Een nieuwe privacywet voor heel Europa!

In de donkere decembermaand, zo tegen het einde van het jaar, is het heel verleidelijk om terug te gaan blikken op het afgelopen jaar. Natuurlijk kan terugblikken een tevreden en opgeruimd gevoel opleveren, maar het is zelden inspirerend voor datgene wat je (volgend jaar) wil gaan doen. En dat terwijl 2018 ons zoveel nieuws te bieden heeft.

Lees verder
Pieter van der Wulp

Door Pieter van der Wulp

Algemene Verordening Gegevensbescherming (AVG)

Neem bijvoorbeeld de Algemene Verordening Gegevensbescherming (AVG), die per 25 mei 2018 van toepassing zal zijn. De AVG zal de Wet Bescherming Persoonsgegevens (WBP) vervangen en daarmee voldoen we straks aan de EU-norm. Een nieuwe privacywet voor heel Europa, dat is wat de AVG (of GDPR in het Engels) ons brengt. Vanaf 25 mei 2018 moet elke organisatie voldoen aan deze nieuwe en strenge wetgeving. Maar wat gaat er precies veranderen? En misschien nog wel veel belangrijker: wat wordt er dan eigenlijk van organisaties verwacht? We zetten het voor je op een rijtje, zodat je met een gerust hart het nieuwe jaar in kan. 10, 9, 8, 7, 6, 5, 4, 3, 2, 1… happy new privacy!!

Een nieuwe privacywet voor heel Europa

In een notendop

Voor de eindgebruikers geldt dat de belangrijkste verandering in hun privacyrechten zit, die worden namelijk versterkt én uitgebreid. Zo hebben mensen voortaan het recht op inzage en wijziging van hun persoonlijke gegevens, maar ook het recht op vergetelheid en dataportabiliteit. Daarnaast worden mensen extra beschermd doordat organisaties een geldige toestemming van hen moeten hebben om hun persoonsgegevens te verwerken. Organisaties moeten ook kunnen bewijzen dat zij die geldige toestemming hebben gekregen en het moet voor mensen net zo makkelijk zijn om hun toestemming in te trekken als de wijze waarop ze die toestemming gegeven hebben.

Voor organisaties geldt dat de belangrijkste verandering in de verantwoordingsplicht zit, maar ook de boetebedragen voor overtreding van de privacywet liegen er niet om. De nadruk van de AVG ligt op de verantwoordelijkheid die organisaties hebben om zelf aan te kunnen tonen dat zij zich aan de wet houden. Daarnaast geldt natuurlijk dat wat voor eindgebruikers een recht is voor organisaties meestal een plicht is. Dus organisaties hebben inderdaad de plicht om mensen inzage in hun persoonlijke gegevens te verschaffen of deze op hun verzoek te wijzigen. En tevens de plicht om persoonlijke gegevens te vernietigen wanneer iemand het recht op vergetelheid claimt. Maar dus ook de plicht om te bewijzen dat er geldige toestemming verkregen is voor het verwerken van de persoonsgegevens.

Voor veel organisaties geldt dat ze even tijd nodig hebben om zich aan te passen aan deze nieuwe wet- en regelgeving en de verplichtingen die dat met zich meebrengt. Echter ligt die overgangsperiode al grotendeels achter ons, want op 24 mei 2016 is de AVG in werking getreden en daarbij is gesteld dat deze op 25 mei 2018 van toepassing is. Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. En dus is het nu (ineens) vijf voor twaalf voor veel bedrijven. Want AVG is plots een hot topic.

