De AVG is op dit moment all over the place. Iedereen schrijft, vertelt of vindt iets. Het valt op dat de beginstappen vaak worden overgeslagen. Wie is nou betrokken bij de AVG? Wat betekenen de termen verantwoordelijke, verwerker, FG en DPIA? Wat is de wettelijke grondslag voor gegevensverwerking? Op die vragen geven wij antwoord in deze blog. Onderaan de blog vindt u een handig stappenplan, waarmee u de AVG in uw organisatie op de juiste wijze kunt toe te passen.
AVG
De AVG is de Algemene Verordening Gegevensbescherming. Privacywetgeving. Met deze Europese verordening geldt dezelfde privacywetgeving in alle EU-landen. De Uitvoeringswet AVG, de implementatie van de AVG, vervangt in Nederland de Wet bescherming persoonsgegevens.
Verwerking van persoonsgegevens omvat vrijwel alles. Persoonsgegevens zijn alle gegevens waarmee een natuurlijk (levend) persoon zou kunnen worden geïdentificeerd. En verwerking is elke handeling: vastleggen, bewaren, raadplegen, verspreiden en ook vernietigen van de gegevens.
Wettelijke grondslag
De verwerking van persoonsgegevens is alleen toegestaan als dat is gebaseerd op een wettelijke verwerkingsgrondslag. In de wet staan 6 verwerkingsgronden:
- toestemming van de betrokkene (expliciet en vrijwillig)
- overeenkomst (bijv. arbeidsovereenkomst)
- wettelijke plicht
- publieke taak
- vitaal belang
- gerechtvaardigd belang.
Daarnaast moet er sprake zijn van een verzameldoel. Er moet een bepaald, gerechtvaardigd, uitdrukkelijk omschreven doel zijn voor de verwerking van persoonsgegeven. Het doel kan bijvoorbeeld zijn de financiële of salarisadministratie, het uitvoeren van de overeenkomst of klantenservice.
Betrokkenen
Betrokkenen zijn alleen natuurlijke personen. De gegevens van rechtspersonen worden niet beschermd door de privacywetgeving. Let op: gegevens van contactpersonen bij rechtspersonen, zoals de directeur, salesmanager etc., worden wel beschermd door de AVG.
Een bedrijf heeft vaak met twee soorten betrokkenen te maken: werknemers en klanten.
Verantwoordelijke en verwerker
Verantwoordelijke
De AVG bevat met name verplichtingen voor de zogenoemde verantwoordelijke. De verantwoordelijke is degene die het doel en de middelen van de verwerking vaststelt.
Verwerker
Naast de term “verantwoordelijke”, komt de term “verwerker” veel voor. De verwerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Denk bijvoorbeeld aan het bedrijf dat de loonadministratie of ICT verzorgt. Kort gezegd, dienstverleners. Een dienstverlener kan echter ook (mede)verantwoordelijke zijn.
De onderstaande afbeeldingen illustreren de verhouding tussen verantwoordelijke, verwerker en medeverantwoordelijke.
Verwerkersovereenkomst
Als een verantwoordelijke samenwerkt met verwerkers, dan rust op de verantwoordelijke de verplichting om een verwerkersovereenkomst te sluiten. In de verwerkersovereenkomst moeten de volgende punten staan:
- De gegevens worden alleen op instructie van de verantwoordelijke verwerkt;
- De personen binnen de verwerkende organisatie gaan vertrouwelijk met de gegevens om;
- De verwerker moet passende maatregelen voor beveiliging nemen;
- De voorwaarden waaronder de verwerker de gegevens mag doorgeven;
- De verwerker moet, voor zover mogelijk, ervoor zorgen dat de verantwoordelijke zich aan de rechten van de betrokkene kan houden;
- Na afloop van de diensten, moet de verwerker de gegevens wissen of teruggeven aan de verantwoordelijke;
- De verwerker moet alle informatie die nodig is om “het voldoen aan de wettelijke eisen” te testen, aan de verantwoordelijke geven.
