Algemene Verordening Gegevensbescherming (AVG)

Sinds 25 mei 2018 is de General Data Protection Regulation (GDPR) van toepassing in de hele Europese Unie. In het Nederlands krijgt de nieuwe wet de naam Algemene Verordening Gegevensbescherming (AVG). Deze uniforme wet overschreef de voorgaande nationale privacywetten, zoals de Nederlandse Wet bescherming persoonsgegevens (Wbp). Dit betekende heel wat veranderingen voor bedrijven die persoonsgegevens verzamelen. Een evaluatie van het informatiebeheer en de voorbereiding op de strengere wet is daarom aan de orde.

Rechten van betrokkenen worden nog beter gegarandeerd

Het uiteindelijke doel van de AVG-wetgeving is de bescherming van de essentiële privacyrechten van betrokkenen. Dit betekent in eerste instantie dat bedrijven moeten nadenken over hun algemene omgang met persoonsgegevens. Wat is het beleid? Is er überhaupt een beleid? Of werd er tot nu toe nog niet veel over de verzamelde persoonsgegevens nagedacht? De wet legt de rechten die een bedrijf beleidsmatig moet respecteren erg duidelijk vast. Met de AVG wordt de term ‘persoonsgegevens’ breder ingevuld dan onder de Wbp. Persoonsgegevens zijn sinds 25 mei 2018 alle gegevens die, direct of indirect, een natuurlijke persoon kunnen identificeren. Zo is het voor scholen bijvoorbeeld niet meer toegestaan om cijferlijsten met studentennummers te publiceren. Dit nummer kan namelijk herleid worden naar de student.

Recht op inzage

Het recht op inzage bestond al onder de Nederlandse privacywetgeving. Op dit vlak veranderde er dus niets. Belangrijk blijft wel dat klanten geen reden hoeven op te geven voor hun verzoek tot inzage. Aan de andere kant betekent dit niet dat er geen restricties op dit recht liggen. Zo mogen klanten alleen een verzoek plaatsen om hun eigen data in te zien, niet die van anderen. Bovendien is de organisatie niet verplicht om kopieën of originelen af te leveren. In sommige gevallen mag het verzoek tot inzage zelfs geweigerd worden, maar dan moet er wel een heel goede reden zijn. Dit kan bijvoorbeeld het geval zijn wanneer een beklaagde in een lopend onderzoek gegevens opvraagt bij de politie.

Recht op vergetelheid

Onder de nieuwe Europese wetgeving transformeerde het recht op correctie en verwijdering naar het recht op vergetelheid. In deze nieuwe vorm is het recht niet meer beperkt tot onjuiste of irrelevante gegevens. Klanten hebben nu ook het recht op een volledige verwijdering van al hun gegevens. Ze hoeven geen reden op te geven voor de aanvraag om gewist te worden uit het systeem.

Recht op dataportabiliteit

Het recht op dataportabiliteit is nieuw voor Nederlandse bedrijven. Voordien waren er hieromtrent geen strikte regels. Met de AVG zijn bedrijven echter verplicht om consumentengegevens beschikbaar te stellen aan de betrokkenen. Deze informatie moet ook in bruikbare vorm worden aangeleverd. Het idee achter dit recht is dat klanten hun gegevens kunnen gebruiken voor hun eigen doeleinden. In veel gevallen zal er op het recht beroep gedaan worden om te veranderen van dienstenleverancier, bijvoorbeeld voor telefonie of internet. In dit geval kan de informatie ook rechtstreeks doorgegeven worden aan de nieuwe leverancier, als dit technisch mogelijk is. Toch zijn consumenten niet verplicht om de gegevens meteen weer te gebruiken. Ze kunnen ook opgevraagd worden voor een persoonlijk archief.

Tip: Consumenten kunnen bedrijven benaderen met verzoeken omtrent inzage, vergetelheid en dataportabilitet. In een Document Management SysteemVeel bedrijven hebben moeite om documenten terug te vinden, erin samen te werken, of ze correct te archiveren. Een Document Management Systeem kan zorgen voor meer orde en efficiëntie in het beheer van documenten en documentstromen. Maar hoe doet deze software dat precies? kan een bedrijf controleren in hoeverre de verzoeken van consumenten zijn ingewilligd en waarom (niet). Daarnaast is de betreffende informatie in een goed gestructureerd DMS snel vindbaar.