Samen werken aan implementatie van de AVG

We nemen een aantal punten onder loep

  • Activiteiten vallen veel sneller onder de privacywet
    Het begrip ‘persoonsgegevens’ verandert namelijk: naast bestanden met namen, adressen en dergelijke vallen nu ook gegevens gekoppeld aan IP-adressen, MAC- adressen, cookies en dergelijke onder deze wet. Zelfs als je niet weet hoe de persoon achter een cookie heet, dien je dat gegeven te behandelen als privacygevoelig.
  • Je privacyverklaring moet (nóg) transparanter
    Je moet in ‘eenvoudige taal’ precies en volledig uitleggen (in een privacyverklaring) wat je doet met persoonlijke gegevens. Ook moet je mensen wijzen op hun rechten, zoals dat men gegevens mag aanpassen, het dossier mag inzien of zelfs laten vernietigen. Bovendien moet je ze wijzen op de mogelijkheid om een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.
  • Persoonlijke informatie bij online diensten moeten overdraagbaar zijn
    Biedt je online diensten aan waarin mensen persoonlijke informatie opslaan? Dan moeten zij in staat zijn al hun informatie te kunnen exporteren in een standaardformaat, zodat zij die naar een andere organisatie kunnen overdragen. Denk aan downloaden van foto’s, socialmediaberichten of forumbijdragen.
  • Maak je interesseprofielen of risicoanalyses van klanten dan moet je hen uit kunnen leggen hóe je dat doen en wát je met die informatie doet
    Maak je interesseprofielen of risicoanalyses van gebruikers of bezoekers; dan moet je hen op verzoek kunnen uitleggen hóe dat gebeurt en wát je met die gegevens doet. Let op: dit speelt al bij het gebruik van cookies voor advertentiedoeleinden.
  • De boetes worden GIGANTISCH!
    De maximale boete per overtreding van de huidige privacywet is nu 900.000 euro, maar dit verandert met de komst van de AVG naar 20 miljoen euro of 4% van de wereldwijde jaaromzet. Bovendien komt er komt een Europees comité dat toezicht houdt op de juiste toepassing van de AVG.
  • Je moet voorbereid zijn op verzoeken van gebruikers
    Een verzoek van een eindgebruiker, over zijn persoonsgegevens, moet binnen een maand inhoudelijk afgehandeld zijn. Hier moet de organisatie dus op ingericht zijn. En wanneer je bijvoorbeeld verouderde gegevens hebt dan moeten deze, op verzoek, gewist worden.
  • Je moet zo min mogelijk privacygevoelige informatie verzamelen en deze zo snel mogelijk weer weggooien
    Vanuit de gedachte van risicobeheersing vereist de AVG dat je het minimale aan persoonsgegevens in bezit/beheer hebt. Je moet dus actief informatie vernietigen wanneer deze niet meer relevant is - en je moet beleid hebben dat uitwerkt wanneer iets wel of niet relevant is, en hoe het vernietigen dan veilig wordt gerealiseerd.
  • Je moet alle verwerkingen van persoonlijke gegevens documenteren, ook de ‘trivale’ gegevens zoals de eigen personeelsadministratie of een nieuwsbrief
    In dit register moet onder andere staan welke persoonsgegevens er verwerkt worden, voor welke doeleinden en hoe deze gegevens beveiligd worden.
  • Je moet een intern privacybeleid publiceren waarin staat wie welke rol heeft bij de omgang met persoonsgegevens
    Er dient namelijk bewijs te zijn van een deugdelijk management op het gebied van privacy binnen de organisatie. Het opstellen, invoeren en naleven van een intern privacybeleid is een belangrijke stap op dit gebied.
  • Je beveiliging moet op orde zijn en blijven
    Beveiliging van persoonlijke gegevens is cruciaal, dat was het al maar onder AVG zeker. Zonder encryptie, tweefactor-authenticatie en het kunnen scheiden en veilig wissen van persoonlijke informatie neem je een zeer groot risico. Verder zullen je ICT-systemen regelmatig moeten worden onderzocht op nieuwe risico’s.
  • Datalekken móeten intern worden gedocumenteerd
    Volgens de huidige privacywet hoef je alleen datalekken bij te houden wanneer je ze ook moet melden aan de toezichthouder. De AVG stelt het echter verplicht om álle datalekken intern te documenteren. En verwerk je privacygevoelige data voor opdrachtgevers dan ben je straks wettelijk verplicht álle datalekken aan hen te melden, zodat zij dit weer aan de toezichthouder kunnen melden.
  • Software en diensten die je gebruikt moeten rekening houden met privacy
    Dit wordt ook wel het ‘privacy by design’ of het ‘privacy by default’ principe genoemd. Kort gezegd moet bij elke stap in de ontwikkeling de privacyaspecten worden benoemd en meegenomen in de uitwerking.
  • Je moet met al je leveranciers en afnemers een zogeheten verwerkersovereenkomst sluiten
    In de verwerkersovereenkomst (dit heet tot de toepassing van de AVG nog bewerkersovereenkomst) maak je specifieke afspraken over de omgang met persoonlijke gegevens. Een belangrijk aandachtspunt is bijvoorbeeld wanneer je diensten uitbesteedt waarbij persoonsgegevens van een klant zijn betrokken, je hiervoor toestemming nodig hebt van die klant.
  • Zitten er risico’s aan een verwerking, dat moet je een complete privacy impact assessment (PIA) uitvoeren
    Dit is een uitgebreid onderzoek om privacyrisico’s in kaart te brengen en deze zo veel mogelijk weg te nemen. Pas nadat de PIA uitgevoerd is en de resultaten geïmplementeerd zijn, mag je die risicovolle verwerking uitvoeren.
  • Werk je met buitenlandse partijen dan zal je na moeten gaan of zij persoonlijke gegevens binnen of buiten de EU voor je opslaan
    Het opslaan van persoonlijke gegevens buiten de EU is namelijk alleen toegestaan als er wordt voldaan aan strikte regelgeving. Bijvoorbeeld als het land in kwestie door de Europese Commissie gecertificeerd is.

Mocht je je ondertussen afvragen of de AVG ook voor kleine mkb’ers en zzp’ers van toepassing is. Ja, de nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. Zoals bijvoorbeeld het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie.

Mocht dat nodig zijn dan adviseren we je uiteraard om je verder te verdiepen in de materig, zodat je op de hoogte bent van wat je te wachten staat en welke voorbereidingen je zelf kunt treffen voor d-Day, op 25 mei 2018. De Autoriteit Persoonsgegevens biedt bijvoorbeeld een 10-stappenplan om je organisatie voor te bereiden op de toepassing van de AVG.

Wil je meer informatie over de AVG of de toepassing daarvan dan kun je onder andere te rade gaan bij de Autoriteit Persoonsgegevens.