Dossier AVG

Wat moet jij aan de AVG doen?

Op 25 mei 2018 wordt de nieuw AVG Algemene Verordening Gegevensbescherming van kracht. Dit is een gelijktijdige Europese invoering in alle landen van de EU. Het is een gelijktrekking van de regels, maar ook een flinke uitbreiding.

LET OP Het is erg belangrijk dat jij voldoet aan de eisen van de AVG. Vanaf 25 mei 2018 kunnen er namelijk boetes uitgedeeld worden die kunnen oplopen tot wel € 20.000.000,- of 4% van je jaaromzet.

Dit soort waarschuwingen lees je overal, maar wat moet jij nou precies doen om te voldoen? Advocaten weten raad met dure adviezen en oplossingen, maar daarmee is jouw bedrijf nog steeds niet AVG proof. Er zijn geen waterdichte antwoorden.

Het is niet te verwachten dat er het eerste jaar al boetes onder aangeslotenen worden uitgedeeld omdat er een soort ‘overgangsperiode’ is en de Authoriteit Persoonsgegevens (AP) prioriteit heeft om eerst bedrijven als ziekenhuizen en IT bedrijven (zoals google nl) te controleren. Maar als een deelnemer je aanklaagt voor het delen van zijn gegevens dan kun je wel eerder in de problemen komen.

Wat je komende weken actief kunt doen is:

1. Werk aan je Verwerkingsregister (mag gewoon een word document / pdf zijn met als titel verwerkingsregister) met daarin vermeld:
a. Je gegevensverwerkingsbeleid
b. Welke acties je hebt ondernomen omtrent de AVG (ook het lezen van sites, afspraken die je hebt gehad met andere partijen hierover, data waarop je je hebt verdiept in de AVG; bouw een dossier op want bij eventuele controle kan het feit dat je kan aantonen hoe en wanneer je met de AVG hebt beziggehouden een verzachtend feit zijn)
2. Zorg voor een privacy verklaring
3. Zorg voor verwerkingsovereenkomsten met je (IT) partners/leveranciers zoals je websitebouwer. Voorbeelden van zo’n overeenkomst zijn via google te vinden, veel partijen hebben zelf ook zoiets opgesteld, vraag er naar.

Wat moet je in ieder geval hebben volgens de AVG?

Je moet in elk geval allerlei verwerkingsverklaringen hebben waarin je verantwoordt:
– welke persoonsgegevens je wanneer en op welke manier hebt bewaard
– waarvoor deze worden gebruikt
– wie en wanneer er toegang tot deze gegevens hebben
– hoe én wanneer personen toestemming hiervoor hebben gegeven.
Je hebt kortweg een verantwoordingsplicht.

Samenvatting

Algemeen:
1. Leg vast wie eindverantwoordelijk is, wie de rol van privacyofficer heeft en wie de rol van security officer heeft. Dit kun je combineren.
2. Zorg voor een procedure Meldplicht datalekken.
3. Zorg voor een procedure dat betrokkenen hun gegevens kunnen inzien, eventueel wijzigen en verwijderen.
4. Onderzoek hoe je de beveiliging kunt verbeteren en maak een plan voor die verbeteringen.
5. Bundel al je afspraken en procedurebeschrijvingen.
6. Zorg dat alle betrokkenen een basiskennis privacy krijgen en weten hoe zij de processen moeten uitvoeren.

Het belangrijkste is misschien wel dat je goed documenteert wat je doet om te zorgen dat data veilig zijn, je site en je computers niet gehackt kan worden, wat je hebt ondernomen in het kader van de AVG. Denk aan Ingelezen, zoals dit stuk, Conclusies getrokken, stappen gezet.

Je juridische positie met ketenpartners:
1. Leg vast met welke partijen je gegevens uitwisselt en partijen die gegevens voor je verwerken.
2. Leg per partij vast wat de privacyjuridische status is in die relatie (verwerker, verantwoordelijke, medeverantwoordelijke).
3. Inventariseer wat je huidige afspraken zijn met deze ketenpartners.
4. Verbeter deze afspraken, waar nodig.

Je werkprocessen:
1. Maak een opsomming van je gegevensverwerkende processen.
2. Leg die processen vast in het register van verwerkingen (google voor voorbeeld)
3. Onderzoek hoe je de betrokkenen informeert over de verwerking en verbeter dat indien nodig.
4. Onderzoek of je de processen met minder gegevens kunt uitvoeren (data minimalisatie).