Specifieke verplichtingen en maatregelen voor bedrijven onder de AVG

Bedrijven zijn relatief vrij in de manier waarop ze voldoen aan bovenstaande rechten. Toch zijn er twee specifieke verplichtingen die organisaties onder de nieuwe wetgeving moeten naleven: het in kaart brengen van de gegevensverwerking en het nakomen van de verantwoordingsplicht. Bedrijven moeten ten allen tijde kunnen aantonen wat er gebeurd is met de verzamelde gegevens en waarom. Dit houdt ook een groot voordeel in voor bedrijven zelf: bij geschillen is het voor hen gemakkelijker om zichzelf te verdedigen. De verplichtingen zijn onder de nieuwe wet ook vertaald naar concrete maatregelen die bedrijven moeten treffen. Naast enkele universele verplichtingen bestaan er ook maatregelen die alleen in bepaalde gevallen of voor bepaalde bedrijven gelden. Deze extra verplichtingen zijn er vooral grotere bedrijven, bedrijven die een extra hoog risico op datalekken lopen, of voor verwerkingsactiviteiten waarbij persoonsgegevens worden gebruikt voor promotionele doeleinden.

Consumenten goed inlichten over wat er met hun gegevens gebeurt

Verplicht voor alle bedrijven is transparantie naar de klant toe. Een duidelijk geschreven privacyverklaring is de eerste stap. Hierin moet beschreven worden wat er bewaard wordt, hoe het verwerkt wordt en waarom. Dat was in grote mate al zo onder de Nederlandse wetgeving, maar wordt met de AVG verder gespecificeerd. Verplichte onderdelen van een privacyverklaring zijn sinds mei 2018:

• Vermelding van de wettelijke grondslag die het bedrijf toelaat de gegevensverwerking uit te voeren.
• Bepaling van hoe lang de data bewaard worden.
• Vermelding van een eventuele uitwisseling met landen buiten de EU.
• Uitleg over het klachtrecht van betrokkenen bij de AP.
• Toelichting over de mogelijke geautomatiseerde besluitvorming en profilering.

De Autoriteit Persoonsgegevens informeren over verwerkingsactiviteiten

Transparantie over gegevensverwerking wordt ook vertaald naar de verplichte melding van datalekken aan de Autoriteit Persoonsgegevens (AP). Bovendien moeten middelgroteKleine en middelgrote bedrijven worden vaak geschaard onder de term MKB. Op het vlak van document management verschilt een middelgrote onderneming echter wezenlijk van een kleiner bedrijf. Een middelgrote organisatie met een groeiende hoeveelheid bedrijfsdocumenten, ervaart meer complexe documentstromen en werkt meestal met een groter aantal verschillende documenttypes. Bepaalde middelgrote organisaties hebben al strategieën en software voorhanden om deze uitdagingen aan te gaan, maar met deze 'eilandjes' aan software wordt niet altijd de gewenste tijdbesparing behaald. Bedrijfsleiders zoeken dus naar een totaaloplossing die de gewenste functionaliteiten combineert. Deze totaaloplossing kan gevonden worden in een document management systeem. Een vergelijking tussen verschillende DMS-pakketten voor middelgrote organisaties is te vinden de DMS Wijzer. en grote bedrijvenDe hoeveelheid documenten en documentstromen waarmee grote bedrijven werken, verplicht hen om hoge eisen te stellen aan documentbeheer. Deze eisen kunnen heel uiteenlopend zijn. Er bestaat niet één DMS-formule voor alle grote organisaties. Toch komen een aantal van dezelfde DMS-eisen regelmatig terug: Wetgeving en normen naleven. Alle soorten bedrijven krijgen met normen en wetgeving te maken, maar vooral de grote spelers hebben hulp nodig van software om al deze regelgeving na te kunnen leven. Een DMS is bijvoorbeeld een hulpmiddel om een ISO-certificering te behalen. Deze software gebruikt namelijk vaste templates voor het uitschrijven van de verplichte bedrijfsprocedures en -workflows. Bovendien zorgt het DMS er voor dat deze vastgelegde procedures en workflows strikt gevolgd worden. Let wel op: een pakket dat ISO-gecertificeerd is, draagt die certificering niet rechtstreeks over op het bedrijf. Een bedrijf moet altijd zelf een certificeringstraject doorlopen. ook een register van verwerkingsactiviteiten kunnen voorleggen wanneer de AP hierom vraagt. Dit register is eigenlijk pas verplicht vanaf 250 medewerkers, maar kan ook kleinere bedrijven Wanneer een kleine organisatie problemen ondervindt met document management, wordt er in eerste instantie meestal gekozen voor een gedeelde netwerkschijf. Zo hoeven documenten niet meer na elke verandering per e-mail worden doorgestuurd. Daarnaast zijn ook gratis platformen zoals Dropbox of Google Drive populaire tools om te kunnen samenwerken in documenten. Maar na een tijdje merken bedrijven dat een gedeelde netwerkschijf of gratis platform hun problemen niet helemaal wegneemt. Er is bijvoorbeeld geen versiebeheer en elke werknemer heeft zijn eigen manier van opslaan. Zo blijft de grote hoeveelheid documenten die worden opgeslagen een chaos. Dan wordt duidelijk dat een uitgebreider systeem voor documentbeheer een betere optie is.helpen om zich te verdedigen in geval van een geschil. Voor bedrijven zelf is het register van verwerkingsactiviteiten daarnaast ook een goed controlemiddel. In de registers is zichtbaar als bepaalde gegevens in het digitale archiefBedrijven lopen tegen verschillende soorten problemen aan bij het opslaan en bewaren van archiefdocumenten. Aan de ene kant zijn er de bedrijven die een goed geclassificeerd, maar nog volledig fysiek archief hanteren. Aan de andere kant bestaan er bedrijven die alle documentatie juist wel digitaal hebben opgeslagen, maar niet op een geordende manier. Tot slot zijn er de bedrijven die zich ergens in het midden van deze twee uitersten bevinden. Een digitaal archief kan een oplossing bieden voor deze problemen. Het doel is om tot een archief te komen waarin alles digitaal én goed geclassificeerd is. langer worden bijgehouden dan wettelijk toegestaan is. Zo kan een bedrijf snel actie ondernemen en (verdere) boetes vermijden. Voor de verwerking van gegevens is het daarnaast ook belangrijk te weten dat een bedrijf de verantwoordelijkheid niet afgeeft als er van een externe verwerker gebruik wordt gemaakt. Een bedrijf kan bijvoorbeeld een marketingbureau inschakelen om een campagne rond een product of dienst op te zetten. Hiervoor zal het bedrijf bepaalde persoonsgegevens aanreiken aan het marketingbureau. In dit geval blijft de opdrachtgever voor de campagne (en niet het verwerkende marketingbureau) de verwerkingsverantwoordelijke. Deze opdrachtgever is dus de eindverantwoordelijke voor het bijhouden van duidelijke verwerkingsregisters.

