25 mei 2018. Die datum zal in menig zakelijke agenda rood zijn omcirkeld. Want vandaag treedt de Algemene Verordening Gegevensbescherming (AVG) in werking en wordt de privacywetgeving in Nederland een stukje strenger. Wat verandert er?
Diverse malen al heeft Vic Vermeulen extern advies ingewonnen over de nieuwe privacywetgeving – en diverse malen vertrok hij met gemengde gevoelens. “Wat mij opvalt, is het grote verschil in toon. Bij het ene advies- of trainingsbureau heerst een negatieve stemming. Op het moment dat dadelijk de AVG ingaat, mag je helemaal niks meer. Zodra je ook maar de onschuldigste klantgegevens vastlegt, komt de Autoriteit Persoonsgegevens langs en ben je de sigaar. Maar bij de volgende specialist hoor je een heel ander verhaal. Je moet gewoon zorgen dat je alles kunt rechtvaardigen, dan loopt het allemaal wel los.”
Als we de media moeten geloven is AVG de afkorting voor voor Alles Verandert Gigantisch. Vanuit de optiek van informatiebeveiligers staat AVG voor Alleen Voor Gevorderden. De overheid, waaronder de Autoriteit Persoonsgegevens, presenteert de AVG als Aandacht Voor Gegevensbescherming. Is hier sprake van oude wijn in nieuwe zakken? Felix Olijslager vertelt u dat tijdens het Asis Security Management Congres 2018 op 21 juni.
Verwerk gegevens op een zorgvuldige wijze
Vermeulen is legal & riskmanager bij securitybedrijf G4S – en dus wilde hij graag weten wat hij door de komst van de AVG moest verwachten. “Wij hebben bijvoorbeeld enige tijd geworsteld met de zogenoemde verwerkingsovereenkomst. Daarin verklaart de partij die privacygevoelige gegevens verwerkt, dat hij dat op een zorgvuldige wijze zal doen.”
Let wel: dat laatste is volgens Vermeulen inderdaad belangrijk. “Stel dat wij onzorgvuldig zouden omspringen met de lijst van klanten die zijn aangesloten op onze alarmcentrale. En stel dat die lijst in handen komt van een bedrijf dat camera’s verkoopt. Dan beschikt dat bedrijf over de NAW-gegevens van mensen die al bij een alarmcentrale zijn aangesloten en die misschien ook belangstelling hebben voor een camera. Die kan hij ongevraagd mails gaan sturen – en dat moet je te allen tijde voorkomen.”
Alleen verwerkingsovereenkomst afsluiten als persoonsgegevens verwerken je primaire doel is
Maar dan nog blijft de vraag: moet je dat voorkomen met een verwerkingsovereenkomst? “Het probleem was dat wij tienduizenden bedrijven in ons systeem hebben die zijn aangesloten op onze alarmcentrale”, zegt Vermeulen. “Van al die bedrijven beschikken wij over de NAW-gegevens, want als er een alarm gaat, moeten we weten waar het probleem speelt. Theoretisch gezien zouden we dus een verwerkingsovereenkomst moeten sluiten met ieder van die klanten.”
Maar in januari bleek dat niet nodig. Want toen verscheen de Handleiding Algemene Verordening Gegevensbescherming van het ministerie van Justitie en Veiligheid. Daarin wordt de nieuwe wet nader toegelicht. Vermeulen: “Het bleek dat zo’n verwerkingsovereenkomst alleen nodig is als het verwerken van die persoonsgegevens je primaire doel is – en dat is bij ons niet het geval. Wij zijn er immers niet op uit om adressen te verzamelen, maar alleen om bedrijven te beveiligen.”
Zet middelen alleen in als ze proportioneel zijn
Dat ligt anders voor recherchebureaus. Luister bijvoorbeeld naar Marcel Boekhorst, directeur van recherchebureau Signum Interfocus. “Het uitvoeren van feitenonderzoek en het onderzoeken van personen maakt dat we in meer of mindere mate inbreuk maken op grondrechten van de te onderzoeken persoon. Wij kunnen in e-mailboxen kijken, telefoongegevens achterhalen of mensen in kantoortijd observeren. Natuurlijk doen we dat in opdracht en kunnen we dat rechtvaardigen: medewerkers zijn ooit een arbeidsovereenkomst aangegaan en dus moeten ze zich netjes gedragen. Wij zorgen er wel voor dat de middelen die we inzetten, ook proportioneel zijn.”
