatum, burgerservicenummer (BSN)
  • Medische gegevens, biometrische gegevens (bijvoorbeeld vingerafdruk), financiële gegevens
  • IP-adressen en/of MAC-adressen van telefoons
  • Locatiegegevens (bijvoorbeeld GPS) van mensen
  • De uitkomst van een IQ-test, zelfs als op het formulier alleen het nummer van de geteste persoon vermeld staat
  • De route die iemand door een winkel aflegt
  • De ritgegevens van de bedrijfsauto op het moment dat ook bekend is wie op welk moment de auto heeft gebruikt

Daarnaast is de AVG niet alleen van toepassing op de digitale verwerking van persoonsgegevens (bijv. gegevens in een Excel bestand of informatie/administratie in de Cloud) maar geldt de AVG ook voor papieren verwerkingen. Bij papieren verwerkingen is het van belang dat het wel om een “doorzoekbaar bestand” dient te gaan. Denk hierbij aan dossierklappers of de ouderwetse personeelsdossiers in de hangmappen. Een post-it van de secretaresse met daarop een naam en terugbelnotitie valt dan weer niet onder de AVG.

  • Veel meer gegevens vallen onder het begrip “persoonsgegeven”
  • Alle verwerkingen die u doet, moeten zijn vastgelegd in een register
  • U moet een procedure voorhanden hebben om mensen inzage te verschaffen in hun persoonsgegevens, fouten aan te passen en (oude) gegevens te wissen
  • u moet een beleid formuleren ten aanzien van datalekken en beveiliging
  • Indien u samenwerkingspartners en/of leveranciers toegang geeft tot persoonsgegevens, dient u dat te borgen middels een verwerkersovereenkomst
  • de regels omtrent het vragen van toestemming van de betrokkene(n) worden strenger
  • Naam en adres, geboortedatum, burgerservicenummer (BSN)
  • Medische gegevens, biometrische gegevens (bijvoorbeeld vingerafdruk), financiële gegevens
  • IP-adressen en/of MAC-adressen van telefoons
  • Locatiegegevens (bijvoorbeeld GPS) van mensen
  • De uitkomst van een IQ test, zelfs als op het formulier alleen het nummer van de geteste persoon vermeld staat
  • De route die iemand door een winkel aflegt
  • De ritgegevens van de bedrijfsauto op het moment dat ook bekend is wie op welk moment de auto heeft gebruikt

 

Geen persoonsgegevens zijn:

  • Jaarcijfers van een BV en/of NV
  • Het geluidsniveau van de snelweg
  • Metingen van de temperatuur
  • Een foto van een bedrijfspand of woning waarvan het huisnummer niet zichtbaar is.

 

Wanneer verwerk ik persoonsgegevens?

Aangezien de AVG van toepassing is op iedere verwerking van persoonsgegevens, is het van belang om te weten wanneer u nu persoonsgegevens verwerkt. Bovenstaand is al benoemd dat ook het begrip verwerking zeer ruim is uitgelegd in de AVG. Een verwerking is iedere vorm van handelen met persoonsgegevens, van het ontvangen en opslaan tot het aanpassen, doorsturen en verwijderen daarvan. Voor de duidelijkheid: dat iets een verwerking is betekent niet dat er toestemming nodig is van de betrokken personen. Wel dient u een grondslag te hebben voor de verwerkingen die u doet. Toestemming is een van de grondslagen die genoemd zijn in de AVG, maar er zijn er meer. Later deze maand zal er nader worden ingegaan op de grondslagen voor verwerking.

 

Een korte checklist

Aan de hand van bovenstaande informatie kunt u concluderen dat veel activiteiten aan de AVG moeten voldoen. Daarom treft u onderstaand een korte checklist aan:

  • Inventariseer welke persoonsgegevens in uw organisatie worden gebruikt en waarvoor
  • Werk iedere verwerking uit tot een registratie: wie is verantwoordelijk, waarom verwerken we deze gegevens, welke grondslag is er voor deze verwerking en hoe lang worden deze gegevens bewaard?
  • Formuleer een beveiligingsbeleid en koppel dit beleid aan de verwerkingen die u binnen uw organisatie verricht
  • Stel vast of er verwerkingen door derden worden verricht. Indien dit het geval is sluit dan een verwerkersovereenkomst met deze partijen.
  • Maak bij iedere verwerking een inschatting van het risico. Indien u het risico van een verwerking hoog inschat, voer dan een Privacy Impact Assessment (PIA) uit
  • Bepaal of u een functionaris gegevensbescherming (FG)/Privacy officer(PO)/data protection officer (DPO) nodig heeft. Voorgaande termen zien op dezelfde functie maar komen veelvuldig voor.
  • Richt uw organisatie zo in, dat u in staat bent de rechten van de betrokken personen te waarborgen
  • Formuleer een beleid voor datalekken. Aan wie moet intern worden gemeld en welke personen binnen uw organisatie beslissen over melden bij de AP en/of aan de betrokken personen?

 

Dus voor de partijen die nog niet begonnen zijn met de implementatie van de AVG: ermee beginnen is al een goede stap in de juiste richting. Voorkom dat u straks te laat bent.

Benieuwd naar wat de AVG voor u en uw onderneming inhoudt? Meldt u dan aan voor onze kennissessie op 23 mei 2018 in Heerlen!

In de komende weken zullen we in onze blogs aandacht besteden aan de volgende onderwerpen:

  • De verwerkersovereenkomst
  • Het verwerkingsregister
  • Een datalek: en nu?

 

Heeft u vragen ten aanzien de AVG in het algemeen en/of de implementatie ervan?

Bel dan onze AVG-specialist, mr. Britt Robijns 045-2080909 / robijns@cogens.nl