Expliciete toestemming vragen voor gegevensverwerking

In sommige gevallen moet er expliciete toestemming gevraagd worden voor het gebruik van persoonsgegevens. Dit kan bijvoorbeeld gebeuren wanneer een jeugdbeweging foto’s van de leden wil publiceren op zijn website. Onder de nieuwe Europese wet moet een bedrijf of organisatie ook een bewijs van deze toestemming bewaren. In het DMS kunnen deze bewijsstukken op een systematische manier bewaard en gearchiveerd worden. Zo zijn ze gemakkelijk raadpleegbaar in het geval van een klacht of geschil.

Bedrijven met een hoog privacyrisico

Alle Europese bedrijven vallen onder de AVG-wetgeving, maar er zijn verschillende verplichtingen afhankelijk van het risico dat ze lopen. De verplichtingen nemen toe naargelang de schaal of manier waarop een bedrijf aan gegevensverwerking doet. Daarom is de uitvoering van een data protection impact assessment (DPIA) verplicht voor bedrijven waarbij gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Een DPIA is een onderzoek naar de mogelijke effecten en risico´s van de gegevensverwerking. Dit onderzoek mag het bedrijf zelf voeren, of het mag uitbesteed worden aan een derde partij.

Extra ondersteuning door bevoegd functionaris

Bepaalde organisaties zijn ten slotte ook verplicht om een Data Protection Officer (DPO), in het Nederlands functionaris voor gegevensbescherming (FG), aan te stellen. Vaak zijn dit dezelfde bedrijven die een data protection impact assessment moeten uitvoeren. De schaal en manier waarop de gegevens verzameld worden zijn namelijk ook voor de benoeming van een FG bepalend. Organisaties die verplicht zijn een FG aan te stellen:

• Overheden en publieke organisaties
• Organisaties die aan observatie doen (bijv. cameratoezicht en profiling)
• Organisaties die bijzondere persoonsgegevens verzamelen (bijv. ras, gezondheid, religie, etc.)

De baan van een interne functionaris voor gegevensbescherming bestaat eruit om te allen tijde de gegevensverwerking van de organisatie te toetsen aan de wet. De aanstelling van deze functionaris kan ook in overweging genomen worden door bedrijven die er strikt gezien niet toe verplicht zijn. Het is namelijk een manier voor bedrijven om zich verder te behoeden voor eventuele overtredingen. Bovendien kunnen bedrijven die beslist hebben om geen FG aan te stellen, door de AP gevraagd worden om hun keuze te onderbouwen.

Tip: Het is voor bedrijven soms moeilijk te weten welke extra maatregelen ze moeten treffen in voorbereiding op de nieuwe wet. In geval van twijfel kunnen Nederlandse organisaties bij de Autoriteit Persoonsgegevens terecht voor het nagaan van hun specifieke verplichtingen.

