Algemene Verordening Gegevensbescherming (AVG)

Categorie: Lexicon, DMS|

Sinds 25 mei 2018 is de General Data Protection Regulation (GDPR) van toepassing in de hele Europese Unie. In het Nederlands krijgt de nieuwe wet de naam Algemene Verordening Gegevensbescherming (AVG). Deze uniforme wet overschreef de voorgaande nationale privacywetten, zoals de Nederlandse Wet bescherming persoonsgegevens (Wbp). Dit betekende heel wat veranderingen voor bedrijven die persoonsgegevens verzamelen. Een evaluatie van het informatiebeheer en de voorbereiding op de strengere wet is daarom aan de orde.

Aanbevolen artikel: Strengere wet AVG vraagt om een herziening van informatiebeheer.

Rechten van betrokkenen worden nog beter gegarandeerd

Het uiteindelijke doel van de AVG-wetgeving is de bescherming van de essentiële privacyrechten van betrokkenen. Dit betekent in eerste instantie dat bedrijven moeten nadenken over hun algemene omgang met persoonsgegevens. Wat is het beleid? Is er überhaupt een beleid? Of werd er tot nu toe nog niet veel over de verzamelde persoonsgegevens nagedacht? De wet legt de rechten die een bedrijf beleidsmatig moet respecteren erg duidelijk vast.

algemene verordening gegevensbescherming rechten klanten

Met de AVG wordt de term ‘persoonsgegevens’ breder ingevuld dan onder de Wbp. Persoonsgegevens zijn sinds 25 mei 2018 alle gegevens die, direct of indirect, een natuurlijke persoon kunnen identificeren. Zo is het voor scholen bijvoorbeeld niet meer toegestaan om cijferlijsten met studentennummers te publiceren. Dit nummer kan namelijk herleid worden naar de student.

Recht op inzage

Het recht op inzage bestond al onder de Nederlandse privacywetgeving. Op dit vlak veranderde er dus niets. Belangrijk blijft wel dat klanten geen reden hoeven op te geven voor hun verzoek tot inzage. Aan de andere kant betekent dit niet dat er geen restricties op dit recht liggen. Zo mogen klanten alleen een verzoek plaatsen om hun eigen data in te zien, niet die van anderen. Bovendien is de organisatie niet verplicht om kopieën of originelen af te leveren. In sommige gevallen mag het verzoek tot inzage zelfs geweigerd worden, maar dan moet er wel een heel goede reden zijn. Dit kan bijvoorbeeld het geval zijn wanneer een beklaagde in een lopend onderzoek gegevens opvraagt bij de politie.

Recht op vergetelheid

Onder de nieuwe Europese wetgeving transformeerde het recht op correctie en verwijdering naar het recht op vergetelheid. In deze nieuwe vorm is het recht niet meer beperkt tot onjuiste of irrelevante gegevens. Klanten hebben nu ook het recht op een volledige verwijdering van al hun gegevens. Ze hoeven geen reden op te geven voor de aanvraag om gewist te worden uit het systeem.

Recht op dataportabiliteit

Het recht op dataportabiliteit is nieuw voor Nederlandse bedrijven. Voordien waren er hieromtrent geen strikte regels. Met de AVG zijn bedrijven echter verplicht om consumentengegevens beschikbaar te stellen aan de betrokkenen. Deze informatie moet ook in bruikbare vorm worden aangeleverd.

Het idee achter dit recht is dat klanten hun gegevens kunnen gebruiken voor hun eigen doeleinden. In veel gevallen zal er op het recht beroep gedaan worden om te veranderen van dienstenleverancier, bijvoorbeeld voor telefonie of internet. In dit geval kan de informatie ook rechtstreeks doorgegeven worden aan de nieuwe leverancier, als dit technisch mogelijk is. Toch zijn consumenten niet verplicht om de gegevens meteen weer te gebruiken. Ze kunnen ook opgevraagd worden voor een persoonlijk archief.

Tip: Consumenten kunnen bedrijven benaderen met verzoeken omtrent inzage, vergetelheid en dataportabilitet. In een Document Management Systeem kan een bedrijf controleren in hoeverre de verzoeken van consumenten zijn ingewilligd en waarom (niet). Daarnaast is de betreffende informatie in een goed gestructureerd DMS snel vindbaar.

Specifieke verplichtingen en maatregelen voor bedrijven onder de AVG

Bedrijven zijn relatief vrij in de manier waarop ze voldoen aan bovenstaande rechten. Toch zijn er twee specifieke verplichtingen die organisaties onder de nieuwe wetgeving moeten naleven: het in kaart brengen van de gegevensverwerking en het nakomen van de verantwoordingsplicht. Bedrijven moeten ten allen tijde kunnen aantonen wat er gebeurd is met de verzamelde gegevens en waarom. Dit houdt ook een groot voordeel in voor bedrijven zelf: bij geschillen is het voor hen gemakkelijker om zichzelf te verdedigen.

