De Algemene Verordening Gegevensbescherming (GDPR of AVG) treedt op 25 mei 2018 in werking. Deze vervangt de Wet bescherming persoonsgegevens (Wbp). In dit artikel wordt de AVG aan de hand van zeven kernvragen verhelderd en krijgen beveiligingsbedrijven en recherchebureaus zeven stappen aangereikt waarmee zij aan de slag kunnen.
Alle organisaties in de publieke en private sector worden geacht om op 25 mei 2018 hun bedrijfsvoering met de AVG in overeenstemming te hebben gebracht. De Autoriteit Persoonsgegevens ziet er op toe dat u compliant bent.
Is de AVG allesomvattend?
Nee, er is sprake van gelaagdheid in wetgeving. Op Europees niveau geldt de AVG. Deze kent algemene bepalingen en beginselen, maar geeft ook mogelijkheden voor de lidstaten van de Europese Unie om bepaalde zaken op nationaal niveau af te regelen. Deze aangelegenheden worden in Nederland uitgewerkt in de Uitvoeringswet AVG. De UAVG is momenteel in behandeling bij de Tweede Kamer. Verder worden in sectorspecifieke wetten concrete grondslagen voor verwerking van bijzondere persoonsgegevens (zoals gegevens over gezondheid) opgenomen, en worden sectorspecifieke uitzonderingen en afwijkingen opgenomen. Daarbij kan gedacht worden aan de Wet op de geneeskundige behandelingsovereenkomst en de Zorgverzekeringswet.
Wijzigt er veel voor de ‘informationele privacy’?
In materieel opzicht bevat de AVG geen substantiële wijzigingen voor wat betreft het ‘omgaan met persoonsgegevens’. Dit omgaan met persoonsgegevens wordt ‘verwerken’ genoemd. Het is de verzamelterm voor diverse handelingen met persoonsgegevens (dit zijn gegevens die op individuele personen herleidbaar zijn), zoals het vastleggen, ordenen, raadplegen of verstrekken van gegevens. Soms wijzigt de terminologie zonder dat inhoudelijke wijzigingen beoogd zijn. Zo heet de ‘verantwoordelijke’ (dit is degene die doel en de middelen voor de gegevensverwerking bepaalt) voortaan ‘verwerkingsverantwoordelijke’ en de ‘bewerker’ (dit is degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt) voortaan ‘verwerker’. In de officiële Nederlandse vertaling van de AVG staan woorden die ver van het Nederlands staan dat in ons land gebruikt wordt. Voorbeelden hiervan zijn: ‘wissen’ en ‘gegevenswissing’ in plaats van ‘verwijderen’ en ‘verwijderen van persoonsgegevens’ en het gebruik van woorden als: ‘vervollediging’ en ‘gegevensbeschermingseffectbeoordeling’. De AVG is vanuit het Engels in het Nederlands vertaald door een Vlaming. Had dat nou niet anders gekund, is de retorische vraag die ik aan de lezer laat.
Zijn de rechten van de betrokkene versterkt?
Wie ‘betrokkene’ is wordt – anders dan in de Wbp – niet gedefinieerd in de AVG. Betrokkene is hoe dan ook degene op wie een persoonsgegeven betrekking heeft. De rechten van betrokkene worden versterkt met nieuwe (weinig zeggende) rechten als het recht op vergetelheid (artikel 17 AVG) en het recht op dataportabiliteit (artikel 20 AVG). Voor de betekenis moet u maar eens googelen. Voor de praktijk van beveiliging en particulier onderzoek zijn ze minder van belang. Wel van belang is de uitbreiding van het beginsel van transparantie. Indien persoonsgegevens bij de onderzochte persoon worden verkregen (denk aan cameratoezicht en het toegangsbeheersingssysteem), bepaalt artikel 13 AVG dat de verwerkingsverantwoordelijke bij de verkrijging minimaal aan deze mededeelt wat diens identiteit is, alsmede wat de verwerkingsdoeleinden zijn waarvoor de persoonsgegevens zijn bestemd. Dit is vergelijkbaar met de Wbp.