Te vermijden: onnodige data verzamelen

Hoe minder data er verzameld wordt, hoe minder risico een bedrijf loopt op een overtreding van de AVG. Het is dus belangrijk dat organisaties nadenken over welke informatie ze vragen van consumenten. Onnodige data verzamelen en verwerken kan resulteren in boetes van een paar ton tot wel 20 miljoen euro. Het vermijden van onnodige dataverzameling kan technisch verzekerd worden door de strategie van privacy by default. Hierbij zorgt het bedrijf er zelf voor dat gebruikers hun privacy zonder veel extra moeite kunnen garanderen. Zo ontvangt een mobiele applicatie bijvoorbeeld niet standaard de locatie van de gebruiker, en wordt klanten actief gevraagd of ze op de hoogte willen blijven van promoties via postPostregistratie is het proces waarbij binnenkomende en uitgaande post de nodige kenmerken en classificatie meekrijgt voor een correcte verdere afhandeling. Dit kan gaan over gedigitaliseerde papieren correspondentie, of om elektronische communicatie. Op deze manier worden poststukken zoals een binnenkomende factuur, meteen opgenomen in de juiste werkstroom voor bijvoorbeeld goedkeuring en betaling. Te verzenden documenten kunnen aan de hand van de registratie van hun kenmerken en van de verzenddatum ook nog opgevolgd worden, al bevinden ze zich niet meer fysiek in het bedrijf. of e-mail. De maatregelen om onnodige dataverzameling te vermijden kunnen op verschillende momenten worden genomen. Idealiter worden ze meteen bij de ontwikkeling van de producten of diensten ingesteld. Dit heet privacy by design. Bedrijven die al (enkele) jaren actief zijn zullen met de komst van de AVG vooral moeten inzetten op een grondige analyse van de gegevensverzameling. Websites, contactformulieren en applicaties zullen waarschijnlijk moeten worden aangepast om te voldoen aan privacy by default. Er moet onder de nieuwe wet dus gezorgd worden dat er geen onnodige data verzameld wordt, maar ook de data die al vergaard is moet gecontroleerd worden. In het ideale geval is er al een DMS waarin alle verwerkingsactiviteiten worden bijgehouden. Toch hebben nogal wat organisaties ook bepaalde persoonlijke data op de een of andere manier rondcirculeren. Een rekeningnummer dat gauw per mail naar de boekhoudingDe financiële administratie, ook wel boekhouding genoemd, is voor de meeste mensen niet meteen het meest spannende deel van bedrijfsbeheer. Facturatie en jaarrekeningen lijken soms maar bijzaak voor werknemers. Toch is een financieel systeem het hart van efficiënte bedrijfsvoering. Voor de debiteuren- en crediteurenadministratie is het bijvoorbeeld belangrijk uitgaande facturen correct op te stellen, en binnenkomende facturen binnen de afgesproken termijn te betalen. werd gestuurd, een oude werkcomputer in het magazijn die nog klantportfolio’s bevat en veel andere informatiedragers zullen onderzocht moeten worden. Dit kan manueel, maar er bestaat ook softwareOnder software verstaan we alle programma’s en applicaties die ervoor zorgen dat een informatiesysteem naar behoren werkt. Dit zijn niet-materiële componenten, in tegenstelling tot hardware. Software kan je dus niet aanraken, maar is wel nodig om een informatiesysteem taken te laten uitvoeren. Deze programma’s zorgen er onder andere voor dat een computer gebruikt kan worden voor tekstverwerking, om te surfen op het internet of om video’s te bewerken. die specifiek gericht is op het opsporen van persoonsgegevens.

Controle blijft in handen van nationale toezichthouders

Ondanks het Europese karakter van de AVG, blijft de controle uitgevoerd worden door nationale organen. Voor Nederland is dit de Autoriteit Persoonsgegevens (AP). Deze organisatie neemt klachten in ontvangst van consumenten. Als na een onderzoek de klacht ontvankelijk verklaard wordt, is de AP ook bevoegd om boetes uit te schrijven. Voor bedrijven met vestigingen in meerdere landen, geldt dat ze onder de jurisdictie vallen van het land waar de centrale administratie plaatsvindt. Vaak is dit ook het land waar de hoofdzetel gevestigd is. Als een Nederlands bedrijf dus bijvoorbeeld haar centrale administratie in Duitsland doet, valt het bedrijf wel onder de AVG, maar niet onder de AP. Dan moet de organisatie zijn activiteiten verantwoorden aan de Duitse toezichthouder. Bij twijfel over de toezichthouders in een specifieke situatie kan een bedrijf steeds terecht bij de AP.