AVG stappenplanSinds de invoering van de Europese verordening voor de verwerking van persoonsgegevens in mei 2018 hebben ondernemers er een belangrijke taak bij gekregen. De GDPR (General Data Protection Regulation), in goed Nederlands, de AVG (Algemene verordening gegevensbescherming), is een vernieuwde versie van de richtlijn uit 1995. De AVG bepaalt hoe particuliere ondernemingen en overheidsinstanties gegevens van natuurlijke personen in de Europese Unie vastleggen en verwerken.

De AVG als antwoord op een wereld in verandering

De nu geldende richtlijn is het antwoord op de uitdagingen van de digitale wereld. Nu de consument veel meer zaken online regelt, is er duidelijk behoefte aan een wetgeving die voorschrijft hoe persoonsgegevens dienen te worden verwerkt en opgeslagen. Die noodzaak wordt duidelijk als men kijkt naar de groei van het aantal websites. In 1995 waren er slechts 23.500 websites actief, tegenwoordig is dat aantal gegroeid naar bijna 2 miljard. Met de groei van de online activiteiten, groeit ook de hoeveelheid opgeslagen en verzamelde persoonsgegevens. Hierdoor is het privacyvraagstuk actueler dan ooit. Recente schandalen waarbij sprake was van privacy schendingen onderstrepen nogmaals het belang van een goede, relevante wetgeving op dit gebied.

Privacy staat voorop

De AVG beoogt de veiligheid van de persoonlijke gegevens van natuurlijke personen in de Europese Unie wereldwijd te beschermen. Op die manier wordt de privacy van de verstrekte gegevens gewaarborgd en weet men dat de gegevens op de juiste manier worden verwerkt en opgeslagen. Voor ondernemingen brengt dit tal van uitdagingen met zich mee. Hoe zorg je er voor dat je de verstrekte gegevens om de juiste manier verwerkt en waar moet je op letten. Hoog tijd om alle relevante zaken wat betreft de AVG op een rij te zetten.

Op welke bedrijven is de AVG van toepassing?

Dankzij de AVG hebben bedrijven een duidelijk kader voor de gegevensverwerking van de verzamelde data. Het is allemaal gericht op de bescherming van de privacy en is van toepassing op elke onderneming en overheidsdienst in de EU en daarbuiten. De stelregel is dat de AVG van toepassing op de verwerking van persoonsgegevens van natuurlijke personen in de Europese Unie.

Is de AVG ook van toepassing als mijn bedrijf buiten de EU gevestigd is?

Alhoewel het hier om een Europese wet gaat, is de reikwijdte veel groter. De AVG bepaalt namelijk dat het gaat om het vastleggen en verwerken van de persoonsgegevens van EU-ingezetenen. Ook als een organisatie buiten Europa is gevestigd, dan heeft men ook te maken met de bepalingen uit de AVG voor zover het betrekking heeft op de persoonsgegevens van natuurlijke personen uit de Europese Unie.

Uitzonderingsposities

De AVG is niet alleen van toepassing op grote bedrijven. Ook eenmanszaken, freelancers en zzp’ers hebben met de AVG te maken. De omvang van een organisatie is dus niet relevant. Wat wel het geval is, is dat de AVG een uitzonderingspositie toekent aan organisaties met een beperkte omvang. Voor bedrijven en organisaties met 250 werknemers of minder geldt een vereenvoudigde documentatieplicht. Dit is overigens enkel van toepassing zolang de rechten van de gebruiker niet in het gedrang komt.

De definitie van persoonlijke gegevens volgens de AVG

De term ‘persoonlijke gegevens komt veel voor in de AVG, maar wat wordt hier nu precies mee bedoelt? In principe zijn er twee categorieën te onderscheiden. Dit onderscheid is belangrijk, omdat ze bepalen wat er met de gegevens in de afzonderlijke categorieën gedaan mag worden.

1. Persoonlijke gegevens (GDPR-artikel 4/1)
Op het moment dat je een individu kunt identificeren aan de hand van de verstrekte gegevens, is er sprake van persoonlijke gegevens. Te denken valt aan zaken als een adres, geboortedatum, naam of IP-adres. Ook gegevens die kenmerkend zijn voor een bepaald individu behoren tot deze categorie.

2. Gevoelige persoonlijke gegevens (GDPR-artikel 9)
Voor de verwerking en bewaring van gevoelige persoonsgegevens gelden aparte regels. Dit zijn bijvoorbeeld genetische en biometrische gegevens, een politieke voorkeur of religie.

Toestemming volgens de AVG

Alhoewel de term ‘toestemming’ redelijk eenvoudig te definiëren is, levert dit binnen de AVG toch enige verwarring op. Als bedrijf zijnde is het van belang om de privacy van de verstrekker van de gegevens voorop te stellen. Toestemming binnen de AVG gaat niet alleen over het mogen gebruiken van de verstrekte gegevens, maar eerder over het correct verwerken en opslaan van de gegevens. Simpelweg krijgt een ondernemer toestemming om de gegevens te gebruiken en te verwerken, mits de methode van opslag en verwerking voldoet aan de richtlijnen zoals deze zijn vastgelegd binnen de AVG.

Dat klinkt eenvoudig, maar als een onderneming of organisatie de verstrekte gegevens zou willen gebruiken voor een ander doel dan waarvoor deze zijn verkregen, moet er opnieuw expliciet toestemming voor worden verkregen.

