De AVG, wat staat voor Algemene Verordening Gegevensbescherming, is een wet die is ontworpen om de privacy van individuen te beschermen in de digitale wereld. De wet werd van kracht op 25 mei 2018 en is van toepassing op alle bedrijven en organisaties binnen de Europese Unie die persoonlijke gegevens verzamelen, verwerken en opslaan. Daarvoor kenden we de Wet Bescherming Persoonsgegevens.

De AVG legt strenge regels op over hoe bedrijven en organisaties persoonlijke gegevens moeten behandelen en verwerken, en stelt ook hoge eisen aan de beveiliging van deze gegevens.

Het doel van deze wet is om individuen meer controle te geven over hun persoonlijke gegevens en om hen te beschermen tegen mogelijke misbruiken of ongeautoriseerde toegang tot hun gegevens.

Bedrijven en organisaties die zich niet aan de regels van de AVG houden, riskeren zware sancties, zoals boetes tot 4% van hun wereldwijde jaaromzet of € 20 miljoen, afhankelijk van welk bedrag hoger is. Daarom is het cruciaal voor bedrijven om zich bewust te zijn van de regels van de AVG en deze na te leven om de privacy van hun klanten en werknemers te beschermen en sancties te voorkomen.

Welke verplichtingen kent de AVG?

Kort gezegd moeten bedrijven en organisaties die persoonsgegevens verwerken het volgende doen:

• Bepalen welke gegevens ze mogen verwerken
• Een verwerkingsregister maken en actueel houden
• Risico-analyses uitvoeren (DPIA’s)
• Privacyverklaringen opstellen
• Een datalekkenregister bijhouden
• Verwerkersovereenkomsten tekenen
• De gegevens goed beschermen

Een van de belangrijkste begrippen uit de AVG is dat van transparantie. Oftewel: zeg wat je doet.

Met een juiste privacyverklaring creëer je duidelijkheid richting je klanten, medewerkers en andere groepen van wie je gegevens verwerkt. Ze moeten namelijk weten:

• welke gegevens je verzamelt
• waarom je ze gebruikt
• waarom je ze mag gebruiken
• hoe lang je ze bewaart
• welke andere organisaties je hierbij helpen
• en nog meer…

Door zelf een eigen privacyverklaring op te stellen denk je daarnaast meteen goed na over hoe het er bij jou op privacy gebied aan toegaat. En niet onbelangrijk: een privacyverklaring is verplicht als je persoonsgegevens verwerkt.

Wanneer je privacyverklaring ontbreekt of niet op orde is, is dit voor buitenstaanders één van de eerste dingen die opvalt. Steeds meer mensen vinden privacy belangrijk. Ook jouw klanten en medewerkers! Is jouw privacyverklaring niet op orde? Dan roept dat vragen of zelfs frustratie op. Toch hebben nog (te) veel organisaties hun privacyverklaring niet op orde. Daarom hieronder de 3 meeste gemaakte fouten.

1. Een kant en klare privacyverklaring van internet (gratis of gekocht)

Een kant en klare privacyverklaring is onzin. Onmogelijk. Waarom? Geen organisatie is hetzelfde. Zelfs als je het template aanpast, ga je belangrijke zaken missen. Het is alsof je je jaarrekening van internet plukt en alleen je banksaldi in de balans aanpast. Een privacyverklaring is eigenlijk niets anders dan je verwerkingsregister (zie dit als je boekhouding) samengevat en in normale mensentaal uitgeschreven. Je boekhouding is toch ook niet hetzelfde als die van een concullega? Tip van ons: start bij het begin, je verwerkingsregister.

2. Een te algemene privacyverklaring

De privacyverklaring is bedoeld om anderen te informeren, zodat ze snappen welke persoonsgegevens je wanneer van ze verwerkt en waarom.

We zien vaak dat organisaties een tekst in de privacyverklaring hebben staan als: “We verwerken je NAW, geboortedatum, emailadres, (…) als je klant bij ons wordt. Soms verwerken we je gegevens met toestemming en in andere gevallen omdat we een wettelijke plicht hebben. We geven deze gegevens in bepaalde gevallen door aan anderen en bewaren ze niet langer dan noodzakelijk”.

