Privacy van de werknemers, hoe de AVG in de praktijk toe te passen?

Een organisatie met werknemers verwerkt per definitie persoonsgegevens van werknemers. Denk aan de gebruikelijke gegevens als naam, adres, telefoonnummer, BSN, etc. Naast deze gebruikelijke gegevens worden er vaak andere persoonsgegevens verwerkt zoals psychologische assessment rapporten, gps-trackingoverzichten, foto’s in het smoelenboek, tijdsregistratiesystemen, etc. Vanaf 25 mei 2018 zal men ten aanzien van al die gegevens opnieuw moeten bezien of al de verwerkingen voldoen aan de Algemene verordening gegevensbescherming (hierna AVG). Het niet voldoen aan de AVG kan immers hoge boetes opleveren, reputatieschades en claims van werknemers. Ook kan het in ziektedossiers en ontslagzaken vervelende effecten hebben. Wat zijn nu de belangrijkste verplichtingen en veranderingen voor de werkgever ingevolge de AVG?

Recht op inzage

Onder Wet bescherming persoonsgegevens (Wbp) bestonden er al privacy rechten voor de werknemer. Een aantal van die rechten zijn onder de AVG verruimd. Zo hebben werknemers recht op inzage in de persoonsgegevens die de werkgever van hen verwerkt, zelfs als deze gegevens al eerder zijn verstrekt.

Dit is gebaseerd op een van de belangrijkste privacy beginselen, het zogenaamde transparantiebeginsel. Iedereen moet in de gelegenheid zijn om de persoonsgegevens die over hem zijn verzameld te allen tijde in te zien. Daarbij moet dat recht eenvoudig uit te oefenen zijn zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. Dat de werknemer al bekend is met deze gegevens of wanneer deze gegevens al eens verstrekt zijn, is geen reden om de stukken niet te verstrekken. Simpel gezegd betekent dit dat de werknemer zijn volledige personeelsdossier mag opvragen en dat de werkgever deze ook aan de werknemer moet verstrekken. Dit moet dan ook zo snel mogelijk en uiterlijk binnen de AVG termijn van een maand nadat het verzoek is ingediend.

Recht op vergetelheid

Een nieuw persoonlijk recht onder de AVG is het recht op vergetelheid. Dit recht houdt in dat de werknemer aan de werkgever kan vragen om bepaalde persoonsgegevens te wissen. Dit is echter geen absoluut recht. Als er bijvoorbeeld sprake is van een wettelijk bewaartermijn voor de werkgever kan dit recht niet uitgeoefend worden zolang het wettelijke bewaartermijn nog loopt.

Informatieplicht

Wat verder volgt uit het transparantiebeginsel is de informatieplicht. Als werkgever moet je je sollicitanten en werknemers pro-actief, dus uit jezelf informeren over de verwerkingen van persoonsgegevens die plaatsvinden binnen de organisatie. De meest gebruikelijke manier om dit te doen is door het plaatsen van een privacyverklaring op de website en een intern privacy beleid dat onderdeel is van de arbeidsdocumentatie. Er moet duidelijk vermeld worden welke gegevens er worden verzameld, voor welke doeleinden dit gedaan wordt en waar de werknemer eventueel een klacht of verzoek kan indienen rondom de verwerking.

Cameratoezicht, GPS en vingerscan

Hoe zit het met cameratoezicht op het werk, het gebruik van een vingerscan om toegang te krijgen of de tijd te klokken en het GPS-systeem in de auto van de werknemer? Mag je dit allemaal wel verzamelen zolang je de werknemer er maar van op de hoogte stelt? Of moet je toestemming vragen? En mag je die gegevens dan ook gebruiken om de werknemer te controleren en onregelmatigheden op te sporen?

AVG stappen

In al deze gevallen dient men eerst vast te stellen of er wel een wettelijke grondslag is voor de verwerking. Vervolgens moet men een belangenafweging maken tussen het belang van de werkgever om de gegevens te verwerken en te verzamelen en het belang van de werknemer om die gegevens geheim te houden. De vraag die de werkgever zich daarbij altijd moet stellen is of er een alternatief is om aan de gegevens te komen dat minder ingrijpend is ten aanzien van de privacy van de werknemer.

AVG te streng toegepast

Deze vragen zijn niet altijd gemakkelijk te beantwoorden. We zien in de praktijk daarom geregeld dat werkgevers vanwege gebrek aan kennis een veel te strenge afweging maken. Er worden dan keuzes gemaakt met de gedachte, ‘dat mag niet meer onder de AVG’, terwijl dat wel nog had gekund maar dan anders. Bijvoorbeeld het versturen van loonstrookjes over de mail. Dat mag nog steeds maar streep dan het BSN-nummer weg en andere gegevens die niet relevant zijn voor de ontvanger.

Zorg voor de juiste kennis over de praktijk toepassing van de AVG

Het is een zeer divers palet aan situaties waar men als werkgever steeds mee te maken krijgt. Het is daarom belangrijk om de juiste praktijkkennis in huis te halen omtrent wat de juiste algemene stappen en afwegingen zijn in de meest voorkomende werknemerssituatie.

