Algemene Verordening Gegevensbescherming 2018

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming, de AVG, in werking getreden. Deze Europese wet regelt voor de hele Europese Unie hoe persoonsgegevens beschermd moeten worden, maar ook de voorwaarden voor het internationale gegevensverkeer.

Met de invoering van de Algemene Verordening Gegevensverwerking is de oude Nederlandse wet voor dit onderwerp, de Wet Bescherming Persoonsgegevens, buiten spel gezet.

 

AVG – Privacywet… of niet?

 

Om een misverstand uit de weg te werken: de Algemene Verordening Gegevensbescherming is niet de nieuwe Europese Privacywet. Er zijn namelijk meerdere regelingen en verordeningen die privacy regelen, ook in Europees verband. Binnenkort wordt bijvoorbeeld de ePrivacy Verordening ingevoerd, die bijvoorbeeld de verschillende marketingkanalen als email, telemarketing en cookies regelt.

Maar ook bestaat bijvoorbeeld Richtlijn (EU) 2016/680 van april 2016, de Richtlijn Gegevensbescherming Opsporing en Vervolging (omschreven als: “de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens.”

 

Veel veranderd door de AVG?

 

De vraag, of er nu zo veel veranderd is door de invoering van de Algemene Verordening Gegevensbescherming, hangt af van de persoon die je deze vraag voorlegt.

Veel van wat er in de Algemene Verordening Gegevensbescherming staat, was al bepaald in voorgaande wetten en internationale verdragen. Privacyexperts spreken dan ook van “oude wijn in nieuwe zakken”. In juridisch opzicht valt daar wat voor te zeggen. Maar in praktische zin heeft de AVG wel degelijk een grote impact.

Maatschappelijke impact

De oude wetgeving (maar ook nog steeds bestaande wetgeving, zoals de Wgbo, de Wet Geneeskundige Behandeling en Onderzoek) eiste ook al de bescherming van persoonsgegevens. De meeste rechten van de betrokkenen (de personen van wie persoonsgegevens worden verwerkt) bestonden vóór 25 mei 2018. Boetes en andere strafmaatregelen bestonden al sinds de Wbp. Alleen… de meeste organisaties lapten veel van de regels aan hun laars. De pakkans was klein, de boetes en dwangmaatregelen vielen vaak erg mee.

De uitgaven en investeringen van nu zijn voor een groot deel een grote inhaalslag van achterstand bij het overgrote merendeel van de bedrijven.

Met de invoering van de Algemene Verordening Gegevensbescherming is het bekend worden van de boetes voor het niet nemen van de juiste maatregelen ter bescherming van persoonsgegevens een sterke impuls voor het bedrijfsleven om nu eindelijk eens aandacht te schenken aan het onderwerp.

Voorheen waren boetes en maatregelen ook wel mogelijk, maar die werden lang niet zo draconisch uitgemeten als de 10 en 20 miljoen euro boetes van de Algemene Verordening Gegevensbescherming.

Bedrijven die al jaren met persoonsgegevens aan het werk waren, en dat min of meer wel veilig deden, worden nu geprikkeld werkwijzen te formaliseren. Maar ook blijkt vaak, dat er veel ruimte voor verbetering is.

Tenslotte heeft het aspect van aansprakelijkheid opeens grote relevantie gekregen: welke partij is er nu eigenlijk voor verantwoordelijk wanneer er persoonsgegevens worden gelekt of worden misbruikt? Een wildgroei aan Verwerkersovereenkomsten, waarmee deze aansprakelijkheid wordt geregeld, vindt op dit moment nog steeds plaats.

 

Persoonlijke impact

Ook voor burgers heeft de Algemene Verordening Gegevensbescherming direct effect. Als persoon heb je meer rechten om controle uit te oefenen over je eigen persoonsgegevens. De mogelijkheid om je recht te halen is meer op de voorgrond komen te staan. Als het goed is, licht elke organisatie beter toe hoe persoonsgegevens worden verwerkt, wie verantwoordelijk is voor de verwerking, hoe lang gegevens worden bewaard, en met wie (en waarom) de persoonsgegevens worden gedeeld. Dit zijn allemaal zaken die de Algemene Verordening Gegevensbescherming regelt.

