fbpx
Home Blogs AVG: 15 meest gestelde vragen

AVG: 15 meest gestelde vragen

24 april 2018

Foto van Robin

Robin van der Reijnst

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (‘Verordening’ of ‘AVG’) van toepassing in alle lidstaten van de Europese Unie, internationaal bekend als de General Data Protection Regulation (GDPR). Maar wat verandert er? Welke invloed heeft dat op je organisatie? In deze blog de 15 meest gestelde vragen door onze klanten. Hieronder meteen het antwoord op de vraag “Hoe lang heb ik nog?”.

AVG Timer

De nieuwe wetgeving is in vele opzichten niet nieuw, maar brengt wel bussen vol met wijzigingen, uitbreidingen, aanscherpingen en nieuwe begrippen met zich mee. De aankomende weken zullen we je meenemen om beter inzicht te krijgen in de nieuwe privacywet. Hieronder de 15 meest gestelde vragen over de nieuwe privacywetgeving.

1. We hadden toch al een wet, waarom komt er een nieuwe?

Momenteel heeft elke lidstaat in de EU een eigen privacywet. Deze nationale wetten zijn allemaal gebaseerd op de Europese privacyrichtlijnen uit 1995, toen het internet nog in de kinderschoenen stond.

Het doel van de AVG is simpelweg meer transparantie creëren en een betere bescherming van persoonsgegevens bieden aan burgers en het bedrijfsleven in de EU. De AVG heeft nóg een hoofddoel: het mogelijk maken van het vrije verkeer van persoonsgegevens binnen de EU. Het idee is dat gegevens binnen de EU vrijelijk kunnen stromen doordat de AVG overal een gelijk niveau van bescherming garandeert.

2. Wat wordt onder persoonsgegevens verstaan?

In de AVG worden persoonsgegevens omschreven als “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Dit zijn directe persoonsgegevens zoals naam, adres en woonplaats. Maar ook indirecte identificatoren, zoals IP-adressen, wachtwoorden of surfgedrag. Zelfs de kleur van een auto, postcode gebied en bijvoorbeeld een schoenenmerk kunnen binnen de AVG als (indirecte) persoonsgegevens worden beschouwd.

3.  Ik kan de identiteit van een persoon toch nooit achterhalen door de kleur van een auto? Zijn dit dan nog steeds persoonsgegevens?

Ja, helaas wel. De AVG gaat namelijk om “Alle informatie over…”. In vele gevallen is de context of samenhang ook belangrijk. Wanneer we bijvoorbeeld voor statistische doeleinden binnen een postcodegebied opzoek gaan naar autokleuren, waarbij we postcode, leeftijd en kleur van de auto aan elkaar koppelen, ontstaat er een hele kleine doelgroep.

Met alleen de kleur van iemand zijn auto wordt het moeilijk één specifiek persoon aan te wijzen… Maar met een combinatie kan dat wel: als in een postcodegebied maar één 20-jarige staat ingeschreven met een groene auto, dan is deze 20 jarige daarmee direct identificeerbaar geworden. De combinatie van gegevens (de context) geeft hier dus een persoonsgegeven.

4. Vallen de B2B-persoonsgegevens ook onder de AVG?

Ja, hoewel een (openbaar) zakelijk e-mailadres minder grote invloed heeft op iemands privé-leven dan een persoonlijk e-mailadres, vallen deze gegevens nog steeds onder de AVG. De privacywetgeving blijft, maar naar verwachting zullen hier minder controles op zijn.

5. Oké ik snap het, maar wat verandert er nu echt?

  • In veel opzichten is de AVG niet nieuw. Consumenten krijgen alleen betere en heldere inzichten op de verwerking van hun persoonsgegevens en organisaties hebben meer verantwoordelijkheden. Organisaties moeten daarom veel transparanter worden wat betreft persoonsgegevens. De AVG in een notendop:
    • Veel meer activiteiten vallen sneller onder de privacywet. Omdat het centrale begrip “persoonsgegevens” verandert.
    • Meer rechten voor consumenten; recht op inzage van de data en het recht om vergeten te worden. Verklaringen, contracten en overeenkomsten moeten nóg transparanter.
    • Beveiligingen; organisaties zijn verplicht om datalekken te melden bij de autoriteit persoonsgegevens. Daarnaast zijn ze verplicht voldoende maatregelen te nemen zodat data veilig is. Encryptie, twee factor authenticatie en het veilig wissen van persoonlijke informatie moet zeer serieus worden genomen.
    • Alle verwerkingen van persoonsgegevens moeten worden gedocumenteerd. In dit dataregister moet o.a. staan welke persoonsgegevens op welke manier worden gebruikt en op welke manier deze beveiligd worden.
    • Je bent verplicht directe en indirecte persoonsgegevens weg te gooien wanneer deze niet meer relevant zijn. De AVG vereist dat je het minimale nodig hebt aan persoonsgegevens om een specifiek doel te bereiken. Ga je die informatie toch gebruiken dan dien je daarvoor expliciet toestemming te vragen.

    Je moet met al je leveranciers en afnemers een zogenaamde verwerkingsovereenkomst afsluiten waarin specifieke afspraken worden gemaakt over de verwerking, beveiliging en omgang van persoonlijke gegevens. Ook wanneer je diensten uitbesteedt, dien je toestemming te hebben van de klant.