Grondslagen
Voor elk van de gegevens die je verwerkt moet je aangeven op basis van welke grondslag (wettelijke onderbouwing) je ze verzameld/bewaard/verwerkt. Er zijn 5 grondslagen die zouden kunnen gelden, wij vermoeden dat de eerste 2 het meest voorkomen voor trainers:
1) Ondubbelzinnige toestemming (via privacy overeenkomst of akkoord)
2) Noodzakelijk voor uitvoering overeenkomst met betrokkene
3) Noodzakelijk voor nakoming wettelijke plicht
4) Noodzakelijk voor vrijwaring vitaal belang betrokkene
5) Noodzakelijk voor goede vervulling publiekrechtelijke taak bestuursorgaan
Waarover moet je nog meer beschikken?

Privacyverklaring

Een privacyverklaring bevat onder andere:
– de identiteit van jouw onderneming
– contactgegevens
– het doel waarvoor je gegevens verzamelt
– wie de persoonsgegevens ontvangt
– hoe lang de gegevens worden bewaard
– dat zij recht hebben op het wijzigen of verwijderen van hun gegevens
– dat zij het recht hebben om bezwaar te maken tegen verwerking van de gegevens
– of het verstrekken van persoonsgegevens wettelijk verplicht is of dat het een contractuele verplichting is
– én als er sprake is van profilering moet er gemeld worden waarom dat is en wat de gevolgen er van zijn.

Lees hier meer tips en een filmpje over je privacyverklaring AVG proof maken: 

Verwerkersovereenkomst
De persoonsgegevens die je gebruikt, worden ergens opgeslagen: op de server van je computer of in de software van de nieuwsbrieven die je verstuurt bijvoorbeeld. Jij moet met al deze partijen een verwerkersovereenkomst afsluiten. Sla jij gegevens op in Dropbox? Dan moet je een verwerkersovereenkomst sluiten met Dropbox. Hetzelfde geldt voor je softwarebedrijf waarmee je nieuwsbrieven verstuurt, offertes opmaakt en facturen verstuurt. Oók met je boekhouder als die jouw facturen inziet.
Ook moet je als ondernemer met procedures gaan werken, moeten verwerkersovereenkomsten aangescherpt worden en moet je aan kunnen tonen dat je persoonsgegevens op de juiste manier verwerkt. Dit doe je in een verwerkingsregister.

Gegevensbeschermingsbeleid
Als bedrijf moet je je kunnen verantwoorden dat je een bepaald beleid voert op het gebied van privacy en gegevensbescherming. In zo’n privacy- of gegevensbeschermingsbeleid geef je aan welke persoonsgegevens je verwerkt en waarvoor je deze nodig hebt. Ook moet je aangeven hoe je je gegevens beschermt en hoe je lang je ze bewaart.
LET OP Dit is iets anders dan een privacyverklaring zoals bovenstaande. De beginselen van de AVG zijn als volgt: Laat ons zien hoe je omgaat in jouw onderneming met:
• Doelspecificatie: Welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doeleinden voor de data die je bewaard
• Doelbinding: Niet verder verwerken voor onverenigbare doeleinden (zoals voorbeeld knvb wel heeft gedaan)
• Dataminimalisatie: Toereikend, ter zake dienend, noodzakelijk voor de doeleinden (kopie paspoort heb je dat echt nodig en hoe lang bewaar je dat?
• Datakwaliteit: Juist en up-to-date
• Informatiebeveiliging: Passende technische en organisatorische maatregelen om misbruik van data en datalekken te voorkomen
• Bewaartermijnen: Opslagbeperking, niet langer identificeerbaar dan voor doeleinden noodzakelijk
Wat moet je ook vastleggen volgens de AVG?
• Een kopie van de informatie die de personen ontvangen voor zij toestemming geven
• Op welke manier hebben de personen toestemming gegeven?
• Wie heeft er wanneer toegang tot de persoonsgegevens?

Meldingsplicht datalek:
Niet alle datalekken hoef je te melden bij de toezichthouder of AP. Je moet wel alle datalekken (of twijfelgevallen) registreren. Daarin moet je in ieder geval bijhouden: de details van het datalek, de gevolgen die het had voor de betrokkenen, en de corrigerende maatregelen die je hebt genomen.
Lees hier meer. 

Tot slot

De AVG is best ingewikkeld en voor iedere ondernemen / zzper van groot belang. er staat voldoende over internet. Nog twee links:

De mini AVG gids (helemaal onderaan, maar de rest is ook interessant)

Het stroomdiagram van ZZPAVG helpt je ook.