Uw bedrijf en de AVG

Het zal u niet zijn ontgaan: vanaf 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. Deze privacywet vervangt de Wet bescherming persoonsgegevens. Maar wat betekent deze wet nu eigenlijk voor u en uw organisatie? Wat verwacht de wetgever van u en welke elke acties moet u nemen? In dit artikel geven wij u meer duidelijkheid de over hoofdbeginselen van de AVG en leggen wij uit wat deze beginselen betekenen.

Voor een goed begrip van de AVG is de betekenis van een aantal begrippen zeer belangrijk. De privacywetgeving wil betrokkenen beschermen tegen onrechtmatige verwerking van persoonsgegevens. Wat betekent dat?

Persoonsgegeven

Een persoonsgegeven is een gegeven of een combinatie van gegevens, waardoor een persoon direct of indirect kan worden geïdentificeerd. Met andere woorden: wanneer door een gegeven of een combinatie van gegevens duidelijk is op welke persoon die gegevens betrekking hebben, gaat het om persoonsgegevens en is de AVG van toepassing. De betrokkene is vervolgens de persoon van wie de persoonsgegevens zijn.

Niet ieder gegeven is dus een persoonsgegeven: hoeveel medewerkers een bedrijf heeft, omzetgegevens of gegevens over een bedrijf (geen eenmanszaak) zijn dit bijvoorbeeld niet. De AVG geldt niet voor deze gegevens.

Rest de vraag wat wordt bedoeld met ‘verwerken’. De wet kent een lange lijst met handelingen die als verwerken gelden, zoals verzamelen, vastleggen, opslaan, combineren en verwijderen. Kort samengevat kan vrijwel alles wat u met een persoonsgegeven doet, gezien worden als het verwerken ervan.

Beginselen van de AVG

Wanneer de AVG geldt, moet in grote lijnen aan 6 beginselen worden voldaan. Deze beginselen worden hieronder omschreven.

1. Rechtmatigheid, behoorlijkheid en transparantie

Het eerste beginsel van de AVG bepaalt dat persoonsgegevens rechtmatig, behoorlijk en transparant moeten worden verwerkt. Het verwerken is rechtmatig als u voldoet aan één van de redenen die de wet noemt. Deze redenen zijn bijvoorbeeld wanneer u toestemming heeft van de betrokkene om zijn gegevens te verwerken, wanneer het verwerken van de gegevens nodig is voor het uitvoeren van een overeenkomst of wanneer u de gegevens moet verwerken om aan een wettelijke verplichting te voldoen. Van die laatste reden kan bijvoorbeeld sprake zijn wanneer u gegevens aan de Belastingdienst verstrekt. Als u een in de wet genoemde reden heeft om persoonsgegevens te verwerken, dan moet de verwerking ook behoorlijk en transparant zijn. Daarmee wordt bedoeld dat betrokkenen weten waarvoor u de gegevens verwerkt en dat u dit op een eerlijke manier doet. Het is bijvoorbeeld niet de bedoeling dat u gegevens verzamelt voor een klantenprogramma, maar deze vervolgens gebruikt voor directe marketing.

2. Doelbinding

Het tweede beginsel betekent dat persoonsgegevens alleen mogen worden verzameld voor ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen’. Het moet dus duidelijk zijn voor welk doel u gegevens verzamelt en deze doelen mogen niet te algemeen worden omschreven. Daarnaast moet het doel ‘gerechtvaardigd’ zijn. Dit betekent dat u een belangenafweging moeten hebben gemaakt tussen uw belang om de gegevens te verzamelen en het belang van de betrokkene dat u de gegevens niet verzamelt. Het verzamelen van de gegevens mag geen onevenredige nadelige gevolgen voor de betrokkene(n) hebben.

3. Minimale gegevensverwerking

Het derde beginsel bepaalt dat persoonsgegevens alleen mogen worden verwerkt als dit noodzakelijk is voor het voldoen aan de vastgestelde doeleinden. Bij het tweede beginsel was bepaald dat gegevens alleen mogen worden verzameld voor een uitdrukkelijk omschreven doel. De gegevens mogen alleen worden verwerkt als dit noodzakelijk is om dit doel te bereiken. Met andere woorden: het is belangrijk dat u zich steeds afvraagt of u deze gegevens wel echt nodig heeft of dat u dezelfde dienstverlening ook kunt leveren zonder die gegevens. Bijvoorbeeld met gegevens die minder gevoelig zijn of geen persoonsgegeven zijn. Een ander belangrijk gevolg van deze bepaling is dat alleen de personen die toegang nodig hebben, toegang mogen hebben tot persoonsgegevens.

4. Juistheid

Het vierde beginsel bepaalt dat gegevens moeten worden geactualiseerd en moeten worden verwijderd wanneer zij niet meer juist zijn. Om aan dit beginsel te voldoen kunt u bijvoorbeeld periodiek bij uw klanten navragen of de gegevens die u heeft nog kloppen en/of ze de mogelijkheid bieden gegevens zelf aan te passen of verwijderen.

5. Opslagbeperking

Het op één na laatste beginsel gaat over het beperken van de opslag van persoonsgegevens. Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de vastgestelde doeleinden. Daarbij moet natuurlijk wel rekening worden gehouden met wettelijke bewaartermijnen. Wanneer u gegevens niet meer nodig heeft en er geldt geen wettelijke bewaartermijn, dan moet u deze gegevens verwijderen of anonimiseren.