Om de juiste praktische toepassing binnen uw organisatie mogelijk te maken organiseren wij op 22 november 2018 de Masterclass Privacy en Werknemers. In één dagdeel maken wij u wegwijs in dit onderwerk en krijgt u daar bovendien een handig naslagwerk bij. Schrijf u snel in want de belangstelling voor dit onderwerp is groot, kijk voor meer informatie op onze website Trainingen, mail info@thelegalprivacycompany.com of bel 020-3450152.

Bijzondere persoonsgegevens

De AVG maakt onderscheid tussen gewone en bijzondere persoonsgegevens. Omdat de AVG hogere eisen stelt aan organisaties die bijzondere persoonsgegevens verwerken, is het van belang dat u dat ook kunt doen. Dit blijkt in de praktijk lastig te zijn en daarom zullen wij u hiervoor een aantal handvatten aanreiken.

Persoonsgegeven

Onder persoonsgegeven wordt alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon verstaan. De informatie dient direct of indirect (door middel van herleiding) te kunnen leiden tot identificatie van een natuurlijk persoon.

Hieruit kan worden opgemaakt dat een persoonsgegeven een gegeven over een natuurlijke persoon moet zijn. Daarnaast moet het gaan om gegevens die alleen of in combinatie met andere gegevens, zo kenmerkend zijn voor een specifieke natuurlijke persoon dat deze aan de hand daarvan zonder al te veel moeite kan worden geïdentificeerd. Daarbij gaat het om de mogelijkheid tot identificatie. Het is niet van belang of deze identificatie daadwerkelijk ooit plaats zal vinden.

Er is een verschil tussen direct en indirect identificerende gegevens. Direct identificeerbare gegevens zijn gegevens waarmee de identiteit van een persoon zonder veel omwegen kan worden vastgesteld zoals bijvoorbeeld een naam, adres en telefoonnummer en de combinatie van deze gegevens.

Indirect identificeerbare gegevens zijn gegevens die niet direct naar een persoon herleiden maar die via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon. Er kan dan weer een onderscheid worden gemaakt tussen gegevens met een hoog onderscheidend karakter, zoals leeftijd, woonplaats en beroep, en gegevens met een laag onderscheidend karakter, zoals leeftijdsklasse, woonregio en beroepsklasse. Het onderscheidende vermogen van dergelijke (combinaties van) gegevens is mede afhankelijk van de context waarbinnen ze worden gebruikt.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens die zo’n gevoelig karakter hebben dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. De verwerking van bijzondere persoonsgegevens is in beginsel verboden, tenzij daarvoor een uitzondering wordt gemaakt in de AVG. Zo mogen organisaties bijzondere persoonsgegevens verwerken als de betrokkene in vrije wil uitdrukkelijk toestemming heeft gegeven, als de verwerking noodzakelijk is om vitale belangen van betrokkenen te beschermen of als de betrokkene de gegevens zelf al openbaar heeft gemaakt.

Voorbeelden van bijzondere persoonsgegevens zijn gegevens die betrekking hebben op iemands:

  • gezondheid;
  • ras of etnische afkomst;
  • politieke opvatting;
  • religieuze of levensbeschouwelijke overtuigingen;
  • lidmaatschap van een vakbond;
  • seksueel gedrag of seksuele gerichtheid;
  • genetische of biometrische kenmerken die worden gebruikt worden om een persoon te identificeren.

Het BSN valt niet onder de categorie bijzondere persoonsgegevens maar dit betekent niet dat organisaties zonder meer deze mogen verwerken. Er gelden vereisten, die in de wet staan omschreven, waaraan u moet voldoen bij het verwerken hiervan. Zo is een werkgever verplicht om het BSN van werknemers vast te leggen op grond van de Wet op de loonbelasting 1964. Het BSN mag echter niet gebruikt dan wel verwerkt worden als personeelsnummer; daar is geen juridische grondslag voor.

De AVG stelt strenge eisen aan organisaties die bijzondere persoonsgegevens verwerken. Zo kan voor organisaties de verplichting gelden om een Data Protection Impact Assessment uit te voeren. Met een Data Protection Impact Assessment worden de privacy risico’s van de gegevensverwerking en eventuele maatregelen die genomen kunnen worden om die risico’s te minimaliseren, in kaart gebracht. Ook moeten organisaties bij een lek van bijzondere persoonsgegevens altijd de betrokkenen op de hoogte stellen. Daarnaast moeten organisaties die vanuit een kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken, een functionaris voor de gegevensbescherming aanstellen.

 

Weet u niet zeker of u bijzondere persoonsgegevens verwerkt of onder welke voorwaarden u ze mag verwerken? Wilt u weten of u een DPIA moet uitvoeren of die door ons laten uitvoeren? Of wilt u meer weten over de overige aspecten van de AVG? Bel 020-3450152 of mail naar info@thelegalprivacycompany.nl

Privacy proof website, tegenwoordig een must om in business te blijven.

