AVG: WAT BETEKENT DIT VOOR JOU?

WAT VERANDERT ER?

De AVG zorgt onder meer voor:

• versterking en uitbreiding van privacyrechten
• meer verantwoordelijkheden voor organisaties
• dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders (om boetes tot 20 miljoen euro op te leggen)

WAT BETEKENT DE VERANTWOORDELIJKHEIDSPLICHT? 

Als de AVG van toepassing is, heb je als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk op de verantwoordelijkheid van JOU als organisatie om aan te tonen dat je je aan de wet houdt. Dit heet de verantwoordingsplicht. Als organisatie kun je nu al stappen ondernemen om straks klaar te zijn voor de AVG. Onderzoek alvast of je jouw huidige processen, diensten en goederen op bepaalde punten moet aanpassen om te voldoen aan de AVG. 

WAT ZIJN VOORBEELDEN VAN PERSONEELSGEGEVENS BINNEN DE AVG? 

In principe is de AVG van toepassing indien er persoonsgegevens worden verwerkt. Met verwerken wordt onder andere al bedoeld het verzamelen, vastleggen, opslaan, opvragen of doorzenden. Voorbeelden van persoonsgegevens zijn:

• NAW-gegevens
• IP-adressen
• telefoonnummers
• BSN-nummers
• e-mailadressen
• WOZ-waarden
• pasfoto's
• kentekens
• geboortedata

HOE ZIT HET MET DE VERWERKING VAN BIJZONDERE PERSONEELSGEGEVENS? 

Naast deze persoonsgegevens zijn er ook bijzondere persoonsgegevens. Van deze gegevens is het zelfs verboden om ze te verwerken. Nieuw onder de AVG is dat ook genetische gegevens en biometrische gegevens hieronder vallen als deze herleidbaar zijn tot een persoon. Op de bijzondere persoonsgegevens zijn een tiental uitzonderingen. Een belangrijke uitzondering is de verwerking die noodzakelijk is in het kader van de uitvoering van regels op het gebied van arbeids- en socialezekerheidsrecht. Onder de vraag 'Wanneer mag je bijzondere gegevens verwerken vind je alle tien uitzonderingen'. Als de betrokkene toestemming geeft voor het verwerken van deze persoonsgegevens is verwerking ook toegestaan, mits er wordt voldaan aan de overige vereisten die de verordening stelt. Voorbeelden van bijzondere persoonsgegevens zijn:

• ras of etnische afkomst
• politieke voorkeur
• godsdienst
• lidmaatschap van een vakbond
• gezondheid
• seksueel gedrag of seksuele geaardheid;
• genetische gegevens; zoals DNA
• biometrische gegevens zoals een vingerafdruk

HOE WEET JE OF JE PERSONEELSGEGEVENS MAG VERWERKEN? 

Waarbij voor de verwerking van bijzondere persoonsgegevens in beginsel een verbod geldt, betekent dit voor de gewone persoonsgegevens niet dat je deze zonder meer mag verwerken. Om de persoonsgegevens te mogen verwerken moet aan ten minste een van de grondslagen worden voldaan. Er zijn een zestal grondslagen bepaald. De belangrijkste drie zijn:

• toestemming van de persoon
• de noodzaak voor het uitvoeren van een overeenkomst
• de uitvoering van een wettelijke plicht de belangrijkste zijn

Ook voor de verwerking van bijzondere persoonsgegevens is, naast een toepasselijke uitzondering, een rechtmatige grondslag vereist.

WAT MOET IK DOEN ALS DE AVG OP MIJ VAN TOEPASSING IS? 

Op basis van bovenstaande weet je nu of de AVG bij je van toepassing is. Dit betekent dat je moet aantonen dat jouw organisatie handelt volgens de AVG. Dit doe je onder meer via een register van verwerkingsactiviteiten. Hoewel dit verplicht is voor organisaties met meer dan 250 werknemers, geldt dit ook voor organisaties die persoonsgegevens verwerken waarvan:

• de verwerking niet incidenteel is
• de verwerking een hoog risico inhouden
• sprake is van bijzondere persoonsgegevens

Met name door het eerste punt is de kans groot dat je een register van verwerkingsactiviteiten bij moet houden. Hoewel het register vormvrij is, worden aan de inhoud daarvan wel strenge eisen gesteld. Met name van wie , met wel doel en waarvoor je gegevens verwerkt moet daarin worden opgenomen. Ook de eventuele verstrekking aan derden, bewaartermijnen en de getroffen beveiligingsmaatregelen dienen hierin opgenomen te worden. Je vindt onder de vraag 'Wat moet er in het register van verwerking staan' meer informatie.

HOE ZIT HET MET MIJN ALGEMENE VOORWAARDEN? 