Gedetailleerde toestemming

Naast de gewone toestemming is er binnen de AVG ook sprake van een gedetailleerde toestemming. Dit is het geval als gegevens voor verschillende doeleinden worden gebruikt. Ook hierbij is privacy het uitgangspunt, de gebruiker moet namelijk zelf kunnen aangeven waar de gegevens voor mogen worden gebruikt. Het antwoord op de vraag waar de gebruiker wel of geen toestemming voor heeft verleend, mag niet bepalend zijn voor het wel of niet toegankelijk maken van een bepaalde dienst of product. Een gebruiker bestraffen door de toegang tot een bepaalde dienst te ontzeggen in verband met het ontbreken van de toestemming is dan ook niet toegestaan.

Als onderneming of instelling moet een gebruiker tevens in staat zijn om zijn toestemming op elk moment aan te passen of zelfs volledige in te trekken. Dit kan bijvoorbeeld via een functie op een website, via een telefonisch contact of per e-mail.

Basisrechten van betrokkenen in de AVG

De complexiteit van de AVG maakt het noodzakelijk om rechten te verlenen aan wat men in de AVG ‘betrokkenen’ noemt. Deze betrokkenen zijn de natuurlijke personen op wie de gegevens betrekking hebben, de natuurlijke personen dus.

Binnen de AVG kunnen we acht basisrechten onderscheiden:

  • Het recht om (duidelijke) informatie op te vragen over de opgeslagen gegevens
  • Het recht om toegang te krijgen tot de opgeslagen gegevens
  • Het recht om de opgeslagen gegevens aan te passen (recht op rectificatie)
  • Het recht om de opgeslagen gegevens te verwijderen (recht op dataverwijdering)
  • Het recht om de hoeveelheid opgeslagen en verwerkte gegevens te beperken
  • Het recht om de gegevens over te (laten) dragen naar een andere partij
  • Het recht om bezwaar aan te tekenen tegen het gebruik van de verstrekte gegevens
  • Het recht om niet akkoord te gaan met de automatische verwerking van de verstrekte persoonsgegevens, waaronder profilering

De AVG en boetes

Veel ondernemingen en instellingen zijn, zacht uitgedrukt, niet bijzonder gecharmeerd van de AVG. De belangrijkste reden is de mogelijkheid dat men een boete kan krijgen indien de regels niet worden nageleefd. Die boetes zijn zeker niet mals. Er zijn twee belangrijke boetecategorieën te onderscheiden:

Categorie 1:

Een boete van 2% van de wereldwijde omzet óf een boete van 10 miljoen euro, afhankelijk van de vraag welk bedrag hoger is.
Als mogelijke reden voor het opleggen van de boete kunt u denken aan de volgende zaken:

  • Verlies van persoonsgegevens door een data-lek
  • Het ontbreken van een functionaris gegevensbescherming (indien nodig)
  • Het ontbreken van een ‘Data Protection Impact Assessment’ (DPIA) en het uitvoeren ervan (indien nodig)
  • Het niet op orde hebben van de juiste documentatie

Categorie 2:

In deze categorie is sprake van een hogere boete, namelijk 4% van de wereldwijde jaaromzet óf 20 miljoen euro. Ook hier is de exacte hoogte van de boete afhankelijk van de vraag welk bedrag hoger uitvalt.
Om een dergelijke boete te ontvangen, moet er sprake zijn van zware overtredingen zoals:

  • Gegevens verwerken zonder hiervoor expliciet toestemming te hebben verkregen
  • Het negeren en niet respecteren van de rechten van consumenten zoals is vastgelegd in de AVG
  • Gegevens versturen en bewaren buiten het grondgebied van de EU zonder hierbij de regels van de AVG te hanteren

De functionaris gegevensbescherming

In bepaalde situaties is de aanwezigheid van een functionaris gegevensbescherming vereist. Deze functionaris gegevensbescherming, ook wel Data Protection Officer (DPO) genoemd, adviseert en assisteert een onderneming of instelling om te voldoen aan de richtlijnen van de AVG.

Dit kan een medewerker zijn, maar evengoed kan dit een externe consultant zijn. De functionaris gegevensbescherming laat zien wat eventuele aandachtspunten zijn bij de gegevensverwerking in de organisatie. Dit noemen we een DPIA (Data Protection Impact Assessment) en kan in bepaalde situaties een vereiste zijn.

Een functionaris gegevensbescherming is volgens de AVG in de volgende situaties verplicht:

  • publieke organisaties en overheidsinstellingen
  • organisaties die grote hoeveelheden data verwerken
  • organisaties waarbij sprake is van de verwerking van gevoelige persoonlijke gegevens

Ook organisaties die niet direct in een van de bovenstaande categorieën vallen, kunnen baat hebben bij het aanstellen of aantrekken van een privacy specialist. Op deze manier verzekerd een organisatie zich van het in huis hebben van de juiste, relevante kennis. Zo kan het inhuren van een MSSP (Managed Security Service Provider) zinvol zijn, met name indien deze is gespecialiseerd in AVG-compliance.

De AVG: een zegen of niet?

Ook al is de AVG een complex geheel, het is in deze tijd pure noodzaak. Het voldoen aan de AVG is echter meer dan het afvinken van enkele opties op een checklist. Het gaat om bewustwording van het belang van de bescherming van de privacy. Dat vergt aan de ene kant een behoorlijke investering, maar het heeft ook duidelijke pluspunten. Naast het in kaart brengen van de manier waarop gegevens worden opgeslagen krijgt u direct inzage in belangrijke knelpunten en kwetsbaarheden in de beveiliging van de persoonsgegevens. Voldoet de onderneming of organisatie aan de AVG, dan heeft dit een duidelijke meerwaarde, zowel voor het bedrijf als de klant.

Alles gelezen? Ga dan nu naar de AVG stappenplan hoofdpagina.

Heeft u interesse in ISO2HANDLE? Vraag dan een gratis demo aan!