Dat is niet informeren. Je weet als lezer nog helemaal niets. Ook mist in deze privacyverklaringen vaak een hele hoop verwerkingen. De oorzaak: ook weer het gaan werken vanuit het eindpunt, de privacyverklaring. Start bij het verwerkingsregister.

3. Een sterk verouderde privacyverklaring

Regelmatig zien we privacyverklaringen met als publicatiedatum een datum uit 2018 of 2019. Het is bijna onmogelijk dat er in de tussentijd helemaal niets is veranderd. Misschien denk je dat dat zo is. Maar als je kritisch gaat kijken is er toch vaak een verwerker gewijzigd, een nieuwe activiteit bijgekomen of een bewaartermijn aangepast. Of de wet is gewijzigd, waardoor je privacyverklaring niet meer klopt. Check je privacyverklaring (of eigenlijk liever: je verwerkingsregister) minimaal 1x per half jaar.

En de bonus: de vergeten interne privacyverklaring

Veel bedrijven vergeten dat ze ook hun medewerkers moeten informeren over welke persoonsgegevens ze als werkgever verwerken. Dat doe je natuurlijk niet in de privacyverklaring die je op je website zet. Hiervoor maak je een aparte interne privacyverklaring. Die verstrek je vóórdat iemand bij jou in dienst treedt. En houd ook deze actueel!

En nu?

Moeite met het opstellen of actueel houden van je privacyverklaring? Of denk je dat dit veel werk is? Neem dan contact met ons op: onze AVG-tool Caris doet dit namelijk voor je. Op maat gemaakt, volledig en blijvend actueel.

Je hebt er wellicht al weleens eentje onder je neus geschoven gekregen: een verwerkersovereenkomst. Het document waarbij twee partijen afspraken kunnen maken over privacy. Maar wanneer moet je een verwerkersovereenkomst sluiten en wat moet hierin staan?

Wanneer een verwerkersovereenkomst sluiten?

Op basis van de AVG kan een onderscheid worden gemaakt in verwerkingsverantwoordelijken en verwerkers. Wanneer je als verwerkingsverantwoordelijke een verwerker inschakelt, dan moet dit geregeld worden in een overeenkomst of via een andere rechtshandeling. Dit kan dus in de vorm van een verwerkersovereenkomst.

Wat moet er in een verwerkersovereenkomst staan?

De wet vereist dat er een aantal dingen in de verwerkersovereenkomst komen te staan, namelijk:

• De persoonsgegevens mogen enkel worden verwerkt wanneer de verwerkingsverantwoordelijke de verwerker schriftelijke instructies geeft.
• De verwerker is gebonden tot vertrouwelijkheid.
• De verwerker moet ervoor zorgen dat er passende beveiligingsmaatregelen zijn genomen teneinde persoonsgegeven te beschermen.
• De verwerker moet ervoor zorgen dat wanneer hij een subverwerker inschakelt, deze hetzelfde niveau heeft op het gebied van beveiliging en vertrouwelijkheid, als de verwerker zelf.
• De verwerker moet meewerken aan audits, gegevensbeschermingseffectbeoordelingen en het uitvoeren van de rechten van betrokkenen.
• Wanneer er sprake is van een datalek dan moet de verwerker de verwerkingsverantwoordelijke daarvan tijdig op de hoogte stellen en meewerken aan het herstellen van het datalek en in de toekomst voorkomen van een nieuw datalek.

Helaas zien we in de praktijk ook dat er regelmatig verwerkersovereenkomsten worden aangeboden in gevallen waarin dat helemaal niet moet of mag. Teken ze dus niet zomaar!

Heb je een verwerkersovereenkomst ontvangen en twijfel je of je deze moet tekenen? Of wil je zelf een verwerkersovereenkomst opstellen? Neem dan contact met ons op!

LET OP

in bepaalde situaties kan het voorkomen dat je samen met de andere partij bent aan te merken als gezamenlijk verwerkingsverantwoordelijken. Hiervoor moet je een overeenkomst voor gezamenlijk verwerkingsverantwoordelijken opstellen. Twijfel je of dit op jouw organisatie van toepassing is, dan kan je uiteraard ook contact met ons opnemen.

De personen van wie persoonsgegevens worden verwerkt hebben bepaalde rechten. Dit worden de rechten van betrokkenen genoemd. Het is belangrijk dat jouw organisatie deze rechten naleeft. Dit is niet alleen een wettelijke verplichting, maar als organisatie kan je op deze manier ook je klanten, medewerkers of leden extra vertrouwen geven.