De verantwoordelijk is verplicht om ervoor te zorgen dat de verwerker voldoende garanties biedt dat de verwerking aan de AVG voldoet en de rechten van de betrokkenen zijn gewaarborgd. Tip: ga alleen met betrouwbare verwerkers in zee.
Functionaris voor Gegevensbescherming (FG)
Een verantwoordelijke kan verplicht zijn om een Functionaris voor Gegevensbescherming, in het kort FG, aan te stellen. Deze verplichting geldt voor:
- overheidsorganisaties; en
- organisaties die zich bezighouden met regelmatige, stelselmatige en grootschalige observatie; en
- organisaties die te maken hebben met grootschalige verwerking van bijzondere gegevens (ras, godsdienst, gezondheid etc.) of strafrechtelijke gegevens, zoals ziekenhuizen, banken, verzekeraars en telefoon- en internetaanbieders.
Het is aan te raden om te evalueren of uw organisatie een FG moet of wil (het kan vrijwillig) aanstellen. Is het antwoord “nee”, leg dan de redenen daarvoor vast in het verwerkingsregister (zie hieronder).
Is het antwoord “ja”, dan moet iemand (intern of extern) worden aangewezen als FG en moeten de contactgegevens van de FG openbaar worden gemaakt.
De FG moet worden aangemeld bij de Autoriteit Persoonsgegeven. FG’s die vóór 25 mei 2018 waren aangemeld, moeten opnieuw worden aangemeld. De aanmelding kan via een webformulier op de website van de Autoriteit Persoonsgegevens.
Wat doet een FG?
Een FG is een soort privacy-toezichthouder binnen uw organisatie. Een FG houdt toezicht op de toepassing en naleving van de AVG. Daarvoor moet de FG beschikken over vakkennis van privacywetgeving en gegevensbescherming, kennis van uw organisatie en expertise op het gebied van informatiebeveiliging.
DPIA (data protection impact assessment)
Een andere term die in de AVG voorkomt is data protection impact assessment, ofwel DPIA. DPIA is een instrument om vooraf de privacy-risico’s van gegevensverwerking in kaart te brengen. Onderzoek naar de privacy-bestendigheid van de gebruikte technologieën.
Een DPIA is niet voor alle gegevensverwerking verplicht. Een DPIA moet worden uitgevoerd als er een hoog risico is voor de rechten en vrijheden van de betrokkene. Daarvan is al snel sprake als er nieuwe technologieën worden gebruikt. Ook als sprake is van een grootschalige verwerking van bijzondere of strafrechtelijke gegevens, moet een DPIA worden uitgevoerd. Voor bestaande gegevensverwerking hoeft in principe geen DPIA te worden uitgevoerd. Op het moment dat er een verandering is in de gegevensverwerking, bijvoorbeeld een nieuw softwaresysteem, waardoor een hoog privacy-risico ontstaat, moet alsnog een DPIA worden uitgevoerd.
In het algemeen wordt geadviseerd om periodiek een DPIA uit te voeren, bijvoorbeeld elke 3 jaar.
Verwerkingsregister
De verantwoordelijke kan verplicht zijn om een verwerkingsregister bijhouden. Kort gezegd, is een verwerkingsregister een overzicht van alle verwerkingen van persoonsgegevens. Dat kan eenvoudig in een Word- of Excelbestand. U moet het register kunnen laten zien als de Autoriteit Persoonsgegevens een controle uitvoert.
Als uw organisatie meer dan 250 werknemers heeft, dan geldt deze verplichting volledig voor u.
Werken er minder dan 250 werknemers binnen uw organisatie, dan is het alleen verplicht om zogenoemde structurele verwerkingen op te nemen. Hierbij kunt u denken aan persoonsgegevens van medewerkers, patiënten, cliënten etc. In praktijk zijn verwerkingen zelden incidenteel, zodat de meeste verwerkingen in het register zullen moeten worden opgenomen. Daarnaast bent u verplicht om de verwerking van zogenoemde bijzondere persoonsgegeven op te nemen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over gezondheid, politieke voorkeur, strafrechtelijk verleden en het BSN-nummer.