Aanvullend op de minimale informatie dient de verwerkingsverantwoordelijke passende maatregelen te nemen, opdat de betrokkene de overige in artikelen 13 AVG genoemde informatie in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt (art. 12 lid 1 AVG). Onder de overige in de artikelen 13 AVG bedoelde informatie wordt verstaan: in voorkomend geval, de naam en contactgegevens van de functionaris voor de gegevensverwerking; de periode gedurende welke de persoonsgegevens zullen worden opgeslagen; dat betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en dat betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit. Het is mijns inziens verdedigbaar dat de verwerkingsverantwoordelijke de ‘overige gegevens’ opneemt in het privacy statement op haar website en betrokkene hierover informeert.
Welke nieuwe gadgets kent de AVG?
Nieuwe gadgets zijn gegevensbescherming by design en gegevensbescherming by default. Het betekent twee dingen.
Ten eerste. Bij het ontwerpen van een nieuwe verwerking (denk aan een nieuwe beveiligingstechnologie, waarbij persoonsgegevens worden verwerkt) zijn organisaties verplicht om bescherming van persoonsgegevens vanaf het begin in het ontwerpproces mee te nemen. Vervolgens moeten organisaties ook achteraf aan kunnen tonen dat ze dit inderdaad hebben gedaan.
Ten tweede. De standaardgedachte is dat privacy zoveel mogelijk gewaarborgd wordt. Dit kan inhouden dat pseudonimisering of versleuteling van persoonsgegevens moeten worden toegepast. Belangrijker dan deze gadgets is, dat de verplichting om verwerkingen van persoonsgegevens aan te melden bij de Autoriteit Persoonsgegevens vervalt. In de plaats daarvan komt de bepaling dat organisaties zelf een overzicht moeten bijhouden van al hun verwerkingen van persoonsgegevens (art. 30 AVG).
Deze documentatieplicht betekent dat bedrijven en instellingen op elk moment een accurate inventaris van verwerkingsactiviteiten dienen te hebben. Dit houdt in dat de datastromen moeten in kaart gebracht moeten worden. In het ‘AVG-register’ moeten per verwerkingsactiviteit (of cluster van verwerkingen) de volgende gegevens worden opgenomen: De verwerkingsdoeleinden; een beschrijving van de categorieën van betrokkenen; een beschrijving van de categorieën van persoonsgegevens die worden verwerkt; de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt; indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist en indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
Is een privacy officer verplicht?
Veel meer organisaties dan nu moeten een ‘functionaris voor gegevensbescherming’(FG) aanstellen (Afdeling 4 AVG). Het aanwijzen van een FG is verplicht: 1) wanneer de verwerkingsverantwoordelijk hoofdzakelijk is belast met verwerkingen die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vergen, en/of 2) wanneer de verwerkingsverantwoordelijke hoofdzakelijk belast is met grootschalige verwerking van persoonsgegevens van strafrechtelijke aard. De AVG verduidelijkt niet wat onder ‘op grote schaal’ of met ‘grootschalige verwerking’ verstaan wordt. Op basis van de Richtlijnen voor functionarissen voor de gegevensbescherming (FG’s) van de Autoriteit Persoonsgegevens kan bijvoorbeeld voor recherchebureaus worden aangenomen dat geen sprake van verwerking op grote schaal bij observatieopdrachten, indien deze worden uitgevoerd door een (relatief) klein particulier onderzoeksbureau met één of enkele medewerkers. Er is evenmin sprake van grootschalige verwerking van persoonsgegevens van strafrechtelijke aard, indien de bevindingen van onderzoeken worden vastgelegd in de onderzoeks- en voorvallenregistratie van een (relatief) klein particulier onderzoeksbureau met één of enkele medewerkers. Of een organisatie wel of geen FG moet aanstellen dient aan de hand van eigen analyse te worden vastgesteld (https://autoriteitpersoonsgegevens.nl).
