Wat moet ik weten over de AVG wetgeving?
Privacywetgeving
Privacy-wetgeving is niet nieuw. In de Europese Unie (EU) heeft nu nog elke lidstaat een eigen privacywet. Deze nationale wetten zijn wel allemaal gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is de nationale uitvoering van deze richtlijn de Wet bescherming persoonsgegevens (Wbp).
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG of GDPR in het Engels) van toepassing. Dat betekent dat er vanaf die datum nog maar één privacywet geldt in de hele EU. De Wbp geldt dan niet meer, maar de basisprincipes uit die wetgeving vormen nog steeds de kern van de nieuwe AVG. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens.
Wat is het algemene doel van de AVG?
Het algemene doel van de Algemene verordening gegevensbescherming is om de EU-burgers te beschermen op het gebied van privacyregelgeving en persoonsgegevens. De Avg biedt rechten met betrekking tot persoonsgegevens welke gedeeld worden met organisaties die dergelijke persoonsgegevens verzamelen, opslaan en verwerken.
Voor wie is de Avg van toepassing?
De Avg is van toepassing op elke organisatie dat persoonsgegevens van EU-burgers verzamelt. Een organisatie hoeft niet in de EU te worden opgericht om onder de voorwaarden van de Avg te vallen. Als een organisatie buiten de EU ligt en persoonlijke gegevens verzamelt vanuit de EU, is het Avg van toepassing op deze organisatie.
Wat gaat er veranderen?
De nieuwe AVG wet verscherpt regels uit de huidige Wet Bescherming Persoonsgegevens. Uiteindelijk blijft er veel hetzelfde. Data-minimalisatie, the-right-to-be forgotten, informatieplichten en bewerkersovereenkomsten stonden altijd al in de wet, zij het soms onder andere namen.
Ook een goed privacybeleid, een begrijpelijk privacy statement, goede afspraken tussen bewerkers en verantwoordelijken en een procedure voor datalekken blijft belangrijk.
Veel bestaande regels zijn flink aangescherpt in de nieuwe AVG, en een aantal nieuwe verplichtingen toegevoegd. Er wordt meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden.
Wat kan ik zelf ondernemen?
Als organisatie kan je nu alvast stappen ondernemen om straks klaar te zijn voor de AVG. Om je hierbij te helpen, heeft de Autoriteit Persoonsgegevens de 10 belangrijkste stappen op een rijtje gezet.
Wat zijn persoonsgegevens?
De AVG geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wet extra beschermd.
Wat houdt het verwerken van persoonsgegevens in?
Onder verwerking wordt verstaan: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.
De wet bepaalt dat een organisatie alleen persoonsgegevens mag verwerken als dat noodzakelijk is voor een bepaald doel.
Verwerkingsbeginselen
De AVG introduceert kernbeginselen waaraan alle verwerkingen van persoonsgegevens moeten voldoen:
- persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verwerkt;
- persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt;
- alleen persoonsgegevens die noodzakelijk zijn voor het doel mogen worden verwerkt;
- gegevens moeten correct en actueel zijn;
- als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of geanonimiseerd, en;
- de persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.
Terminologie verwerkingsverantwoordelijke/verwerker
De AVG hanteert de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’ in plaats van de begrippen ‘verantwoordelijke’ en ‘bewerker’ uit de Wbp. In de Nederlandse vertaling van de AVG zijn de volgende definities gegeven:
Verwerkingsverantwoordelijke
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Dit zijn de klanten van Teqa die i-Reserve als product afnemen
Verwerker
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Dit is zijn wij als organisatie als leverancier van i-Reserve en onze server beheerder met betrekking tot de hosting van i-Reserve.
De betrokkene
Is degene van wie een organisatie persoonsgegevens verwerkt. Dit is dus degene op wie de persoonsgegevens betrekking hebben. Dit zijn jullie klanten, de eindgebruikers.
Het verwerken van bijzondere persoonsgegevens
Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Volgens de AVG is het verwerken van bijzondere persoonsgegevens verboden, tenzij er een uitzondering op van toepassing is.
Bijzondere persoonsgegevens zijn persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid. Zulke gegevens mogen dan ook alleen onder zeer strenge voorwaarden worden verwerkt.