De grens tussen de digitale en de analoge wereld is aan het vervagen. Steeds meer dagelijkse taken worden online uitgevoerd via allerlei platforms, portals en websites. Met- of zonder het te weten, wordt online de meest vertrouwelijke informatie gedeeld. Toch zijn heel veel mensen niet technisch genoeg onderlegd om alle gevaren van het internetgebruik te kunnen vermijden en de informatie die wij delen te minimaliseren. We zijn dus niet in staat om onszelf goed te beschermen. Om ervoor te zorgen dat onze privacy online beschermd wordt, zijn er wetten ingevoerd die dit in het internetverkeer regelen. Ook de veel besproken Algemene verordening gegevensbescherming (AVG) is van invloed op de manier waarop persoonsgegevens door websitehouders verzameld en gebruikt mogen worden. Uit een onderzoek van de Consumentenbond blijkt echter dat 2 van de 3 websites deze nieuwe privacywet overtreden. In deze blog wordt specifiek ingegaan op hoe websitehouders de privacy van websitebezoekers dienen te waarborgen.

 

Verplichtingen voor websitehouders

Websitehouders die persoonsgegevens via hun website (m.b.v. in te vullen webformulieren) verzamelen moeten een wettelijke grondslag hebben om dit te doen. Dat is bijv. het geval als die gegevens nodig zijn ter voorbereiding van een offerte of vanwege een sollicitatie. Dan zijn die gegevens noodzakelijk om de levering van de aangevraagde diensten of producten mogelijk te maken of de arbeidsovereenkomst te kunnen aangaan. Dit betreft de grondslag “noodzakelijk ter uitvoering (of voorbereiding daarvan) van een overeenkomst. Verder is een veel voorkomende grondslag het vragen van toestemming van de betrokkene, van wie persoonsgegevens verzameld worden. Dat wordt gedaan als de andere grondslagen niet voorhanden zijn.

Naast de grondslag dient de betrokkene (in dit geval een websitebezoeker) globaal geïnformeerd te worden over waarom die gegevens worden verzameld, wat is het doeleinde van de verwerking van die persoonsgegevens. Het informeren van betrokkenen doet de websitehouder door middel van de zogenaamde privacyverklaring. Daarbij dienen ook de cookieverklaring en een cookiebanner datzelfde informatiedoel.

 

Meer controle en rechten voor de websitebezoekers.

Sinds de invoering van de AVG hebben de betrokkenen meer controle en rechten die zij moeten kunnen uitoefenen, zoals recht op inzage en recht op vergetelheid en recht om niet onderworpen te worden aan tracking (klikgedrag wordt bijgehouden) en profiling (gedragsvoorspelling). Daarover moeten Websitehouders de bezoekers op de juiste momenten informeren. Websitehouders die zich hier niet aan houden, riskeren hoge boetes opgelegd door de toezichthouder, de AP. Dit is recent bij Theodoor Gilissen Bankiers (TGB) gebleken. 

Wat zijn cookies?

Cookies zijn tekstbestanden die opgeslagen worden na het bezoek op de website. Door middel van cookies zijn de websitehouders bijvoorbeeld in staat om bezoekersaantallen bij te houden of voorkeurstaal te onthouden. Aan de hand daarvan kan een websitebeheerder reclamecampagnes afstellen of de website zo klantenvriendelijk mogelijk maken.

Aangezien het verzamelen van informatie over het bezoekersgedrag inbreuk maakt op de privacy van de bezoekers moeten de websites eerst om toestemming vragen om deze gegevens te mogen verzamelen door de betrokkenen hierover vóóraf informeren.

 

Welke soorten cookies zijn er?

Er bestaan vele verschillende cookies. Deze cookies verzamelen verschillende soorten informatie en kunnen afkomstig zijn uit verschillende bronnen. Zo kunnen cookies onderverdeeld worden in First-party cookiesen Third-party cookiesen worden enerzijds door de websitebeheerder zelf en anderzijds door derden zoals de adverteerders geplaatst. Een andere verdeling kan gemaakt worden volgens de functie van cookies. Zo zijn er cookies die je voorkeurenop de website onthouden zoals de taalkeuze. Dit zijn cookies die noodzakelijk zijn voor de werking en prettige ervaring op de website. Daarom worden deze cookies functionele cookiesgenoemd en kunnen ze zonder voorafgaande toestemming geactiveerd worden. Een andere mogelijke functie van de cookies is het bijhouden van het surfgedrag van een websitebezoeker. Door middel van deze gegevens kan een heel nauwkeurig profiel van de websitebezoeker gecreëerd worden. Deze cookies worden ook wel marketing cookiesgenoemd. Dit is een vergaande inbreuk op de privacy van de gebruikers, dus dient er altijd een voorafgaande toestemming gevraagd te worden.

Voor alle soorten cookies geldt dat de websitebezoeker geïnformeerd dient te worden over de soorten cookies die gebruikt worden en de gegevens die daarmee verzameld worden. Daarnaast dient men de keuze te hebben om cookies uit te zetten.

 

SSL  Certificaat

Onder de AVG zijn websitehouders verder ook verplicht om te zorgen voor een optimale beveiliging van de verzamelde persoonsgegevens. Zij dienen voldoende organisatorische en technische (IT-) maatregelen te treffen om datalekken te voorkomen. Naast de beveiliging achter de schermen, zijn de websitehouders die formulieren of (nieuwsbrief-) aanmeldingen op hun website plaatsen, verplicht om een SSL-certificaat (HTTPS) te verkrijgen. Dit is een protocol die de communicatie tussen een computers (bijvoorbeeld op het internet) codeert en daarmee beveiligt. Men kan de websites die SSL-gecertificeerd zijn herkennen door ‘https’ voorafgaand aan het websiteadres bijv. (https://thelegalprivacycompany.com).

