Algemene Verordening Gegevensbescherming
- Gepubliceerd in Columnisten PRO
Licht in de duisternis!
Laat ik beginnen met een mededeling van persoonlijke aard. Per 1 juli jl. heb ik als advocaat de overstap gemaakt naar een ander kantoor, Rotshuizen Geense Advocaten te Leeuwarden. Gevestigd in een statig pand in één van de mooiste straten in het centrum van Leeuwarden, de Prins Hendrikstraat. Een kantoor bemand door een gezellige club mensen. Samen met een team uitmuntende en gespecialiseerde advocaten mag ik mijn mooie beroep voortzetten in een inspirerende omgeving. Het moge duidelijk zijn, ik heb geen spijt van deze "transfer".
Maar goed, mijn persoonlijke wel en wee zal u hopelijk niet geheel koud laten, maar is vast niet de primaire reden waarom u de tijd neemt om mijn column te lezen. U wilt weten hoe dat nu precies zit met die AVG, voluit de "Algemene Verordening Gegevensbescherming". Die AVG waar iedereen het de laatste tijd over heeft. Het, volgens deskundigen, meest verstrekkende stuk wetgeving van de eenentwintigste eeuw. Een hot item op internet dat ook al meerdere malen het nieuws heeft gehaald. Met name de onduidelijkheid over de AVG is velen een doorn in het oog. Vandaar mijn poging om middels deze column enig licht in de duisternis te scheppen.
De AVG is Europese wetgeving, een Europese verordening om precies te zijn. De AVG regelt de wijze waarop met persoonsgegevens omgegaan moet worden. In de AVG worden deze "persoonsgegevens" omschreven als alle gegevens van een geïdentificeerd of identificeerbaar persoon. Het gaat om vrijwel alle gegevens die aan een persoon verbonden zijn, dus van geboortedatum tot ipadres. De AVG vervangt de oude Nederlandse Wet Bescherming Persoonsgegevens, gebaseerd op een oude EU-richtlijn. In de gehele EU geldt de AVG vanaf 25 mei jl. Alle EU-burgers hebben nu dezelfde privacyrechten. Het doel dat de Europese Unie met de invoering van de AVG nastreeft, is het bieden van een betere en ruimere bescherming van persoonsgegevens, met name door de verantwoordelijkheid voor de verwerking van persoonsgegevens meer bij bedrijven en organisaties te leggen. Een speciale overheidsinstantie, de Autoriteit Persoonsgegevens, moet toezicht houden op de correcte naleving van de verplichtingen in de AVG.
Maar wat zijn dan de belangrijkste veranderingen?
Deze vraag hoor ik vaak. Het gaat dan eigenlijk met name om de aanvullingen en verscherpingen ten opzichte van de oude Wet Bescherming Persoonsgegevens. Zo is er onder de AVG de verplichting een register aan te leggen met daarin de verwerkingen van persoonsgegevens binnen het desbetreffende bedrijf of de organisatie, het zogenaamde "register van verwerkingsactiviteiten".
Hierin moet bijvoorbeeld ook worden opgenomen welke maatregelen getroffen zijn om persoonsgegevens te beschermen. Een reeds bestaande verplichting, is de verplichting om "datalekken" te melden aan de Autoriteit Persoonsgegevens, en in bepaalde gevallen ook aan de betrokkene. Van zo'n datalek is sprake wanneer persoonsgegevens plat gezegd op straat belanden. Deze verplichting bestond ook al in de oude wet. Wel zijn de regels aangescherpt. Met name doordat vereist wordt dat een register wordt bijgehouden waarin datalekken worden vermeld. Zodoende kan de Autoriteit Persoonsgegevens achteraf controleren of juist is
gehandeld. Soms bestaat ook de verplichting een Functionaris Gegevensbescherming aan te stellen. Dit geldt voor overheidsinstellingen en bepaalde andere organisaties. De Functionaris Gegevensbescherming is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Verder valt te noemen dat de AVG verlangt dat er niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk is. Bij de ontwikkeling van nieuwe diensten en producten moet ook aandacht worden besteed aan de vraag of persoonsgegevens aangetast kunnen worden. Het bedrijf of de organisatie die de persoonsgegevens verwerkt, is verantwoordelijk onder de AVG. Als een bedrijf of organisatie vervolgens gegevens door een andere partij laat verwerken, vereist de AVG dat daarvoor een speciale overeenkomst wordt gesloten, een "verwerkersovereenkomst". Speciale aandacht besteed ik aan het vereiste dat voor gegevensverwerking een legitieme grond aanwezig moet zijn. Lukraak persoonsgegevens verzamelen, is dus uit den boze. Zo'n "legitieme grond" is bijvoorbeeld de noodzaak persoonsgegevens te verzamelen om aan de verplichtingen uit een overeenkomst te voldoen. Denk bijvoorbeeld aan de naam en het adres van een klant die een nieuwe auto koopt. Die informatie is nodig om te weten waar de auto afgeleverd kan worden, maar is bijvoorbeeld ook vereist om de klant in de schriftelijke koopovereenkomst mee te identificeren.