6. Integriteit en vertrouwelijkheid

Het laatste beginsel van de AVG bepaalt tot slot dat u integer en vertrouwelijk met persoonsgegevens moet omgaan. Betrokkenen moeten erop kunnen vertrouwen dat hun persoonsgegevens veilig zijn bij u. Daarvoor is het nodig om voldoende technische en organisatorische maatregelen te hebben getroffen om te voorkomen dat persoonsgegevens onrechtmatig worden verwerkt. Voorbeelden van technische maatregelen zijn het gebruik van goede wachtwoorden, beveiliging om een hack te voorkomen en controles om een hack te detecteren. Voorbeelden van organisatorische maatregelen zijn procedures voor het melden van een datalek, duidelijke bevoegdheden voor al uw medewerkers en een werkwijze waarin u omschrijft hoe uw bedrijf omgaat met persoonsgegevens.

Open normen

Uit de hierboven omschreven beginselen blijkt al dat de AVG vooral bestaat uit ‘open normen’. Met andere woorden: de wet kent geen concrete regels, maar geeft hoofdlijnen, waaraan u zelf invulling moet geven. Het is dan belangrijk dat u kunt laten zien dat u serieus met de wet aan de slag bent gegaan en welke afwegingen u heeft gemaakt. De toezichthouder, de Autoriteit Persoonsgegevens zorgt voor een deel van deze invulling. Bijvoorbeeld via de website hulpbijprivacy.nl. Zodra de wet in werking is getreden, zal de Autoriteit Persoonsgegevens gaan toetsen of bedrijven aan de wet voldoen. Mogelijk heeft dit rechtspraak tot gevolg, die eveneens voor nadere invulling zal zorgen.

Wat betekent dit nu concreet?

Het is natuurlijk belangrijk dat u uw processen aanpast op de beginselen van de AVG en dat u de afwegingen die u daarbij maakt vastlegt. Dat betekent dat u naar ieder proces moet kijken en moet bepalen of u de gegevens die u verwerkt ook echt nodig heeft voor uw dienstverlening of werkzaamheden. Hieronder geven wij u nog enkele concrete acties, waarmee u aan de slag kunt.

1. Stel een verwerkingsregister op. De eerste stap om te voldoen aan de AVG is dat u inzichtelijk maakt voor welke processen u persoonsgegevens verwerkt. Dit kunt u doen door dit vast te leggen in een verwerkingenregister. In dit register legt u vast van welke groepen personen u gegevens verwerkt (bijvoorbeeld medewerkers, partners en kinderen van medewerkers of klanten van een specifiek product), welke gegevens u verwerkt, met wie u de gegevens deelt, waar en hoe lang u gegevens opslaat et cetera. 
2. Sluit verwerkersovereenkomsten. Wanneer u voor (een deel van) het verwerken van persoonsgegevens hulp krijgt van iemand anders, bijvoorbeeld bij uw (salaris)administratie, dan blijft u verantwoordelijk voor het verwerken van deze gegevens. U moet dan goede afspraken maken met degene die gegevens voor u verwerkt (de Verwerker). Wanneer u een verwerkersovereenkomst moet sluiten (en wanneer dat niet nodig is), lees dan ons eerdere artikel. 
3. DPIA (Data Protection Impact Analyse). Maak een DPIA voor uw organisatie en processen, wanneer uit uw verwerkingsregister blijkt dat u stelselmatig bijzondere persoonsgegevens verwerkt. 
4. Privacystatement. Stel een duidelijk Privacystatement op, waarin u onder andere aangeeft welke gegevens u verwerkt, met wie u gegevens deelt et cetera. Plaats dit Privacystatement op uw website, zodat het voor klanten altijd inzichtelijk is. 
5. Datalekken. Wanneer u een datalek heeft, bijvoorbeeld omdat een medewerker een usb-stick met informatie over uw klanten is verloren of omdat uw systemen zijn gehackt, dan moet u dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Ook moet u betrokkenen (de personen van wie de gegevens zijn gelekt) waarschuwen en uitleggen wat u heeft gedaan (en wat zij kunnen doen) om de schade te beperken. Het is belangrijk dat iedereen in uw bedrijf weet hoe ze een datalek moeten melden en bij wie. Ook heeft u procedures nodig voor het beoordelen en melden van een datalek. 
6. Cyberverzekering. Wanneer uw onderneming wordt gehackt of wanneer gegevens verloren gaan, kan dit grote gevolgen hebben voor uw onderneming. De gegevens moeten mogelijk worden hersteld of u moet extra medewerkers inhuren om uw onderneming draaiende te houden. U kunt ervoor kiezen een cyberverzekering af te sluiten die u helpt bij deze risico's. Uw adviseur kan u hierover meer vertellen. 

Conclusie

De nieuwe privacywetgeving, die op 25 mei 2018 in werking treedt, kent 6 beginselen om ervoor te zorgen dat persoonsgegevens zo veilig mogelijk worden verwerkt. Elk van die uitgangspunten heeft de bedoeling om te voorkomen dat persoonsgegevens worden verwerkt, zonder dat dit nodig is en/of dat persoonsgegevens niet worden verwerkt door personen die daartoe niet bevoegd zijn. De AVG kent weinig concrete normen. Vaak geeft de wet de hoofdlijn en moet u daaraan zelf invulling geven. Het is belangrijk dat u kunt laten zien dat zij hiermee serieus aan de slag zijn gegaan en welke afwegingen zij hebben gemaakt. De Autoriteit persoonsgegevens geeft wel uitleg over de invulling op hulpbijprivacy.nl.