 

Voordelen van de Algemene Verordening Gegevensbescherming

 

Veel ondernemers voelen zich uitermate vervelend door de invoering van de Algemene Verordening Gegevensbescherming. Implementatie ervan kost handenvol geld en tientallen, zo niet honderden of duizenden manuren werk. Bovendien worden allerlei initiatieven in de kiem gesmoord, “omdat het niet meer mag van de AVG”.

Het is misschien goed om hier wat positieve geluiden tegenover te zetten.

  • Als mens, als persoon, als betrokkene zijn we het er allemaal over eens dat we steeds minder zeggenschap hebben over onze data. “Privacy bestaat al lang niet meer” is een uitspraak die vaak te horen is, ook uit de mond van een ondernemer. Maar als Maatschappelijk Verantwoord Ondernemer heb je nu een prikkel om te beginnen, bij jezelf. De anderen kun je toch niet veranderen, maar deze zelfde “anderen” hebben dezelfde prikkel als jij. Misschien wordt de wereld toch, in ieder geval een stukje, veiliger. En dat heeft ook op jou als mens een gunstig effect.
  • Als ondernemer mag je nog steeds heel veel. Alleen dwingt de Algemene Verordening Gegevensbescherming af, dat je er goed over nadenkt. Wie wel eens een Privacy Impact Assessment (een onderzoek naar de bedreigingen en gevolgen van een nieuwe ontwikkeling op het gebied van de verwerking van persoonsgegevens) met hart en ziel heeft uitgevoerd, en niet alleen voor het voeden van de papieren tijger, weet dat je hierdoor veel meer bewust wordt van bedreigingen. Het uitvoeren van deze verplichting in de Algemene Verordening Gegevensbescherming kan ook een uitermate geschikt instrument zijn voor het veiliger en beter maken van je bedrijfsproces of product.
  • De verplichte aanstelling van een Functionaris Gegevensbescherming voor veel organisaties zorgt ook voor een beter toezicht op processen en registraties, voor een confrontatie met zaken die je probeerde te negeren omdat je dat maar lastig vond. De kwaliteit van dienstverlening kan sterk stijgen als je de aanbevelingen van een Functionaris Gegevensbescherming ziet als opbouwende feedback, en niet als het vervelende rapport van die lastige, verplicht aangestelde bemoeial. Deze feedback is zo waardevol, dat veel organisaties er voor kiezen vrijwillig een Functionaris Gegevensbescherming aan te stellen.

 

De verplichtingen worden kansen

 

De Algemene Verordening Gegevensbescherming stelt een aantal nieuwe zaken verplicht. Door toe te geven aan het onvermijdelijke, en gewoon maar aan de slag te gaan met deze zaken, kun je deze verplichtingen ombuigen naar kansen ter verbetering. Een aantal van deze verplichtingen, oftewel kansen ter verbetering, op een rij:

  • Invoering van een Verwerkingenregister. Niet alleen grote organisaties zijn verplicht om een Verwerkingenregister op te stellen. Elke organisatie (ja, dus ook een ZZP-er) die persoonsgegevens verwerkt moet dit register hebben. Behalve als de verwerking incidenteel is en het onwaarschijnlijk is dat de verwerking risico inhoudt voor de betrokkene. In dat geval mag je, mits je organisatie kleiner is dan 250 personen, het verwerkingenregister achterwege laten. Het (laten) uitvoeren van een loonadministratie is al niet meer incidenteel, en daarmee vervalt voor elke niet-eenmanszaak de uitzondering. Het regelmatig mailen met klanten, het hebben van een nieuwsbrief, enzovoorts, zijn allemaal voorbeelden van niet incidentele verwerking van persoonsgegevens. Wie valt er eigenlijk wél in de uitzonderingscategorie?