 

E-Privacy Verordening.

Er komen steeds meer regels bij. Inmiddels wordt ook gewerkt aan een nieuwe E-privacy verordening, de Europese wetgeving die gaat over het inzetten van gebruikersdata bij online advertising via o.a. Google, Facebook, Bing, DSP’s, (Web)Analytics en tooling als Data Management Platforms. In grote lijnen betekent dit dat veel meer dan voorheen specifieke toestemming van de eindgebruiker nodig is om te werken met persoonlijke en naar individuele persoon (pseudo anonieme data) herleidbare data.voor de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing. In deze verordening worden de fundamentele rechten en vrijheden van consumenten op het gebied van online privacy gewaarborgd.

De impact van de ePrivacy Verordening zal vooral op de Digital Advertising markt het grootst zijn.

 

Privacy website toets

Het is door alle nieuwe regels en dataverkeer niet simpel meer om als een bedrijf te voldoen aan de privacyregelgeving, ook niet rondom uw website. Bovengenoemde aspecten vormen echter wel een goed begin van een privacy proof website. Uw website is immers uw visitekaartje en een eerste contactmoment met uw toekomstige klanten, werknemers en samenwerkingspartners. Dit kan ook een goede indicatie geven dat u een modern bedrijfsvoering heeft die up-to-date is en de AVG naleeft. Uiteraard moet dit intern dan wel echt kloppen en zullen uw mensen bijv. op de werkvloer veilig moeten omgaan met de persoonsgegevens. Twijfelt u daar nog aan laat dan een AVG audit uitvoeren.

Een privacy proof website is overigens niet alleen een wettelijke verplichting maar ook een aangename dienst richting uw klanten. Daarom heeft The Legal Privacy Company een Website Privacy Screeningontwikkeld. Dit is een dienst waarmee wij uw website controleren op het juiste gebruik van cookies, informatievoorziening rondom de verzameling van persoonsgegevens zoals de privacyverklaring, beveiliging van uw website en veel meer. Wilt u meer informatie krijgen over de Website Privacy Screening of direct een offerte aanvragen? Klik hier, mail naar info@thelegalprivacycompany.comof bel (020) 345 01 52.

Hier gaat iets helemaal fout: Inboxes onnodig overspoeld door AVG toestemmingsmails

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) afgelopen 25 mei worden we overspoeld door compliance e-mails. Erg vermoeiend en met ongewenste reputatie schade voor zowel bedrijven als  geadresseerden.

 

Vraag geen onnodige toestemming vanuit paniek.

Vanuit een ‘paniekmodus’ mailen duizenden bedrijven hun bestaande mailinglijsten om bevestigende opt-in toestemming voor hun e-mail marketing te krijgen, ogenschijnlijk om te voldoen aan de AVG. Deze benadering berust op een ongelukkig misverstand, omdat de meeste van deze e-mails gestuurd worden naar mensen met wie het bedrijf reeds een commerciële relatie heeft. Daarvoor is géén toestemming nodig omdat men een ‘gerechtvaardigd belang’ heeft om bestaande relaties te blijven informeren over de producten en diensten. Dat was zo en dat blijft zo onder de AVG. Heel simpel: als ik iets in een webshop koop, mag het bedrijf me berichten sturen op basis van een gerechtvaardigd bedrijfsbelang (direct marketing) – wél met een duidelijke afmelding / opt-out mogelijkheid.

De basisregel is dat een vóór de inwerking getreden AVG gegeven toestemming geldig blijft als deze voldoet aan de AVG-standaard: ondubbelzinnig (dus geen vooraf aangevinkte vakjes) en specifiek. De toestemming moet dus aantoonbaar zijn voor aangegeven producten en diensten waarvoor men de geadresseerden ook in de toekomst wil blijven mailen. Daar moeten schriftelijke bewijzen van zijn in de administratie.

 

Hernieuwde toestemming vragen om alsnog legale mailinglijsten te krijgen.

Bedrijven die zich wel zorgen moeten maken bij hernieuwde toestemmings e-mails voor marketing, zijn degenen die momenteel niet kunnen aantonen dat deze toestemming legaal is verkregen én daarvoor al in strijd handelden met de EU-wetgeving. Zie artikel 13 van de e-Privacy Verordening (ePV) die bepaalt: “communicatie, inclusief e-mail, mag niet worden verzonden zonder voorafgaande toestemming, tenzij er al een klantrelatie bestaat.”

Beland iemand op een mailinglijst, zonder iets gekocht of afgenomen te hebben en zonder daar ooit aantoonbaar toestemming voor te hebben gegeven, dan mocht die persoon vóór 25 mei 2018 niet gemaild worden – en daarna dus ook niet. Die persoon mag strikt genomen ook niet ‘even’ gemaild worden om nu alsnog toestemming te vragen onder het mom van de AVG. Dit gaat vaak fout, waarbij de AVG wordt aangegrepen om de illegale mailinglijsten alsnog legaal te maken!