Transparantie wordt belangrijker in AVG
Wat voor G4S niet gold, geldt voor Signum Interfocus dus wel: het verzamelen van persoonsgegevens is nodig voor de dagelijkse werkzaamheden. Toch ziet Boekhorst niet zoveel veranderen aan zijn werkwijze op zich. “Wij moesten ons altijd al houden aan de gedragscode van de Nederlandse Veiligheidsbranche. Hoogstens worden de spelregels anders uitgelegd en wordt er dadelijk strenger gecontroleerd. Daarnaast wordt transparantie belangrijker, evenals openheid over de reden waarom je persoonlijke gegevens verzamelt. De betrokkene heeft bijvoorbeeld recht op inzage in of rectificatie van deze gegevens. Om een en ander inzichtelijk te maken, moeten we een register opstellen van verwerkingsactiviteiten. ”
Een voorbeeld. Stel, iemand wordt verdacht van diefstal en daarom tijdens werktijd geobserveerd. “Dan kunnen we hem natuurlijk niet vooraf op de hoogte stellen”, zegt Boekhorst. “Maar we zijn dan wel verplicht om dat achteraf te doen. We leggen dan uit van welke feiten de betreffende medewerker werd verdacht, en wat de bevindingen zijn. Ook vertellen we wat we opslaan en hoe lang dat gebeurt – in principe is dat vijf jaar. Ten slotte geef ik aan of er externe partijen bij kunnen, bijvoorbeeld wanneer wij expertise inhuren.”
Zorgvuldig omgaan met gegevens is relatief simpel
Zorgvuldig omgaan met gegevens van klanten – volgens Vermeulen is dat nog relatief simpel. “Wat wij vastleggen voor andere bedrijven valt in het niet bij wat we registreren over de eigen medewerkers. Neem alleen maar al die dossiers met sollicitaties. Zo’n sollicitatieformulier mag je maar een hele korte tijd bewaren. Maar wat gebeurt er in de praktijk? Alles wordt opgeslagen en bewaard. Wij pleiten voor een cultuuromslag. Je moet niet denken: waarom zou ik dit weggooien? Maar: waarom zou ik dit bewaren?”
Na 25 mei springen bedrijven bewuster om met data van anderen
Een laatste vraag: wat zien Vermeulen en Boekhorst vanaf 25 mei veranderen? Boekhorst denkt dat bedrijven nog bewuster met data van anderen zullen omspringen. “Ze moeten immers duidelijker uitleggen waarom ze zaken bewaren. Ik ben benieuwd of er ook meer controle op zal komen – maar ik denk het wel. De Autoriteit Persoonsgegevens heeft hier zoveel tamtam bij gemaakt; daar moet ze een vervolg aan geven.”
Ook Vermeulen denk dat de AVG bedrijven op scherp zal zetten. Maar hij ziet ook veel onrust, en dat vindt hij jammer. “Het doet me denken aan de WAADI, de wetgeving die ervoor moet zorgen dat mensen het juiste salaris krijgen. De wet richt zich tegen malafide werkgevers – maar het probleem is dat bonafide bedrijven er ook last van hebben. Datzelfde zie ik bij de AVG. Ook die werkt prima tegen bedrijven die laconiek met gegevens omspringen, of ze zelfs misbruiken. Maar er zijn ook veel welwillende partijen die echt hun best doen en gewoon nog zo ver niet zijn. Je goed voorbereiden op deze wet, dat kost tijd. Ik hoop dat de Autoriteit Persoonsgegevens bedrijven die tijd ook geeft. G4S is er klaar voor, maar dat geldt niet voor iedereen.”
Algemene Verordening Gegevensbescherming (AVG)
De AVG gaat in op 25 mei 2018. Vanaf die datum krijgen organisaties meer verantwoordelijkheden, bijvoorbeeld een informatieplicht. Zij moeten bestaande of nieuwe klanten, patiënten of cliënten duidelijk informeren over wat ze met hun persoonsgegevens doen, bijvoorbeeld via een heldere online privacyverklaring. Ook moeten ze binnen een maand reageren op verzoeken van mensen die hun rechten willen uitoefenen. Meer informatie vindt u op: www.hulpbijprivacy.nl.