Wat zijn de belangrijkste veranderingen voor organisaties?
Als de algemene verordening gegevensbescherming van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen.
Toestemming
Nieuw is dat de organisatie moet kunnen aantonen dat zij geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven. Dit moet een ‘ondubbelzinnige’ wilsuiting zijn. Dus geen vooraf aangevinkte hokjes meer! De vraag om toestemming te geven moet duidelijk en begrijpelijk zijn en in eenvoudige taal worden gepresenteerd.
Als organisatie moet je uiteindelijk kunnen bewijzen dat de betrokkene toestemming heeft gegeven. De betrokkene heeft ten alle tijde het recht de toestemming in te trekken, en moet daar ook op worden gewezen.
LET OP:
Toestemming vragen voor vastlegging van persoonsgegevens is niet altijd noodzakelijk. Bijvoorbeeld zolang de gegevens die vastgelegd worden, beperkt zijn tot wat noodzakelijk is voor de uitvoering van de aangegane overeenkomst. In andere gevallen moet je toestemming vragen. Om te achterhalen wat voor jullie van toepassing is vind je hier meer informatie.
Administratieplicht
De AVG legt een documentatieplicht op, wat inhoudt dat aangetoond moet kunnen worden dat de organisatie handelt in overeenstemming met de AVG. Denk hierbij aan de toestemming, gegeven informatie, rechten van betrokkenen, beveiliging van gegevens, minimalisatie van de verwerkingen en afspraken met bewerkers. Dus: Breng de gegevensverwerkingen in de organisatie in kaart. Veel organisaties zullen hun privacy statement dienen aan te passen en dit is niet onbelangrijk. Op het niet hebben van een (volledig) privacy statement staat straks namelijk een heftige boete.
Zodra de AVG van toepassing is, vervalt de Wbp plicht om gegevensverwerkingen bij de toezichthouder te melden. In plaats daarvan moeten organisaties zelf een register gaan bijhouden van verwerkingsactiviteiten (‘verwerkingsregister’) die onder hun verantwoordelijkheid plaatsvinden.
Bewerkersovereenkomst
Het sluiten van een bewerkersovereenkomst is op zich niks nieuws, want die is nu binnen de Wbp al verplicht. Deze gaat nu met de AVG een verwerkersovereenkomst heten, en geldt tussen de verantwoordelijke voor de persoonsgegevens, en de partij die de persoonsgegevens voor hem verwerkt (nu bekend als bewerker, straks verwerker).Nieuw is echter dat de AVG een aantal verplichte onderdelen van deze overeenkomst noemt, waaronder:
- het doel van de verwerking;
- het soort persoonsgegevens dat wordt verwerkt;
- de categorieën van betrokkenen;
- dat passende beveiligingsmaatregelen zullen worden genomen;
- dat de bewerker meewerkt aan audits om te controleren of de bewerker zich aan alle verplichtingen houdt, en;
- na afloop van de verwerking vernietiging of retourneren van de persoonsgegevens aan de verantwoordelijke
De bewerker zal voortaan niet meer een externe partij mogen inschakelen om persoonsgegevens te verwerken, zonder voorafgaande schriftelijke toestemming van de verantwoordelijke.
Privacy impact assessment (PIA)
In het Nederlands een ‘gegevensbeschermingseffectbeoordeling’, de PIA een onmisbaar hulpmiddel voor organisaties om de privacy impact in te schatten of te evalueren. Door het gebruik van de PIA kan bescherming van persoonsgegevens op een gestructureerde manier onderdeel uitmaken van de belangenafweging en besluitvorming binnen organisaties.
In de PIA wordt vastgelegd waarom, op welke manier en hoe lang er persoonsgegevens verwerkt worden. Het uitvoeren van een Privacy Impact Assessment is verplicht als het verwerken van persoonsgegevens, in het bijzonder met behulp van nieuwe technologieën, risico’s voor betrokkenen inhoudt.
Meldplicht datalekken
Deze kennen we al in de Nederlandse wet: meldplicht voor datalekken. Deze is ook in de AVG opgenomen en blijft grotendeels ongewijzigd. De AVG stelt wel strengere eisen aan je eigen registratie van de datalekken die zich in je organisatie hebben voorgedaan. Jij moet alle datalekken documenteren.