 

Toestemmingsmails in strijd met de AVG principes.

Het is zorgelijk dat bedrijven twee wetten (de AVG en de ePV) combineren ten koste van gebruikers. Dat druist regelrecht in tegen de principes van de AVG. Op zich zouden de hernieuwde toestemmingsmails via de AVG nog een goede zaak kunnen zijn als ze het bewustzijn hierover daadwerkelijk vergroten voor degenen die reeds toestemming hebben gegeven. Deze sneeuwen echter onder mede door foute e-mails in verband met illegale mailinglijsten. Mijns inziens ondermijnt dit de privacy, omdat mensen de AVG hierdoor als een ergernis gaan zien. De hierop volgende instemmingsmoeheid zorgt ervoor dat echt belangrijke e-mails die de privacy werkelijk beïnvloeden genegeerd worden. Deze vermoeidheid zal onvermijdelijk leiden tot mechanische klikken op ‘Nee, bedankt’ of het negeren van de e-mails. Dat doe ik, door deze drukte, inmiddels zelf ook. Bovendien lijkt het een goede gelegenheid om snel en automatisch van mailinglijsten af ​​te komen, omdat mensen juist gaan kiezen voor de “opt-out” of niets doen. De relatie die een bedrijf eigenlijk zonder toestemming mocht blijven mailen, raak het dan ook nog eens kwijt.

Dan is het ook nog eens de vraag of bedrijven eenieder die niet reageert op een verzoek om hernieuwde toestemming, hen daadwerkelijk uit de verzendlijsten halen. Aangezien toestemming een positieve actie moet zijn, kan stilzitten niet worden geïnterpreteerd als impliciete toestemming.

 

Correcte email marketing onder de AVG, hoe zit dat nu?

Zoals met gegevensbescherming vaak het geval is het niet zwart of wit. E-mail of direct marketing moet gesplitst worden in twee delen:

1)          de AVG beoordeelt de verwerking van persoonsgegevens om een marketingmail te kunnen verzenden aan de geadresseerde en

2)         de  e-Privacy-richtlijn omvat de regels omtrent het verzenden van de communicatie zelf.

Toestemming voor e-mail marketing is al een vereiste onder de Europese wetgeving inzake e-privacy. De e-privacy verordening maakt dit type marketing mogelijk via een opt-out voor bestaande klanten. Dus als je je afmeldknop hebt geplaatst, is alles goed. De AVG brengt daar geen verandering in!  Onder de AVG moet een bedrijf eerst een wettelijke grondslag hebben om de persoonsgegevens voor het doel van e-mail marketing te mogen gebruiken. Dat betekent voor bestaande klanten dus ‘een gerechtvaardigd belang’ en voor personen die nog geen klant zijn, ‘toestemming vragen’.

Daarbij is het ook zo dat als bedrijven niet zeker weten hoe ze de contactgegevens hebben verzameld, ze mogelijk geen reden meer hebben om met de gebruiker contact op te nemen. Contact opnemen met mensen die zich in het verleden hebben afgemeld voor alle communicatie is sowieso illegaal, omdat deze gegevens geen deel meer mogen maken van een database. Ze worden waarschijnlijk langer bewaard dan strikt noodzakelijk. Het kan overigens ook een argument zijn om de opt-outs te behouden om te voorkomen dat ze terugkomen in de mailinglijst bij het samenvoegen van databases of iets dergelijks. Daar zou dan wel een bewaartermijn voor moeten worden vastgesteld.

Hoe dan ook, het gebruik van opt-outs om opnieuw om toestemming te vragen is in ieder geval not-done. Als een bedrijf persoonlijke gegevens heeft verkregen, moet het nog steeds de juiste en aantoonbare grondslag hebben om überhaupt te mogen mailen onder de AVG.

Als er in het geval van bulkmailadreslijsten, geen AVG grondslag is voor de verwerking, kan toestemming vragen wel de meest simpele oplossing lijken, maar dit is ook een risicovolle. Bedrijven moeten dan immers ook de betrokkenen informeren over hoe het bedrijf de privégegevens in de eerste plaats heeft gekregen.

 

Zorgvuldige acties met de juiste professionele begeleiding.

Bedrijven moeten hoe dan ook hun mailing acties zorgvuldig overwegen om elke mogelijke reputatiecrisis en onnodig verlies van legale geadresseerden te voorkomen. Ook is het raadzaam dat zij zich laten bijstaan door gecertificeerde privacy experts die écht weten hoe van de hoed en de rand. Op dit moment bestaat er maar een Europees erkend privacy keurmerk en dat is die van de CIPP/e (certified information privacy professional) van de IAPP (International Association Privacy Professionals) in Ierland. Zorg dat u zich laat bijstaan door een privacy expert met een IAPP lidmaatschap en het CIPP/e examen met goed gevolg heeft afgelegd. Zo bent u verzekerd van de kwaliteit van het advies, ook over de mailingacties maar ook over andere privacy consultancy vraagstukken zoals omtrent de verwerkersovereenkomsten, de verwerking van bijzondere persoonsgegevens, de juiste privacy administratie en documentatie.

 

Mr. Hella Vercammen CIPP/e (link certificaat https://bit.ly/2seQBtx )
Directeur en jurist The Legal Privacy Company B.V.