Hieronder een voorbeeld voor een verwerkingsregister. Als voorbeeld is gebruikt ALEX Advocaten en de verwerking van gegevens van medewerkers. Heeft uw organisatie een FG ingesteld, dan moeten de naam en contactgegevens van de FG worden toegevoegd.
Verantwoordelijke | ALEX Advocaten Kasteellaan 28 6602 DE Wijchen info@alexadvocaten.nl 088 410 44 11 |
Verwerkingsactiviteit | Salarisadministratie |
Doel | Het uitbetalen van salaris |
Wettelijke grondslag | Wettelijke verplichting en arbeidsovereenkomst |
Betrokkenen van de gegevensverwerking | Medewerkers |
Welke gegevens worden verwerkt? | NAW, BSN-nummer, bankgegevens, salarisgegevens |
Aan wie worden de gegevens verstrekt gedurende de verwerking? |
Het salarisadministratiekantoor |
Voorgenomen doorgifte van gegevens aan derde landen of internationale organisaties? | Nee |
Bewaartermijn | 7 jaar |
Beschrijving technische en organisatorische beveiligingsmaatregelen |
De gegevens worden uitsluitend verwerkt in een gesloten, beveiligde omgeving met bescherming tegen inbreuken van buitenaf. |
Informatieplicht
De verantwoordelijke moet de betrokkene informeren over de gegevensverwerking. De volgende informatie moet worden verstrekt:
- de identiteit en contactgegevens van uw organisatie en, als die is aangesteld, de contactgegevens van de FG;
- de doeleinden waarvoor de gegevens worden verwerkt en de grondslag voor die verwerking;
- indien van toepassing, de ontvangers aan wie de gegevens worden verstrekt;
- of sprake is van doorgifte naar niet EU-landen en zo ja, daarbij geboden waarborgen;
- de rechten van de betrokkene, zoals bewaartermijn, of de betrokkene verplicht is om de gegevens te verstrekken en wat de gevolgen zijn als hij dat niet doet.
Het wordt aangeraden om deze punten in privacybeleid of een privacyverklaring vast te leggen.
Ook kan het praktisch zijn om hierover iets in uw algemene voorwaarden op te nemen. In de algemene voorwaarden kan bijvoorbeeld kort de essentie van de gegevensverwerking worden vermeld, waarbij wordt aangegeven dat uw organisatie werkt volgens de richtlijnen van de AVG. Vervolgens kan, voor meer informatie over de rechten van de betrokkenen, een verwijzing worden opgenomen naar de privacyverklaring op de website.
Rechten betrokkenen
De AVG geeft de betrokkenen rechten, die door de verantwoordelijke moeten worden gewaarborgd, zoals het recht:
- op overdraagbaarheid van de persoonsgegeven (dataportabiliteit);
- om vergeten te worden;
- op inzage en wijziging van de gegevens;
- om bezwaar te maken tegen de gegevensverwerking.
Stappenplan
Elke organisatie mag/moet hiermee aan de slag. Als u gaat inventariseren, zult u waarschijnlijk tot de ontdekking komen dat uw organisatie op veel punten al aan de wetgeving voldoet. Het is dan met name van belang om bewustwording te creëren onder uw werknemers.
Met dit stappenplan proberen wij u op weg te helpen:
- Ga na welke persoonsgegevens uw organisatie verwerkt en wie toegang heeft tot de persoonsgegevens;
- Zijn deze gegevens noodzakelijk om uw werk te kunnen doen? Zo niet, niet meer verwerken.
- Moeten die personen toegang hebben tot die gegevens? Zo niet, toegang blokkeren en beveiligen.
- De uitkomsten van stap 1, kunt u verwerken in stap 2: het opstellen van een verwerkingsregister.
- Moet of wil uw organisatie een FG aanstellen?
- Ga na welke gegevensverwerkingen risicovol zijn en of een DPIA nodig is;
- Onderzoek welke bewaartermijnen van toepassing zijn en pas die termijnen toe;
- Stel een privacy-beleid op en implementeer dat in uw organisatie;
- Sluit verwerkingsovereenkomsten met de verwerkers waarmee u samenwerkt.
Heeft u naar aanleiding van deze blog nog vragen? Bel of mail ons dan gerust!