Voorkom stress door vooraf te bedenken hoe je handelt als er een veiligheidsrisico optreedt. Zo moet jij als verwerkingsverantwoordelijke in sommige situaties een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Houdt het lek waarschijnlijk een hoog risico in voor de personen waar de gegevens betrekking op hebben? Dan moeten zij ook van het lek op de hoogte worden gesteld. Bepaal daarom vooraf een workflow voor security-incidenten, waarin de juiste personen tijdig een beslissing kunnen nemen over de te volgen acties.
De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken gepubliceerd.
Mogelijk hebben jullie een data protection officer nodig
Een data protection officer (DPO), oftewel functionaris voor gegevensbescherming (FG), is een onafhankelijke persoon binnen de organisatie die adviseert en rapporteert over naleving van de AVG. De privacy officer was in de Wbp niet verplicht, maar is het onder de AVG in sommige situaties wel. Volgens de wet is deze verplicht wanneer jullie op grote schaal gevoelige persoonsgegevens zoals gezondheidsgegevens verwerkt, of als jullie structureel mensen observeren (fysiek of digitaal). Een FG kan iemand zijn die intern aangesteld wordt, maar mag ook iemand zijn die extern aangesteld wordt.
Rechten van betrokkene
Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. Transparantie staat voorop: de betrokkene moet geïnformeerd worden over wat er met zijn persoonsgegevens gebeurt. Alles moet in eenvoudige en duidelijke taal worden gecommuniceerd.
Naast het bekende recht op inzage, correctie en verzet, heeft de betrokkene onder de AVG ook:
- het recht om vergeten te worden,
- het recht op overdraagbaarheid van zijn data (ook wel: dataportabiliteit),
- het recht de verwerking te beperken en
- het recht bezwaar te maken tegen bepaalde verwerkingen. De betrokkene heeft ten alle tijde het recht om bezwaar te maken tegen de verwerking van zijn gegevens voor direct marketingdoeleinden. Als de betrokkene een dergelijk bezwaar indient, dan mogen zijn gegevens niet meer voor marketing doeleinden worden verwerkt.
Recht op inzage
Een betrokkene heeft het recht om van de verwerkingsverantwoordelijke te horen te krijgen of zijn/haar persoonsgegevens verwerkt worden. Wanneer de persoonsgegevens worden verwerkt, heeft de betrokkene recht op informatie over deze gegevens. De betrokkene heeft onder andere recht op informatie over:
- de doelen van de verwerking;
- de betrokken categorieën van persoonsgegevens;
- de ontvangers aan wie de persoonsgegevens worden verstrekt;
- de opslagperiode;
- het feit dat betrokkene het recht heeft om een verzoek tot rectificatie in te dienen, een verzoek tot het wissen of beperken van de gegevens en het recht om bezwaar te maken;
- het feit dat de betrokkene een klacht kan indienen.
Recht op rectificatie en recht van verzet
Een betrokkene heeft het recht om van de voor verwerking verantwoordelijke verbetering van onjuiste persoonsgegevens te verkrijgen. Dit moet zonder onredelijke vertraging gebeuren. Tegen bepaalde vormen van gegevensverwerking kan de betrokkene zich verzetten, als gevolg waarvan de verwerking van zijn persoonsgegevens mogelijk moet worden gestaakt. Denk aan een organisatie die persoonsgegevens gebruikt voor marketingdoeleinden. (Op dit moment bestaat er voor direct marketing al een absoluut recht van verzet. Als een betrokkene hier gebruik van maakt, mag je hem of haar dan niet meer benaderen voor marketingdoeleinden).
Recht om vergeten te worden
In sommige situaties heeft de betrokkene het recht om de gegevens helemaal te laten verwijderen. In de AVG zijn voor dat laatste recht extra gronden toegevoegd. de AVG introduceert het recht om vergeten te worden. Dit betekent dat de verwerkingsverantwoordelijke de persoonsgegevens zonder onredelijke vertraging moet wissen bijvoorbeeld wanneer de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of verder worden verwerkt. Ook wordt het verplicht om bij zo’n verzoek de partijen te informeren met wie je de gegevens hebt gedeeld. De namen van deze partijen moeten dan ook gedeeld worden met de betrokkene. De verwerkingsverantwoordelijke moet redelijke maatregelen nemen om de gegevens te verwijderen, maar ook om iedere koppeling, kopie of reproductie te wissen.