Maar… een verwerkingenregister is niets anders dan een overzicht van de verwerkingen van persoonsgegevens in een organisatie. Niemand ontkent het belang van een goede beveiliging van deze gegevens. Hoe erg is het dan, om eens een keer deze verwerkingen te inventariseren en te benoemen? Gebruik je het moment om de processen meteen te controleren op veiligheid en efficiency, dan is het een exercitie die je veel waardevols kan opleveren.

  • Aanstellen van een Functionaris Gegevensbescherming (ook wel: FG). De Algemene Verordening Gegevensbescherming eist van drie soorten organisaties de aanstelling van een Functionaris Gegevensbescherming:
  1. Overheid en publieke organisaties
  2. Organisaties die aan op grote schaal aan profiling of volgen van personen doen
  3. Organisaties die op grote schaal bijzondere persoonsgegevens verwerken

De FG houdt onafhankelijk toezicht op de naleving van de AVG en andere privacyregelgeving. Hierbij doet hij aanbevelingen tot verbetering, ondersteunt bij werkzaamheden op dit gebied, en is aanspreekpunt voor alle betrokkenen. Is het vervelend als zo iemand in jouw organisatie rond loopt? Wel als je niet doet met de opbouwende kritiek die je ontvangt. Of als je je verplicht voelt zijn aanbevelingen zonder meer over te nemen. Maar als bestuurder mag je de aanbevelingen van een FG naast je neer leggen… mits je dit kunt onderbouwen.

Je blijft als bestuurder verantwoordelijk, en kunt dus niet gedwongen worden te doen wat de FG zegt. Alleen, je weet het nu wanneer je iets doet dat tegen de wet is. Het enige verschil is dus, dat je je niet kunt verstoppen achter de tekst: “ik wist niet dat dit niet mocht”. Maar hoe veel effect heeft dit excuus in de rechtspraak? Nul. Is het erg dat je nu weet wat je niet mocht doen? Nee, want de FG biedt je ook de uitweg.

Een ander gehoord argument tegen de aanstelling is nog wel, dat een FG veel geld kost. Maar als je een externe FG inhuurt, bijvoorbeeld via AVG Compleet, dan vallen de kosten erg mee. Je bent dan verzekerd van een expert, maar draagt zelf geen risico op het gebied van personeelszaken (ziekte, uitval, vakantie).

  • Verplichte informatiebeveiliging. In de Algemene Verordening Gegevensbescherming is de informatiebeveiliging zeer expliciet voor elke organisatie verplicht geworden. Elk zichzelf respecterende organisatie kan echter niet zeggen hier geen aandacht aan te willen geven. Bedrijven die zeggen hier geen prioriteit aan te kunnen geven, moeten beseffen dat het verwerken van persoonsgegevens een verantwoordelijkheid inhoudt. Met de almaar toenemende cybercriminaliteit kun je als ondernemer toch niet zeggen dat het allemaal zo een vaart niet zal lopen. Een goede informatiebeveiliging is helaas pure noodzaak. Dat ligt niet aan de Algemene Verordening Gegevensbescherming, maar aan het groeiend aantal hackers.
  • Privacy by default en by design. De Algemene Verordening Gegevensbescherming stelt, dat bij nieuwe ontwikkelingen vanaf het begin de bescherming van persoonsgegevens moet worden meegenomen (privacy by design). Je moet dus eerst denken en dan doen. Lastig? Of juist een prikkel tot verbetering?

Als een persoon kan kiezen tussen een optie met meer of minder privacy, dan moet standaard de “meer privacy”-optie worden aangeboden. Toegegeven, voor e-marketeers is dat wel eens jammer… je mag iemand er niet meer inluizen met het aanbod van een gratis ebookje, waarna je deze persoon tot in de eeuwigheid gaat spammen.

 

 

 

© 2018 AVG Compleet BV