In de praktijk zien wij dat het aantal verzoeken tot het uitvoeren van rechten exponentieel toeneemt. Mensen zijn zich steeds meer bewust van de gevaren van privacy-schending en weten steeds beter wat jij als organisatie wel en niet mag.

Het lastige voor organisaties is dat je niet in iedere situatie aan ieder recht invulling hoeft te geven. Dit heeft vaak te maken met de reden waarom persoonsgegevens worden verwerkt. Hoe is binnen jullie organisatie geregeld dat je altijd snel en goed kunt voldoen aan de verschillende rechten?

De specifieke rechten uitgelegd

Recht op inzage
Hiermee kun je een overzicht opvragen van de persoonsgegevens die van jou worden verwerkt.

Recht op vergetelheid
Dit kennen de meesten als het recht om je gegevens te laten wissen. Let op: je mag/hoeft vaak niet alle gegevens te wissen, bijvoorbeeld als je een wettelijke plicht om hebt de persoonsgegevens te bewaren.

Recht op rectificatie
Kloppen de persoonsgegevens niet (meer) of zijn ze incompleet? Dan mag een betrokkene je verzoeken ze te wijzigen of aan te passen.

Recht op dataportabiliteit
Je hebt het recht jouw persoonsgegevens, in machine-leesbaar format (bv csv) op te vragen. Zo kun je ze doorgeven aan een andere organisatie. Dit geldt alleen voor digitale gegevens.

Recht op beperking van gegevensverwerking
Ben je van mening dat een organisatie teveel persoonsgegevens van jou verwerkt? Of voor teveel verschillende doelen? Dan kun je een verzoek doen om dit te minderen.

Rechten met betrekking tot geautomatiseerde besluitvorming
Je hebt het recht dat er een menselijke blik wordt geworpen op besluiten die door de organisatie over jou genomen worden. En dat een organisatie niet zomaar profielen opstelt over jou.

Recht op bezwaar te maken
Deze spreekt voor zich. Als jij in de privacyverklaring verwerkingen ziet waarmee je het oneens is, dan mag hiertegen bezwaar worden gemaakt.

Het belangrijkste recht

En tot slot, misschien wel de belangrijkste, het recht op duidelijke informatie.
Je moet heel duidelijk maken aan jouw klanten, leveranciers, medewerkers, etc. welke gegevens je precies van ze verwerkt en waarom. Dit mag niet zomaar een algemene opsomming zijn, maar moet per doel per type gegevens worden verteld. Hoe kun je anders als betrokkene weten welke rechten je wel of niet wilt uitvoeren. Hiervoor heb je als organisatie een privacyverklaring.

Helaas zien wij veel privacyverklaringen die niet “AVG-proof” zijn. Terwijl de wetgever en toezichthouder heel zwaar tillen aan duidelijke informatie. Hoe goed is jouw privacyverklaring?

Wist je dat:
Je met onze privacy software Complite automatisch een privacyverklaring kunt genereren wanneer het verwerkingsregister goed gevuld is?

Wil je hier meer over weten? Stuur ons een bericht!

Achtergrond

In de AVG wordt gesproken over geanonimiseerde en gepseudonimiseerde persoonsgegevens. Dit zijn manieren om de verwerking van persoonsgegevens minder ingrijpend te laten zijn (gepseudonimiseerd) of gegevens zelfs niet onder het begrip persoonsgegevens te laten vallen (geanonimiseerd). Maar wanneer is er nu sprake van welke variant?

Om dat te bepalen gaan we eerst kijken naar de definities die in de AVG staan. De definitie van “pseudonimisering” is de volgende: “het verwerken van persoonsgegevens op zodanige wijze dat persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.”

Het begrip “anonimisering” staat niet als dusdanig in de AVG maar anonieme gegevens worden wel genoemd als zijnde gegevens die geen betrekking hebben op een geïdentificeerd of identificeerbare natuurlijke persoon. Het zijn simpelweg geen persoonsgegevens.