De Autoriteit Persoonsgegevens over de AVG:
Wat is de strekking van de AVG en wat zegt deze over de verwerking van persoonsgegevens?
Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Dat betekent dat vanaf die datum dezelfde privacyregels gelden in alle landen van de Europese Unie. We delen allemaal steeds meer informatie over onszelf. Soms bewust, vaak onbewust. De AVG geeft burgers meer bescherming in dit digitale tijdperk. Met de komst van de nieuwe regels staat iemand sterker in het beschermen van zijn (online) privacy.
Bestaande privacyrechten worden versterkt
De AVG versterkt bestaande privacyrechten en burgers krijgen nieuwe rechten. Daarnaast krijgen organisaties meer verantwoordelijkheden. Bijvoorbeeld om binnen 1 maand te reageren op verzoeken van mensen (bijvoorbeeld klanten) die hun rechten willen uitoefenen. Onder de AVG hebben organisaties een informatieplicht. Zij moeten bestaande of nieuwe klanten, patiënten, cliënten, enzovoort dus duidelijk informeren over wat zij met hun persoonsgegevens doen. Bijvoorbeeld via een heldere online privacyverklaring.
Onder AVG mogen organisaties niet zomaar persoonsgegevens verwerken
Onder de AVG mag een organisatie niet zomaar persoonsgegevens verwerken. Een organisatie moet daarvoor een zogeheten wettelijke grondslag hebben. We onderscheiden drie typen persoonsgegevens: gewone, bijzondere en strafrechtelijke gegevens. Een organisatie mag alleen ‘gewone’ persoonsgegevens verwerken wanneer zij de gegevensverwerking op minimaal één van de zes AVG-grondslagen kan baseren. De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden. Tenzij een organisatie zich kan beroepen op een specifieke wettelijke uitzondering én op 1 van de 6 grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.
Wat houdt het recht op verwijdering precies in? En hoe kan ik als consument zeker weten dat een organisatie niet ergens een back-up heeft met mijn gegevens?
Het recht op vergetelheid onder de AVG houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt. Het recht op vergetelheid lijkt op het huidige recht op correctie en verwijdering (artikel 36 van de Wet bescherming persoonsgegevens).
Het recht op vergetelheid is niet altijd van toepassing
Maar het recht op vergetelheid is breder. Het recht is niet meer – zoals nu – beperkt tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens. Het recht op vergetelheid geldt niet altijd. Alleen in de volgende situaties is het recht op vergetelheid van toepassing:
- De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.
- De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
- De betrokkene maakt bezwaar tegen de verwerking.
- De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
- De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
- De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).
Meer informatie:
AVG geeft mensen recht op beperking van het gebruik van gegevens
De AVG geeft mensen in bepaalde situaties het recht op beperking van het gebruik van hun gegevens. In de AVG staat dit recht omschreven als het ‘recht op beperking van de verwerking’. Het recht op beperking van de verwerking geldt in situaties die voldoen aan een van de volgende criteria:
- Geeft iemand aan dat een organisatie de onjuiste persoonsgegevens gebruikt? Dan mag zij deze gegevens niet gebruiken zolang zij nog niet heeft gecontroleerd of de gegevens wel kloppen.
- Een organisatie mag bepaalde gegevens niet verwerken, maar de betrokkene wil niet dat de organisatie de gegevens wist. Bijvoorbeeld omdat hij de gegevens later nog wil opvragen.
- Een organisatie heeft de persoonsgegevens niet meer nodig voor het doel waarvoor zij ze heeft verzameld. Maar de betrokkene heeft de persoonsgegevens nog wel nodig voor een rechtsvordering. Bijvoorbeeld een juridische procedure waarbij hij betrokken is.
- Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet een organisatie stoppen met deze gegevens te verwerken. Tenzij de organisatie dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Zo lang nog niet duidelijk is of de gronden van de organisatie zwaarder wegen, mag zij de gegevens niet verwerken.
- Heeft een organisatie de betreffende persoonsgegevens aan andere partijen verstrekt? Dan moet zij deze andere organisaties laten weten dat de klant het gebruik van deze gegevens heeft beperkt. En dat zij dat dus ook moeten doen. Als iemand van wie een organisatie persoonsgegevens verwerkt er om vraagt, moet u ook vertellen welke organisaties u op die manier heeft geïnformeerd.