De verplichtingen zijn onder de nieuwe wet ook vertaald naar concrete maatregelen die bedrijven moeten treffen. Naast enkele universele verplichtingen bestaan er ook maatregelen die alleen in bepaalde gevallen of voor bepaalde bedrijven gelden. Deze extra verplichtingen zijn er vooral grotere bedrijven, bedrijven die een extra hoog risico op datalekken lopen, of voor verwerkingsactiviteiten waarbij persoonsgegevens worden gebruikt voor promotionele doeleinden.

europese privacywetgeving voorschriften

Consumenten goed inlichten over wat er met hun gegevens gebeurt

Verplicht voor alle bedrijven is transparantie naar de klant toe. Een duidelijk geschreven privacyverklaring is de eerste stap. Hierin moet beschreven worden wat er bewaard wordt, hoe het verwerkt wordt en waarom. Dat was in grote mate al zo onder de Nederlandse wetgeving, maar wordt met de AVG verder gespecificeerd.

Verplichte onderdelen van een privacyverklaring zijn sinds mei 2018:

  • Vermelding van de wettelijke grondslag die het bedrijf toelaat de gegevensverwerking uit te voeren.
  • Bepaling van hoe lang de data bewaard worden.
  • Vermelding van een eventuele uitwisseling met landen buiten de EU.
  • Uitleg over het klachtrecht van betrokkenen bij de AP.
  • Toelichting over de mogelijke geautomatiseerde besluitvorming en profilering.

De Autoriteit Persoonsgegevens informeren over verwerkingsactiviteiten

Transparantie over gegevensverwerking wordt ook vertaald naar de verplichte melding van datalekken aan de Autoriteit Persoonsgegevens (AP). Bovendien moeten middelgrote en grote bedrijven ook een register van verwerkingsactiviteiten kunnen voorleggen wanneer de AP hierom vraagt. Dit register is eigenlijk pas verplicht vanaf 250 medewerkers, maar kan ook kleinere bedrijven helpen om zich te verdedigen in geval van een geschil.

Voor bedrijven zelf is het register van verwerkingsactiviteiten daarnaast ook een goed controlemiddel. In de registers is zichtbaar als bepaalde gegevens in het digitale archief langer worden bijgehouden dan wettelijk toegestaan is. Zo kan een bedrijf snel actie ondernemen en (verdere) boetes vermijden.

Voor de verwerking van gegevens is het daarnaast ook belangrijk te weten dat een bedrijf de verantwoordelijkheid niet afgeeft als er van een externe verwerker gebruik wordt gemaakt. Een bedrijf kan bijvoorbeeld een marketingbureau inschakelen om een campagne rond een product of dienst op te zetten. Hiervoor zal het bedrijf bepaalde persoonsgegevens aanreiken aan het marketingbureau. In dit geval blijft de opdrachtgever voor de campagne (en niet het verwerkende marketingbureau) de verwerkingsverantwoordelijke. Deze opdrachtgever is dus de eindverantwoordelijke voor het bijhouden van duidelijke verwerkingsregisters.

Expliciete toestemming vragen voor gegevensverwerking

In sommige gevallen moet er expliciete toestemming gevraagd worden voor het gebruik van persoonsgegevens. Dit kan bijvoorbeeld gebeuren wanneer een jeugdbeweging foto’s van de leden wil publiceren op zijn website. Onder de nieuwe Europese wet moet een bedrijf of organisatie ook een bewijs van deze toestemming bewaren. In het DMS kunnen deze bewijsstukken op een systematische manier bewaard en gearchiveerd worden. Zo zijn ze gemakkelijk raadpleegbaar in het geval van een klacht of geschil.

Bedrijven met een hoog privacyrisico

Alle Europese bedrijven vallen onder de AVG-wetgeving, maar er zijn verschillende verplichtingen afhankelijk van het risico dat ze lopen. De verplichtingen nemen toe naargelang de schaal of manier waarop een bedrijf aan gegevensverwerking doet. Daarom is de uitvoering van een data protection impact assessment (DPIA) verplicht voor bedrijven waarbij gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Een DPIA is een onderzoek naar de mogelijke effecten en risico´s van de gegevensverwerking. Dit onderzoek mag het bedrijf zelf voeren, of het mag uitbesteed worden aan een derde partij.

gegevensverzameling algemene verordening gegevensbescherming dpia

Extra ondersteuning door bevoegd functionaris

Bepaalde organisaties zijn ten slotte ook verplicht om een functionaris voor gegevensbescherming (FG) aan te stellen. Vaak zijn dit dezelfde bedrijven die een data protection impact assessment moeten uitvoeren. De schaal en manier waarop de gegevens verzameld worden zijn namelijk ook voor de benoeming van een FG bepalend.