 

Persbericht: MKB kennis AVG ‘redelijk voldoende’, maar nu nog doorpakken in de praktijk

Amstelveen, 24 mei 2018 – 9 van de 10 MKB-ondernemers weet dat alleen al het opslaan van persoonsgegevens betekent dat de onderneming persoonsgegevens verwerkt. En dat de AVG (Algemene Verordening Gegevensbescherming) meer omvat dan enkel het beveiligen van persoonsgegevens. Maar in de praktijk gaat het nog vaak mis: slechts 20% van de bedrijven geeft aan dat zij een data-lek protocol hebben. Ook heeft slechts 15% privacy awareness trainingen voor het personeel georganiseerd – dé manier om het personeel te instrueren over de risico’s bij de beveiliging en waarborging van persoonsgegevens.

 

Dat blijkt uit de ‘AVG Zelfkennis en Voorbereidingstest’ die MKB privacy expert TLPC (The Legal Privacy Company) in samenwerking met branche organisaties, waaronder MKB Belangen, Accountancy Vanmorgen, Clean Totaal, Meer Business en lokale MKB partijen zoals de Amstelveens Ondernemersvereniging, in de afgelopen twee weken uitvoerde. MKB-ondernemers deden massaal mee met 2500 deelnemers. In de test werd onderscheid gemaakt tussen kennis en praktijk. Vanaf 25 mei a.s. moeten bedrijven en organisaties kunnen aantonen dat zij aan de AVG voldoen.

 

MKB privacy pilot

Vergelijkbare ervaringen blijken uit een pilot met vier MKB-bedrijven in de afgelopen maanden en een beta-versie van een door TLPC ontwikkeld digitaal privacy portaal dat op 25 mei a.s. live zal gaan.

Gebleken is dat de combinatie van praktische begeleiding door een privacy expert, samen met een digitale tool met de benodigde functionaliteiten om privacy proof te worden en te blijven bij het MKB het beste werkt.

 

Doorpakken in de praktijk

Mr. Hella Vercammen, directeur TLPC en CIPP/E gecertificeerd privacy jurist legt uit: “Ondanks vele berichten dat het MKB bedrijfsleven niet klaar is voor de AVG en de focus op boetes bij het in gebreke zijn, zien wij een positief beeld. Alhoewel men de zaak complex vindt en tegen de uitvoering aanhikt, begrijpt het MKB heel goed dat ze de AVG en de rol van privacy serieus moeten nemen. Wij zien inmiddels dat bij een belangrijk deel van het MKB de kennis én de wil aanwezig is, maar het schort nog bij het doorpakken in de praktijk. Toch kan een MKB ondernemer met enige hulp en een aantal tools, redelijk snel en tegen relatief geringe kosten privacy verantwoord ondernemen. Daarmee worden uiteindelijk boetes en het mislopen van opdrachten voorkomen, maar men kan hieruit ook een USP creëren. Ook kan dit een rol spelen bij de verkoop van een onderneming”.

 

Fonville schoonmaakbedrijven

Marcel Mink van Fonville Schoonmaakbedrijven BV: “Wij waren met dit voor ons belangrijke onderwerp bezig omdat we met 1800 mensen werken en dus veel persoonsgegevens hebben. De combinatie van een privacy masterclass, een nulmeting en een speciaal software tool van TLPC hebben ons daarbij heel goed geholpen. We hebben hierdoor zelf de benodigde documentatie kunnen opstellen en het is met één privacy dashboard veel overzichtelijker geworden. De implementatie en het management van de AVG is daarmee een stuk duidelijker en behapbaar geworden.”

 

‘Lichte onvoldoende’

Uit de AVG test bleek verder dat kennisvragen bij 64% van de deelnemers een voldoende opleverde, maar dat bij praktijkvragen laag werd gescoord (30%). Hier valt uit op te maken dat MKB-ondernemers wel over kennis van de AVG beschikken, maar dat men met de toepassing in de praktijk minder ver is. De gemiddelde score was een ‘lichte onvoldoende’. Bij de kennisvragen bleek dat, naast de eerder genoemde  positieve resultaten, vooral de ‘meldplicht datalekken’ het slechtst scorende onderwerp. Dat is opvallend omdat de meldplicht datalekken al op 1 januari 2016 is ingegaan. Wat in de praktijk beter gaat is het uitvoeren van een data-inventarisatie waarmee inzicht wordt verschaft in welke persoonsgegevens de onderneming verwerkt, op welke wijze en of dat ook rechtmatig is. Ook bleek de instructie over hoe om te gaan met de veiligheid van persoonsgegevens van anderen op de werkplek redelijk op orde te zijn via bijvoorbeeld clean desk policies.

 

Invoering AVG

Vanaf 25 mei 2018 dient het bedrijfsleven, waaronder het MKB,  te voldoen aan de Europese privacy wetgeving via de AVG (Algemene Verordening Gegevensbescherming). Op naleving van de AVG wordt toegezien door toezichthouder Autoriteit Persoonsgegevens (AP). Onder de nieuwe regelgeving heeft de burger altijd het recht te weten wie welke gegevens van hem bewaart en wat daarmee gebeurt. Bedrijven en organisaties mogen alleen nog persoonsgegevens verzamelen, bewaren en verwerken voor een vastgesteld doel en met de juiste wettelijke grondslag. De data zijn niet voor andere zaken te gebruiken en mogen niet langer dan strikt noodzakelijk worden bewaard. Bovendien moeten bedrijven de gegevens goed beschermen.