Met de AVG heb je de verantwoordelijkheid over de persoonsgegevens van bijvoorbeeld je leveranciers, afnemers en werknemers. Beoordeel in dit kader jouw algemene voorwaarden en intern privacy-beleid. Zorg dat duidelijk is hoe je met de verschillende persoonsgegevens om gaat, leg dit vast in jouw algemene voorwaarden en communiceer naar de betrokken partijen.

WANNEER MOET JE VERWERKERSOVEREENKOMSTEN OPSTELLEN? 

Als verantwoordelijke van de persoonsgegevens die je verwerkt dien je overeenkomsten af te sluiten met de partijen die voor je bepaalde verwerkingsactiviteiten verrichten. Denk hier bijvoorbeeld aan jouw salarisadministratie of financiële administratie, maar ook aan jouw IT-leverancier en de (locatie) van de opslag van je data en back-ups. Deze overeenkomsten worden verwerkersovereenkomsten genoemd.

Belangrijk!
Binnen Omnyacc bieden wij verschillende typen dienstverlening, die in het kader van de AVG verschillend worden behandeld. Op korte termijn informeren wij je hier meer over en in welke gevallen (aanvullende) overeenkomsten noodzakelijk zijn.

MOET IK EEN FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING AANSTELLEN?

Op grond van de AVG dien je een functionaris voor de gegevensbescherming aan te stellen indien je aan een aantal voorwaarden voldoet. Hoewel in veel gevallen dit niet bij je van toepassing zal zijn is het aan te raden om één persoon binnen jouw organisatie als vast aanspreekpunt aan te stellen.

HOE ZIT HET MET DE MELDPLICHT DATALEKKEN? 

De Wet meldplicht datalekken, ingegaan op 1 januari 2016, is een van de 10 stappen van de AVG. De AVG stelt strengere eisen aan je eigen registratie van de datalekken die zich in jouw organisatie hebben voorgedaan. Niet alleen moet je een datalek binnen 72 uur melden bij het meldloket van de Autoriteit Persoonsgegevens, ze moeten ook worden gedocumenteerd. Op die manier kan de Autoriteit Persoonsgegevens controleren of je aan de meldplicht hebt voldaan, de wijze waarop de afhandeling van het datalek heeft plaatsgevonden en welke (aanvullende) maatregelen er zijn getroffen.

WANNEER IS ER SPRAKE VAN EEN DATALEK? 

Er is sprake van een datalek als zich een beveiligingsincident heeft voorgedaan, waarbij persoonsgegevens verloren zijn gegaan (falende back-up procedures), of als onrechtmatige verwerking van persoonsgegevens niet kan worden uitgesloten (verloren telefoon of laptop). Wanneer een datalek waarschijnlijk ongunstige gevolgen heeft voor de betrokkene, dient diegene per direct op de hoogte gesteld te worden.

HOE ZIT HET MET DE PRIVACYVERKLARING?

Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterde privacyrechten: de privacyverklaring. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. In een privacyverklaring legt de eigenaar van een website uit waarom hij persoonsgegevens verzamelt en hoe er wordt omgegaan met de verzamelde persoonsgegevens. In de meeste gevallen kun je niet kiezen of je wel of geen privacyverklaring op je website moet zetten. Als een website persoonsgegevens verzamelt dan is het verplicht om ook een privacyverklaring op de website te zetten. Ook als bezoekers zich kunnen inschrijven voor een nieuwsbrief moet er op de website een privacyverklaring staan. In een privacyverklaring staat in ieder geval de bedrijfsnaam, het doel van de verwerking, de rechten van d e betrokkenen, de contactpersoon van de onderneming en, de ontvangers van de gegevens.

WAT MOET IK NOG MEER WETEN? 

Naast bovenstaande wijzigingen komen binnen de AVG nog enkele belangrijke thema's aan bod zoals privacy by design, privacy by default en data privacy impact assessment (DPIA). Hier willen wij je in een later stadium over informeren.

HEB JE VRAGEN?

Vanaf 25 mei 2018 gaat er flink wat veranderen. Zorg dat je er klaar voor bent! Voor de volledigheid melden wij nogmaals dat bovenstaande een samenvatting betreft, en geen volledige opsomming van de AVG is. Voor meer informatie en de volledige wet- en regelgeving kun je terecht op: www.autoriteitpersoonsgegevens.nl (dossier AVG), en bij onze AVG contactpersonen:

• Gerard de Graaf: 0223-688600
• Patrick Blankenzee: 072-5720626
• Jos de Lange: 0228-561010
• Xander Müller: 0229-271994

MEER LEZEN OVER DE AVG 

Lees hier hoe je een register van verwerkingen maakt.
Lees hier hoe lang je persoonsgegevens mag bewaren.