Als de persoonsgegevens gebruikt worden voor een ander doel, bijvoorbeeld het toesturen van reclame, is uitdrukkelijke toestemming van degene om wiens gegevens het gaat vereist. Het is daarom van belang deze toestemming uitdrukkelijk te vragen.
Ten slotte zijn er nog een aantal andere legitieme gronden, die echter minder vaak voorkomen en ik hier dus onbesproken laat. Maar het is van belang dat u zich realiseert dat vaak toestemming vereist is om persoonsgegevens te verwerken. Bijvoorbeeld als reclamemateriaal naar bestaande klanten wordt gestuurd. Iets dat in de autobranche geregeld voorkomt! Ook vereist de AVG dat bedrijven en organisaties de betrokkenen informeren over de verwerking van hun persoonsgegevens en de wijze waarop dat gebeurt. Er bestaat dus een informatieplicht. Ook hebben de betrokkenen diverse rechten aangaande hun persoonsgegevens waar zij op gewezen moeten worden. Bijvoorbeeld het recht om persoonsgegevens te laten verwijderen of aan te laten passen.
Soms is het ook mogelijk bezwaar te maken tegen gegevensverwerking. Is eenmaal toestemming gegeven voor het verwerken van persoonsgegevens dan kan die toestemming ook weer worden ingetrokken. Op dergelijke rechten moeten bedrijven en organisaties de betrokkenen wijzen. De plek bij uitstek om dergelijke informatie op te nemen, is de zogenaamde "Privacyverklaring". Veelal wordt dit document op de website geplaatst, maar het is ook mogelijk een dergelijk formulier mee te sturen met andere documentatie.
Dit zijn de belangrijkste wijzigingen in een notendop. Er verandert dus behoorlijk wat. Ook voor bedrijven in de autobranche. Weinig ondernemers zitten te wachten op het werk dat deze AVG voor hen meebrengt. Een vraag die vrijwel iedere ondernemer zich dan stelt, is "wat als ik mijn kostbare tijd hier niet aan besteed en dus niet ga voldoen aan deze AVG?". Dan riskeert u een hoge boete.
De Autoriteit Persoonsgegevens is belast met de handhaving van de AVG en kan boetes opleggen als een bedrijf of organisatie niet aan de verplichtingen in de AVG voldoet. Het gaat dan om hoge boetes die op kunnen lopen tot maar liefst twintig miljoen Euro! Zo'n vaart zal het in beginsel echter niet lopen. De Autoriteit Persoonsgegevens heeft het op dit moment nog te druk met alle beslommeringen omtrent de inwerkingtreding van de AVG. Zij heeft nu dus simpelweg onvoldoende tijd om al strikt te handhaven. Desondanks is het wel goed nu al te voldoen aan de AVG. Naast een boete, leidt schending van de verplichtingen uit de AVG namelijk ook tot aansprakelijkheid tegenover degene wiens persoonsgegevens door bijvoorbeeld datalekken op straat zijn komen te liggen. En, last but not least, denk ook aan mogelijke imagoschade. Geen enkele ondernemer zit erop te wachten dat hij of zij te boek komt te staan als iemand die niet zorgvuldig omgaat met de privacygevoelige informatie van zijn of haar klanten.