 

The Legal Privacy Company

The Legal Privacy Company (TLPC) in Amstelveen is een Europees gecertificeerd privacy expert kantoor gericht op het ‘privacy proof’ maken van het Nederlandse MKB. TLPC – en haar team van privacy juristen en consultants – wil met de juiste juridische privacy producten en oplossingen, zoals haar privacy portaal (theprivacyportal.com) ervoor zorgen dat MKB ondernemingen kunnen voldoen aan de complexe privacy wetgeving en privacy verantwoord kunnen ondernemen. Het kantoor is in 2003 opgericht om als juridische afdeling te fungeren voor MKB-ondernemingen (zonder eigen juristen) en dat praktisch en betaalbaar te maken.

Dé belangrijkste AVG misverstanden en prioriteiten op een rij!

Nog maar 13 dagen tot 25 mei 2018 om te zorgen dat uw onderneming of uw organisatie voldoet aan de nieuwe Europese privacyregelgeving (Algemene Verordening Gegevensbescherming). Als u nu nog moet beginnen dan is het belangrijk dat u weet wat uw 4 belangrijkste prioriteiten zijn. In deze blog help ik u daar graag mee op weg. Eerst maar even 5 misverstanden over deze Europese wet uit de weg ruimen.

Misverstand #1

Even een paar standaard documentjes downloaden van internet, knippen en plakken en dan voldoen we aan de wet.”

Onthoud dat de implementatie van de AVG geen eenmalige exercitie is. De privacy huishouding binnen uw bedrijf of organisatie dient op orde te blijven net zoals uw financiële boekhouding. U heeft een wettelijke documentatieplicht om aan te tonen dat dat zo is. Regel dus een inzichtelijk online privacy managementsysteem (www.theprivacyportal.com) dat er blijvend op toeziet dat de bescherming van persoonsgegevens pro-actief wordt gemanaged.

Misverstand #2

Ach, dat gedoe rondom de privacy, dat is gewoon een hype van voorbijgaande aard. Straks kraait er geen haan meer na.

Privacyrechten van voorbijgaande aard? Privacy rechten zullen in deze maatschappij een steeds grotere rol gaan spelen. De exponentiële groei van het verwerken, het delen, het doorgeven, het raadplegen en het verzamelen van persoonsgegevens op grote schaal is namelijk nog lang niet in zicht. We digitaliseren en automatiseren steeds verder en voegen daar ook nog nieuwe technologische  dimensies aan toe die ook weer nieuwe privacy vraagtekens opwerpen. Neem het toenemend gebruik van gedragsvoorspellende technologie met behulp van kunstmatige intelligentie. Neem de opkomst van Blockchain, Bitcoins en andere toepassingen van K.I. De daarvoor verantwoordelijke organisaties en bedrijven zullen daarom in toenemende mate de privacy rechten van hun klanten, werknemers, toeleveranciers, onderaannemers, samenwerkingspartners etc. moeten managen. De kans dat u met deze organisaties in uw bedrijfsketen te maken krijgt is groot.

Misverstand #3. 

De kans dat iemand gaat zeuren over privacy bij mijn organisatie en bovendien mensen delen alles zelf op social media.

Dat mensen alles delen op social media is hun goed recht. Zij mogen vrijelijk beschikken over hun persoonsgegevens maar dat betekent nog niet dat een ander daar misbruik van mag maken. Dit soort activiteiten vallen bovendien niet onder de reikwijdte van de AVG omdat het om huishoudelijke activiteit gaat. Privacy gaat nu juist over gegevens die de mensen niet willen delen maar geheim willen houden. Niemand zet zijn pincode of de stand van zijn bankrekening of spaarrekening op facebook.

Bedenk ook dat niet alleen gaat om de privacy van anderen maar ook om uw eigen recht op bescherming van uw persoonlijke levenssfeer, om geheimhouding van uw persoonlijke informatie, om communicatie. Het betreft ook uw fundamenteel grondrecht, een mensenrecht dat na de tweede wereldoorlog is vastgelegd in internationale (mensenrechten) verdragen en uiteindelijk nu in een rechtstreeks werkende Europese wet.

Misverstand #4

“Als de IT security op orde is in mijn organisatie, is 80% van de AVG al geregeld.”

De naleving van de AVG is niet voornamelijk een kwestie van technische veiligheidsmaatregelen om te zorgen dat de persoonsgegevens gehackt worden. Die maatregelen vormen slechts 20% van de maatregelen die u moet nemen om de AVG na te leven. Datalekken komen met name voor omdat mensen fouten maken. Het gaat dus ook om awareness trainingen. Ook heeft de andere 80% er betrekking op dat u checkt en blijft checken dat u alleen persoonsgegevens verwerkt waarvoor u een wettelijke grondslag heeft. Dat u niet te veel persoonsgegevens uitvraagt, dat u ze ook op een correcte wijze verwerkt zodra u een grondslag heeft. Ook moet u organiseren in uw bedrijf dat de uitoefening van de privacyrechten van uw klanten, werknemers en andere natuurlijke personen niet belemmert maar juist faciliteert. Zodra zij recht op inzage van de door u verwerkte persoonsgegevens vragen, dient u hen zo snel mogelijk doch uiterlijk binnen 1 maand te berichten.