6. Moet ik altijd een dataregister bijhouden?

Nee. Een register moet alleen worden bijgehouden wanneer je organisatie meer dan 250 werknemers in dienst heeft, wanneer er risicovolle verwerkingen plaatsvinden of wanneer er bijzondere persoonsgegevens worden verwerkt.

7. Wat zijn bijzondere persoonsgegevens precies?

Bijzondere persoonsgegevens zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Voorbeelden van bijzondere persoonsgegevens zijn gegevens die iets zeggen over iemands gezondheid, ras, godsdienst, strafrechtelijk verleden of seksuele leven.

8. Mag ik eigenlijk wel bijzondere persoonsgegevens verwerken?

Officieel niet. Dergelijke gegevens mogen alleen onder zeer strenge voorwaarden worden verwerkt of er een wettelijke grondslag voor is.

9. Moet ik een compleet Privacy Impact Assessment (PIA) uitvoeren?

Niet altijd, alleen wanneer er een project hoge risico’s voor de privacy van betrokken personen oplevert. Het doel van een PIA (in het Engels een DPIA: DataProtection Impact Assesment) is om privacyrisico’s in een vroeg stadium in kaart te brengen.

10. Heb ik een Privacy Officier nodig?

Veel organisaties spreken van een Privacy Officier of een Functionaris Gegevensbescherming. Dit is een onafhankelijk persoon die adviseert over de naleving van de nieuwe AVG-wetgeving. Of deze verplicht is hangt af van de grootte van de organisatie (meer dan 250 medewerkers), de hoeveelheid persoonsgegevens of dat de organisatie op grote schaal gevoelige persoonsgegevens verwerkt.

11. Wat moet ik veranderen aan mijn privacy statement?

  • De bezoeker van je website, zowel B2C als B2B, moet kunnen inzien wat er met zijn of haar persoonsgegevens gebeurt. Maak duidelijk welke gegevens je verwerkt en voor welk(e) doel(en). Gebruik eenvoudige en duidelijke taal.
    • De bewaartermijnen van de gegevens (of de manier waarop je deze vaststelt) vermelden.
    • Wijzen op het recht om gegevens in te zien, te laten aanpassen, aan te vullen of te verwijderen.
    • Attenderen op het recht om bezwaar te maken tegen en het beperken van de verwerking van gegevens (recht van verzet).
    • Wijzen op de mogelijkheid om een klacht bij de Autoriteit Persoonsgegevens in te dienen.
    • Attenderen op de mogelijkheid om toestemming op ieder moment aan te passen.
    • Indien van toepassing de contactgegevens van de functionaris gegevensbescherming (Privacy Officer) vermelden.
    • De herkomst van de gegevens toelichten, wanneer deze niet direct door de betrokken zijn ingevuld/achtergelaten.
    • Vertellen of de gegevens worden doorgegeven naar landen buiten de EU.

12. Moet ik met al mijn leveranciers en afnemers een verwerkersovereenkomst afsluiten?

  • Ja. In een verwerkingsovereenkomst maak je specifieke afspraken over de omgang van persoonlijke gegevens. Tips:
    • Weet welke gegevens je van consumenten of bedrijven hebt en of dat persoonsgegevens zijn.
    • Kijk naar wat je met de gegevens doet en niet alleen naar wat je op papier zou moeten doen.
    • Ga na met welke partijen je samenwerkt om gegevens te verwerken en wat je verhoudingen tot die partijen zijn.
    • Leg afspraken vast in een verwerkingsovereenkomst.
    • Stel regelmatig vast dat de verwerker zich aan de afspraken houdt.

13. Hoe hoog zijn de boetes als ik niet aan de AVG voldoe?

Dat is lastig te zeggen, want niemand weet nog waar precies de grens ligt van “AVG nalatigheid” of er opzettelijk niet aan voldoen. Het is dus nog onduidelijk welke situaties ervoor gaan zorgen dat de Autoriteit Persoonsgegevens (AP) de boetes gaat uitdelen. Wel duidelijk is dat de AP extreme boetes kan gaan opleggen: 4% van de wereldwijde jaaromzet of €20 miljoen. Er komt tevens een Europees Comité dat toeziet op de juiste toepassing van de AVG.

14. Wanneer kom ik op de radar van de Autoriteit Persoonsgegevens (AP)?

Wanneer iemand twijfelt of dat organisaties zich in de praktijk houden aan de wettelijke privacyregels of wanneer organisaties zich niet houden aan de privacyrechten, kan iedereen een klacht of tip indienen via  www.autoriteitpersoonsgegevens.nl.

Zij hebben een aantal criteria om te bepalen of er genoeg reden is om een onderzoek te starten. Bijvoorbeeld hoe ernstig de overtreding is. Op basis van de tips kan de AP ook besluiten om in gesprek te gaan met de organisatie; dit is dan een zogeheten ‘alternatieve interventie’.

Je hebt nog tijd!

Over een paar weken is de AVG-transitieperiode van twee jaar officieel voorbij. Wij van Think Yellow zijn momenteel druk bezig met de laatste zaken te regelen. Dit doen we waar nodig in samenwerking met diverse ICT- & recht juristen. Welke invloed heeft het bijvoorbeeld op jouw website? Hoe moet worden omgegaan met diverse cookies? Hoe gaat Google Analytics eruit zien?

Mocht je vragen hebben over de AVG, laat je gegevens achter wij nemen contact met je op of bel naar 088 762 40 10. Wij helpen je graag verder.