Mensen moeten ervan uit kunnen gaan dat organisaties zich aan de wet houden
Mensen moeten er vanuit kunnen gaan dat organisaties zich aan de wet houden. Denkt iemand dat dat niet zo is dan kan iemand een klacht indienen bij de AP, we zijn straks verplicht deze af te handelen.
Kunnen jullie wat meer vertellen over de Data Protection Impact Assessment (DPIA)? Wanneer verwerk je bijvoorbeeld persoonsgegevens op grote schaal?
Een data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:
- systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
- op grote schaalbijzondere persoonsgegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
AVG geeft geen overzicht van verwerkingen met een hoog risico
Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico. De Europese privacytoezichthouders hebben criteria opgesteld om het risico te bepalen. Daarnaast publiceert de AP op termijn een lijst van verwerkingen waarvoor een DPIA verplicht is. Het is aan te raden om vrijwillig een (D)PIA te doen. Dit komt niet alleen de gegevensbescherming ten goede, maar ook voor de organisatie zelf levert een (D)PIA voordelen op.
AVG legt niet exact uit wat grootschalig inhoudt
In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt. Wel zijn er criteria en voorbeelden die organisaties op weg helpen: Een organisatie kan aan de hand van deze criteria bepalen of zij volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt:
- het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
- de hoeveelheid gegevens die u verwerkt;
- de duur van de gegevensverwerking;
- de geografische reikwijdte van de verwerking.
https://youtu.be/DG7LIkun_-U
Een aantal voorbeelden van grootschalig
Een aantal voorbeelden van verwerkingen die de Europese toezichthouders als grootschalig zien (bron: Guidelines on Data Protection Officers).
- Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
- Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
- Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.
- Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
- Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.
- Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten. Zoals inhoud, verkeer en locatie.
Verwerkingen van bijzondere gegevens door eenpitters zijn niet grootschalig
De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig. De Europese privacytoezichthouders verwachten dat er op den duur een praktische standaard komt waarmee u eenvoudiger bepaalt of u volgens de AVG op grote schaal (bijzondere) persoonsgegevens verwerkt en dus een FG moet aanstellen en een DPIA moet uitvoeren. Zodra hierover meer bekend is, vindt u die informatie op deze website.
En hoe verstrek je de gegevens op zo’n manier dat betrokkenen die makkelijk kunnen hergebruiken?
Onder de AVG krijgen mensen het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens. Het houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Ook kunnen mensen vragen om gegevens rechtstreeks over te dragen aan een andere organisatie.
Papieren dossiers vallen niet onder dataportabiliteit
Ten eerste gaat het alleen om digitale gegevens. Papieren dossiers vallen er dus niet onder. Ten tweede gaat het om persoonsgegevens die een organisatie óf met toestemming van de betrokkene verwerkt óf om een overeenkomst met de betrokkene uit te voeren. Onder gegevens die een organisatie verwerkt om een overeenkomst uit te voeren, vallen bijvoorbeeld ook de titels van boeken die iemand in een webwinkel heeft gekocht of de liedjes die diegene heeft beluisterd via een muziekstreamingdienst.
Klanten kunnen recht op dataportabiliteit inzetten
Vanaf 25 mei kunnen klanten gebruikmaken van hun recht op dataportabiliteit. Dat betekent dat een organisatie vanaf deze datum verzoeken kan krijgen van haar klanten om hun persoonsgegevens beschikbaar te stellen. Een organisatie is dan wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.
Organisaties kunnen zich voorbereiden met API
Organisaties kunnen zich hierop voorbereiden door alvast na te denken over hoe zij de gegevens beschikbaar gaan stellen. Bijvoorbeeld via een tool waarmee klanten hun gegevens direct op een beveiligde manier kunnen downloaden. Ook moet een organisatie ervoor zorgen dat haar klanten hun gegevens direct kunnen doorgeven aan een andere organisatie.
Dit kunnen organisaties bijvoorbeeld doen met een application programming interface (API), waarmee een verbinding mogelijk wordt gemaakt tussen het systeem of de applicatie van de organisatie en dat van een andere partij. Dit kan ook een vertrouwde derde partij zijn, die de overgedragen gegevens opslaat en op verzoek van klanten aan meerdere organisaties kan doorgeven.
> Meer informatie via hulpbijprivacy.nl, AVG-Regelhulp en Voorbereiding op de AVG (pdf)