Bekijk hiervoor ook de mogelijkheid om gegevens automatisch te anonimiseren in i-Reserve.
Recht op overdraagbaarheid van gegevens
De AVG introduceert het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens. Dat betekent dat jullie verzoeken kunnen krijgen van jullie klanten om hun persoonsgegevens beschikbaar te stellen. Het gaat om alle digitale gegevens die een organisatie met toestemming van de betrokkene verwerkt, plus de gegevens die nodig zijn om een overeenkomst uit te voeren. Ook een zoekgeschiedenis of locatiegegevens vallen onder het recht van overdraagbaarheid. Jullie zijn dan als organisatie wettelijk verplicht om de gegevens in een ‘gestructureerde, gangbare en voor een machine leesbaar’ formaat te verstrekken. Jullie kunnen je hierop voorbereiden door alvast na te denken over hoe jullie de gegevens beschikbaar gaat stellen. Bijvoorbeeld via een tool waarmee jullie klanten hun gegevens direct op een beveiligde manier kunnen downloaden.
Indien het technisch mogelijk is moet de verwerkingsverantwoordelijke de gegevens rechtstreeks doorsturen naar een andere verwerkingsverantwoordelijke. Dit kan bijvoorbeeld met een Application Programming Interface (API), waarmee een verbinding mogelijk wordt gemaakt tussen jullie systeem en een applicatie en dat van een andere partij.
In i-Reserve is het mogelijk dat de klant zelf zijn/haar gegevens download, de beheerder klantgegevens exporteert of via een API gegevens doorstuurt.
Privacy by default en Privacy by design
De AVG introduceert een verplichting tot gegevensbescherming via standaard instellingen (Privacy by default) en via instelbare functionaliteit (Privacy by design) binnen de software.
De verplichting tot Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je standaard alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Waar gebruikers hun privacy-instellingen zelf kunnen aanpassen moeten deze bijvoorbeeld standaard op het hoogste niveau worden ingesteld.
De verplichting tot Privacy by design houdt in dat je er al bij het ontwerpen van producten, diensten en organisatieprocessen voor moet zorgen dat persoonsgegevens worden beschermd.
Voorbeelden:
- Bij het aanbieden van een app de gebruikers niet hun locatie laten registeren als dat Niet nodig is;
- Op de website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
- Als iemand zich op een nieuwsbrief wil abonneren, niet meer gegevens te vragen dan nodig is.
Bekijk hier wat i-Reserve doet aan de beveiliging en bescherming van persoonsgegevens.
Beveiliging moet op orde zijn - en blijven
Beveiliging van persoonlijke gegevens is cruciaal. Zonder encryptie, tweefactorauthenticatie en het kunnen scheiden en veilig wissen van persoonlijke informatie nemen jullie als organisatie een zeer groot risico.
Overtreden en sancties
De maximale boete per overtreding van de huidige privacywet (Wbp) is nu 900.000 euro. In de AVG krijgen de nationale toezichtsorganen meer bevoegdheden om schendingen van de AVG te sanctioneren. De boetes zijn fors en kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet indien een organisatie niet voldoet aan de vereisten uit de wet. Boetes die in Nederland uitgedeeld worden door de aangestelde toezichthouder: Autoriteit Persoonsgegevens (AP).
Op zoek naar details? Op autoriteitpersoonsgegevens.nl vindt je ook de antwoorden op veelgestelde vragen.
Cookies, spam, email, telemarketing en de AVG
Regels voor de behandeling van elektronische communicatie zoals cookies, Wifi-tracking, email etc zijn niet vastgelegd in de AVG. Dat vind je in de ePrivacy-richtlijn - een bestaande Europese wetgeving die in 2018 een update krijgt. De ePrivacy-richtlijn staat ook wel bekend als de cookiewet. De Europese Unie hoopt de aangepaste regels samen met de AVG te kunnen lanceren, om in één adem burgers meer bescherming voor hun persoonlijke informatie te bieden. Meer in het algemeen legt deze wettelijke tekst de regels vast die organisaties moeten volgen om de vertrouwelijkheid van digitale communicatie te garanderen.