Organisaties die verplicht zijn een FG aan te stellen:

  • Overheden en publieke organisaties
  • Organisaties die aan observatie doen (bijv. cameratoezicht en profiling)
  • Organisaties die bijzondere persoonsgegevens verzamelen (bijv. ras, gezondheid, religie, etc.)

De baan van een interne functionaris voor gegevensbescherming bestaat eruit om te allen tijde de gegevensverwerking van de organisatie te toetsen aan de wet. De aanstelling van deze functionaris kan ook in overweging genomen worden door bedrijven die er strikt gezien niet toe verplicht zijn. Het is namelijk een manier voor bedrijven om zich verder te behoeden voor eventuele overtredingen. Bovendien kunnen bedrijven die beslist hebben om geen FG aan te stellen, door de AP gevraagd worden om hun keuze te onderbouwen.

Tip: Het is voor bedrijven soms moeilijk te weten welke extra maatregelen ze moeten treffen in voorbereiding op de nieuwe wet. In geval van twijfel kunnen Nederlandse organisaties bij de Autoriteit Persoonsgegevens terecht voor het nagaan van hun specifieke verplichtingen.

Te vermijden: onnodige data verzamelen

Hoe minder data er verzameld wordt, hoe minder risico een bedrijf loopt op een overtreding van de AVG. Het is dus belangrijk dat organisaties nadenken over welke informatie ze vragen van consumenten. Onnodige data verzamelen en verwerken kan resulteren in boetes van een paar ton tot wel 20 miljoen euro.

Het vermijden van onnodige dataverzameling kan technisch verzekerd worden door de strategie van privacy by default. Hierbij zorgt het bedrijf er zelf voor dat gebruikers hun privacy zonder veel extra moeite kunnen garanderen. Zo ontvangt een mobiele applicatie bijvoorbeeld niet standaard de locatie van de gebruiker, en wordt klanten actief gevraagd of ze op de hoogte willen blijven van promoties via post of e-mail.

De maatregelen om onnodige dataverzameling te vermijden kunnen op verschillende momenten worden genomen. Idealiter worden ze meteen bij de ontwikkeling van de producten of diensten ingesteld. Dit heet privacy by design. Bedrijven die al (enkele) jaren actief zijn zullen met de komst van de AVG vooral moeten inzetten op een grondige analyse van de gegevensverzameling. Websites, contactformulieren en applicaties zullen waarschijnlijk moeten worden aangepast om te voldoen aan privacy by default.

Er moet onder de nieuwe wet dus gezorgd worden dat er geen onnodige data verzameld wordt, maar ook de data die al vergaard is moet gecontroleerd worden. In het ideale geval is er al een DMS waarin alle verwerkingsactiviteiten worden bijgehouden. Toch hebben nogal wat organisaties ook bepaalde persoonlijke data op de een of andere manier rondcirculeren. Een rekeningnummer dat gauw per mail naar de boekhouding werd gestuurd, een oude werkcomputer in het magazijn die nog klantportfolio’s bevat en veel andere informatiedragers zullen onderzocht moeten worden. Dit kan manueel, maar er bestaat ook software die specifiek gericht is op het opsporen van persoonsgegevens.

Controle blijft in handen van nationale toezichthouders

Ondanks het Europese karakter van de AVG, blijft de controle uitgevoerd worden door nationale organen. Voor Nederland is dit de Autoriteit Persoonsgegevens (AP). Deze organisatie neemt klachten in ontvangst van consumenten. Als na een onderzoek de klacht ontvankelijk verklaard wordt, is de AP ook bevoegd om boetes uit te schrijven.

Voor bedrijven met vestigingen in meerdere landen, geldt dat ze onder de jurisdictie vallen van het land waar de centrale administratie plaatsvindt. Vaak is dit ook het land waar de hoofdzetel gevestigd is. Als een Nederlands bedrijf dus bijvoorbeeld haar centrale administratie in Duitsland doet, valt het bedrijf wel onder de AVG, maar niet onder de AP. Dan moet de organisatie zijn activiteiten verantwoorden aan de Duitse toezichthouder. Bij twijfel over de toezichthouders in een specifieke situatie kan een bedrijf steeds terecht bij de AP.

Waardeer dit artikel:

Gerelateerde artikelen:

data protection officerData Protection Officer (DPO) records managementRecords Management dataportabiliteitDataportabiliteit Strengere wet AVG vraagt om een herziening van informatiebeheer

Plaats een reactie

Uw e-mail adres wordt niet weergegeven. Verplichte velden zijn gemarkeerd *