Ik kan mij voorstellen dat…

…wanneer je dit leest het nog een beetje abracadabra klinkt. Vandaar iets meer uitleg:

• Bij gepseudonimiseerde persoonsgegevens kan het bijvoorbeeld zijn dat de persoonskenmerken in de gegevens onleesbaar worden gemaakt. De persoonskenmerken kunnen vervolgens versleuteld worden opgeslagen en enkel toegankelijk worden gemaakt voor bepaalde personen.
• Voorbeelden van geanonimiseerde gegevens zijn persoonsgegevens die willekeurig worden omgezet in andere data of wanneer bepaalde delen van persoonsgegevens worden verwijderd waardoor ze niet meer herleidbaar zijn. Bij anonimisering is het belangrijk dat het proces niet teruggedraaid kan worden. Gegevens die anoniem gemaakt zijn, blijven anoniem.

Let wel op: de Autoriteit Persoonsgegevens is streng op het gebied van geanonimiseerde gegevens

Gegevens krijgen niet zomaar het stempel “anoniem”. Een recentelijk voorbeeld is het delen van locatiegegevens door telecombedrijven aan de overheid met betrekking tot het bestrijden van Covid-19. De Autoriteit Persoonsgegevens heeft in dit kader zich uitgesproken dat deze locatiegegevens nooit anoniem kunnen zijn. Wie weet waar iemand woont of werkt en die gegevens combineert met de “geanonimiseerde” locatiegegevens kan deze gegevens altijd herleiden naar een natuurlijke persoon. De lat voor anonieme gegevens ligt erg hoog, waardoor de AVG vaker op de door jou verwekte gegevens van toepassing is, dan je misschien denkt.

Geanonimiseerde en gepseudonimiseerde persoonsgegevens zijn een ingewikkeld onderwerp…

…maar kunnen wel een belangrijk onderdeel zijn van de technische maatregelen die je moet nemen in het kader van de AVG. Heb je vragen over door jou genomen maatregelen of over andere ingewikkelde onderwerpen in de AVG? Neem contact met ons op!

Zoek de verschillen

Wie weleens met de AVG te maken heeft gehad, zal ongetwijfeld gehoord hebben van de begrippen “verwerkingsverantwoordelijke” en “verwerker”. Maar wat houden deze begrippen nu daadwerkelijk in? En wat is het onderscheid?

De verwerkingsverantwoordelijke is een natuurlijke of rechtspersoon (of overheidsinstantie, een dienst of een ander orgaan) die samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

De verwerker is dan juist de partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Voorbeeld

Dit is het makkelijkste uit te leggen met een voorbeeldje: bedrijf X beslist dat een nieuwsbrief moet worden verspreid onder hun klanten. Hiervoor geeft zij een lijst met e-mailadressen aan bedrijf Y dat de nieuwsbrieven vervolgens daadwerkelijk gaat versturen. Bedrijf X bepaalt in dit geval welke persoonsgegevens er worden verwerkt en het doel van de verwerking; namelijk e-mailadressen om een nieuwsbrief te verzenden. Bedrijf X moet er dan ook zorg voor dragen dat de gegevens op basis van de juiste grondslag zijn verzameld en worden verwerkt, bijvoorbeeld dat de klanten hier toestemming voor hebben gegeven. Bedrijf X is dus de verwerkingsverantwoordelijke en bedrijf Y de verwerker.

Het is wel belangrijk om te vermelden dat bedrijf Y de persoonsgegevens enkel verwerkt op basis van de instructie van bedrijf X. Wanneer bedrijf Y de persoonsgegevens daarnaast voor andere, door zichzelf vastgestelde, doeleinden gaat verwerken, dan wordt bedrijf Y ook verwerkingsverantwoordelijke. Dit is bijvoorbeeld het geval als bedrijf Y de mailadressen weer doorverkoopt aan een andere partij (even los van de vraag of dit is toegestaan!).

En nu?

De verwerkingsverantwoordelijke en de verwerker moeten de verwerking van persoonsgegevens regelen in een overeenkomst: de verwerkersovereenkomst. De verwerker moet passende technische en organisatorische maatregelen nemen om de gegevens te beschermen, maar de verwerkingsverantwoordelijke moet wel checken of de genomen maatregelen inderdaad voldoende zijn. Dat laatste gebeurt in de praktijk zelden en veel verwerkingsverantwoordelijken zijn niet van deze verplichting op de hoogte!