Alle reden dus om wel aan de AVG te voldoen. De vraag die dan rijst, is wat dat dan in de praktijk inhoudt. In het kort zal het betekenen dat men binnen een bedrijf of organisatie in beginsel goed moet stilstaan bij de noodzaak om zorgvuldig en spaarzaam persoonsgegevens te verwerken. Ik zie het zo: waar bedrijven voorheen gretig persoonsgegevens verzamelden met een commercieel motief, zal dat als gevolg van de invoering van de AVG nu moeten gaan verschuiven naar een meer behouden wijze van gegevensverzameling. Daarnaast zijn er ook praktische zaken om te regelen. Zo moet een bedrijf of organisatie beschikken over het eerder genoemde register van verwerkingsactiviteiten. Voor gegevensverwerkingen waarvoor toestemming van de betrokkene noodzakelijk is, zal deze toestemming verkregen moeten worden. Voorts zal de reeds genoemde privacyverklaring aangepast moeten worden. Eveneens zal in een document bijgehouden moeten worden welke datalekken hebben plaatsgevonden en hoe daarbij is gehandeld.
Als bij de gegevensverwerking derden worden ingeschakeld, is het een gedeelde verplichting van zowel het bedrijf of de organisatie enerzijds als van de derde anderzijds om de al eerder genoemde verwerkersovereenkomst te sluiten. Ten slotte zal ervoor gezorgd moeten worden dat de digitale beveiliging binnen het bedrijf of de organisatie op orde is. Uiteraard met het doel de persoonsgegevens zo goed mogelijk te beschermen. Er moet dus behoorlijk wat gebeuren en dat heeft best wat voeten in aarde. Toch hoeft u daarbij niet zelf het wiel uit te vinden. Op de site van de Autoriteit Persoonsgegevens staat veel informatie. Er is zelfs een speciale "AVG-regelhulp" ontwikkeld in samenwerking met de Rijksdienst voor Ondernemend Nederland. Met deze regelhulp wordt u op gang geholpen om te voldoen aan de AVG. Daarnaast circuleren op internet inmiddels meerdere voorbeelddocumenten, zowel gratis als tegen betaling. Wie dus een beetje handig is en over voldoende tijd beschikt, komt zo een heel eind. Wie echter meer zekerheid wil, zal contact op moeten nemen met een specialist, bijvoorbeeld een privacyadvocaat. Hopelijk is mijn doel om licht in de duisternis te scheppen middels deze column geslaagd en is het hierdoor voor u iets duidelijker wat de AVG van u verlangt. Praktisch leidt de invoering van de AVG ertoe dat een bedrijf of organisatie aan meer verplichtingen moet voldoen. Concreet zal dat inhouden dat voor bepaalde documenten gezorgd moet worden en dat de beveiliging van persoonsgegevens op orde is. Wie handig is en over tijd beschikt, kan dit zelf doen.
Zo niet, blijf dan niet stil zitten, maar kom in actie. Op korte termijn zal de Autoriteit Persoonsgegevens nog niet gaan handhaven en ligt een boete dus nog niet op de loer, maar in de toekomst kan dat wel gebeuren. Dat is zonde van het geld en schadelijk voor uw onderneming. Komt u er ondanks de regelhulp van de Autoriteit Persoonsgegevens en voorbeeldmodellen op internet toch niet uit, trek dan aan de bel. Dan help ik of een andere advocaat of privacyjurist u uiteraard graag verder!
mr. Tjerk Binnema is autoliefhebber en advocaat.
Heeft u een juridische vraag of weet u een interessant
onderwerp voor een column?
Neem dan contact met hem op:
Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.
James Wattstraat 4 B2 (8912 AR) Leeuwarden
Tel. 058 2030193
Lees meer informatie over privacy en AVG op https://binnema-advocatuur.nl/advocaten-diensten/privacy-avg-wetgeving/