Voor beveiligingsbedrijven is een DPIA vereist bij de aanschaf van nieuwe technologieën voor het observeren, monitoren of controleren
Wat is een DPIA en wanneer moet die worden uitgevoerd?
Een data protection impact assessment (DPIA)(in het Nederlands vertaald met het woord: gegevensbeschermingseffectbeoordeling) is een proces dat bedoeld is om de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen in te schatten en maatregelen te nemen om de risico’s te beheersen. Een DPIA moet worden uitgevoerd wanneer – en ik citeer letterlijk artikel 35 AVG – “een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.” In het document van een Europese werkgroep gegevensbescherming (te raadplegen via www.autoriteitpersoonsgegevens.nl) worden criteria gegeven om te bepalen of een verwerking “waarschijnlijk een hoog risico inhoudt” in de zin van de AVG. Tevens worden voorbeelden gegeven wanneer een DPIA verplicht is. Voor beveiligingsbedrijven is een DPIA vereist bij de aanschaf van nieuwe technologieën voor het observeren, monitoren of controleren van betrokkenen (denk aan een nieuw camerasysteem en een nieuw toegangsregistratiesysteem). Voor een recherchebureau is een DPIA geboden bij aanschaf of vervanging van een nieuw softwarepakket voor de onderzoeks- en voorvallenregistratie. De Autoriteit Persoonsgegevens heeft een lijst opgesteld van het soort verwerkingen waarvoor een DPIA verplicht is (https://autoriteitpersoonsgegevens.nl).
Wat doen de brancheverenigingen in het zicht van de AVG?
Brancheverenigingen lichten hun leden voor en ondernemen ook zelf actie. Zo is de Nederlandse Veiligheidsbranche bezig om de Privacygedragscode (particulier onderzoeksbureaus) om te zetten van Wbp naar AVG en zijn de brancheverenigingen uit de financiële sector bezig om hun Protocol Incidentenwaarschuwingssysteem Financiële Instellingen in het AVG-jasje te stoppen. Beiden vergen een hernieuwde goedkeuring van de AP.
Zeven stappen naar de AVG
Bedrijven die onder de Wet particuliere beveiligingsorganisatie en recherchebureaus vallen doen er verstandig aan een paar stappen te bewandelen om de hoge boeten die de AVG in het vooruitzicht stelt te vermijden:
- Voer een AVG gap-analyse uit (nulmeting: analyse van de huidige situatie, de gewenste situatie en de ‘gaps’ tussen deze twee situaties). De analyse leidt tot een verbeterplan met actiepunten en aanwijzing van pta’s.
- Stel het documentatieregister samen (start met: inventarisatie verwerkingen van persoonsgegevens en in beeld brengen datastromen).
- Stel vast wie verwerkers zijn (externe partijen die systemen en data beheren) en beoordeel of verwerkersovereenkomsten aangepast moeten worden aan de vereisten van de AVG.
- Stel vast of voldaan wordt aan de communicatie-verplichtingen (art. 13 en 14 AVG) en bepaal welke communicatiemiddelen hiervoor worden gebruikt (zoals privacy statement op website).
- Actualiseer privacy awareness voor medewerkers en verwerkers (privacy awareness programma: inhoud, opzet en werkwijze).
- Organiseer compliance monitoring (‘auditplan’, privacy-self assessment met key performance indicators (KPI’s) en verantwoordingsplicht (evidencing).
- Borg dat het documentatieregister actueel wordt gehouden (kan worden opgevraagd worden door AP.
Mr. Felix Olijslager onderhoudt het Nederlands Informatiepunt voor Security en Recht (NISeR). Voor het SPV verzorgt hij de cursus ‘AVG voor beveiliging en particulier onderzoek in 1 dag’
> Lees ook Angus Cameron: Nog niet gestart met de GDPR? Een goed begin, is het halve werk!