Is dan de oplossing om overal maar verwerkersovereenkomsten voor te tekenen? Gewoon voor de zekerheid? Nee, absoluut niet! Er zijn vele redenen om hier erg kritisch naar te kijken. Teken dus niet zomaar iedere verwerkersovereenkomst en laat ze ook niet te pas en te onpas tekenen door leveranciers.

Houdt u zich bezig met het verwerken van persoonsgegevens en bent u benieuwd welke rol u vervult? Of vraagt u zich af of u een verwerkersovereenkomst moet opstellen of tekenen? En hoe de technische en organisatorische maatregelen van de verwerker gecontroleerd kunnen worden? Neem gerust contact met ons op!

vorige week legden we kort uit waar je bij het vragen om toestemming allemaal aan moet denken.maar eigenlijk sloegen we daarbij een stapje over, namelijk de “juridische grondslagen” die de wet noemt.

Wanneer mag je persoonsgegevens verwerken

Vorige week legden we kort uit waar je bij het vragen om toestemming allemaal aan moet denken.Maar eigenlijk sloegen we daarbij een stapje over, namelijk de “juridische grondslagen” die de wet noemt.

Jurdische wat? Dat klinkt saai

Geen zorgen. We houden het kort. Dat je niet zomaar persoonsgegevens mag verwerken, dat is bij de meesten wel bekend. Maar wanneer mag het dan wel?

Daarvoor geeft de AVG in totaal zes opties. Kun je de verwerking niet in één van deze zes categorieën kwijt? Dan houdt het daar helaas op en mag je de persoonsgegevens niet (op die manier) verwerken.

Wie van de zes

De mogelijkheden die de AVG geeft, lichten we hieronder toe. Dit is in willekeurige volgorde! Er is niet een ‘betere‘ of ‘slechtere‘ grondslag, alleen een ‘juiste’.

• Toestemming: Deze is wel bekend en dus vorige week in dit blog uitgelegd.
• Wettelijke verplichting: Denk hierbij aan de verplichting om een financiële administratie bij te houden.
• Uitvoeren van een overeenkomst: Je bestelt iets bij een webshop, dan heeft die webshop wel je adres nodig om het pakketje naar je toe te kunnen sturen.
• Bescherming van vitale belangen: Niet de leukste voorbeelden om te geven, maar hier gaat het om situaties waarin acuut gevaar dreigt en de persoon zelf niet in staat is om toestemming te geven. Stel: iemand is betrokken bij een ongeluk, is bewusteloos en er moet gecontroleerd worden welke bloedgroep iemand heeft.
• Algemeen belang en uitvoeren van openbaar gezag: De politieagent die een proces-verbaal opmaakt, de gemeentelijke basisadministratie, flitspalen langs de provinciale weg. Ga zo maar door.
• Gerechtvaardigd belang: De categorie waarover vaak de meeste discussie bestaat. Maar ook één die kansen biedt. Je mag namelijk ook persoonsgegevens verwerken als je daar een ‘goede en legitieme reden‘ voor hebt. Je moet daarbij wel de afweging maken of jouw reden zwaarder weegt dan de inbreuk die je daardoor maakt op iemands privacy. Bijvoorbeeld camera-toezicht bij een bedrijfspand. Dat mag, maar niet zomaar en overal. Wel bij de serverruimte, niet op de toiletten. Meestal dan. We zullen hier binnenkort in een apart blog wat meer voorbeelden van geven.

Welke moet ik nu kiezen?

Dat is niet zo eenvoudig als het misschien lijkt. Je moet namelijk wel logisch en consistent zijn in je keuze. Je mag bijvoorbeeld niet om toestemming vragen als je eigenlijk verwerkt vanuit een wettelijke verplichting. Dat ziet de AVG als “niet eerlijk“.

Waarom niet? Omdat je toestemming in kan trekken. Dus als in dat geval de persoon die toestemming heeft gegeven die toestemming intrekt, dan moet je toch doorgaan met het verwerken van de persoonsgegevens. Je hebt namelijk een wettelijke plicht daartoe. Maar door het vragen om toestemming wek je de indruk dat de ander een keuze heeft.

En nu?

We begrijpen dat het lastig is om te bepalen voor welke grondslag je in welk geval moet kiezen. Wij helpen je daar graag bij. Neem contact met ons op om hier een vrijblijvend over te sparren