Misverstand #5.

Mijn huisadvocaat regelt dit wel even voor mij, die kent mijn hele organisatie van haver tot gort”.

Het privacyrecht is helaas een zeer complex en gespecialiseerd rechtsgebied waarbij diepgaande juridische kennis en praktijkervaring nodig is om de implementatie van de AVG correct te kunnen adviseren. U kunt zich geen omissies en fouten veroorloven. Daarvoor zijn de zakelijke afbreukrisico’s en de boetes te groot.

Check dus goed of uw advocaat praktijkervaring heeft, vraag referenties op. Vraag ook naar de opleiding die deze heeft genoten op dit gebied. Let erop dat de privacy jurist een Europees gecertificeerde privacy expert is. Indien de privacy jurist de CIPP/E titel gebruikt dan is dat een aanduiding dat de privacy jurist de gehele AVG zeer goed heeft bestudeerd, daar les over heeft gehad en geëxamineerd is door de IAPP, ‘werelds grootste en meest gerenommeerde beroepsorganisatie voor privacy experts.

En dan nu zoals beloofd hierbij de 5 AVG prioriteiten voor als u nog moet beginnen.

  1. Data-inventarisatie: In deze fase wordt gekeken welke persoonsdata in- door en uit uw organisatie stroomt en wat u precies doet aan verwerkingen van deze persoonsdata. Er wordt vastgelegd wat de huidige stand van zaken is rondom de verwerkingen in uw organisatie en door wie wat wordt gedaan. Laat dit altijd door een externe partij doen omdat men door bedrijfsblindheid al snel bepaalde zaken over het hoofd kan zien.
  2. Grondslagen en rechtmatigheidsonderzoek. In deze fase wordt in kaart gebracht of uw organisatie wel de persoonsgegevens in kwestie mág verwerken. En zo ja, wat uw organisatie nog aan maatregelen moet nemen om dit correct en veilig te doen conform de AVG regels en normen.
  3. Uitvoeren van de AVG maatregelen en verbetertaken. In deze fase gaat u de geadviseerde en geformuleerde maatregelen doorvoeren in uw fysieke en digitale werkprocessen en in uw personele organisatie. Zodanig dat u toewerkt naar 100% compliance aan de AVG.
  4. AVG Beheerfase. In deze laatste fase zult u voortdurend moeten monitoren of de maatregelen die u heeft genomen ook daadwerkelijk worden uitgevoerd én nog steeds up to date en toereikend zijn. Maatregelen kunnen dat namelijk niet meer zijn op het moment dat u andere verwerkingen gaat doen of wanneer u gaat werken met nieuwe technologieën of met andere verwerkers. U zal dan nieuwe maatregelen moeten nemen. Ook beschikt u een overzichtelijk management en registratie tooling waardoor het privacy beheer inzichtelijk is bij een controle door de AP. Ook tooling waarmee u de continuïteit van uw privacy beheer kunt garanderen en dit dus niet afhankelijk is een of meer personen die bij u in dienst zijn maar weg kunnen gaan.Via een AVG audit van TLPC en een abonnement op The Privacy portal inclusief de daarbij geleverde account privacyjurist regelt u in één klap alle bovenstaande stappen.

 

Auteur: mr. Hella Vercammen CIPP/E (Certified Information Privacy Professional/Europe)

Ketenafhankelijkheid bij de bescherming van persoonsgegevens

Steeds meer persoonsgegevens worden gedigitaliseerd en online beheerd. Dit gaat soms mis. Zo stond Facebook vorige week negatief in de belangstelling omdat de data van ruim vijftig miljoen Facebookgebruikers is gebruikt om profielen te maken van stemmers met als doel de Amerikaanse verkiezingen van 2016 te beïnvloeden in het voordeel van Trump. Facebookgebruikers gaven zelf toestemming voor het verzamelen van hun data en gaven daarmee ook toestemming om de data van hun vrienden te verzamelen. Facebook handelt daarmee in strijd met de privacywetgeving.

Dit soort incidenten zorgen ervoor dat de bezorgdheid omtrent privacy toeneemt. Om de bescherming van privacygevoelige gegevens te waarborgen en de wetgeving binnen Europa gelijk te trekken, is vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van toepassing in alle EU-lidstaten. Deze verordening stelt juridisch vast waar organisaties toe verplicht zijn wanneer ze werken met persoonsgegevens.

De AVG maakt bij de verwerking van persoonsgegevens onderscheid tussen de verwerkingsverantwoordelijke en verwerker. De verantwoordelijke bepaalt hoe de persoonsgegevens worden gebruikt en waarvoor. De verwerker verwerkt enkel ten behoeve van de verantwoordelijke persoonsgegevens en schakelt daarvoor mogelijk op zijn beurt een sub-verwerker in.

Er is dus sprake van een keten. Indien u als organisatie werkt met persoonsgegevens, is het belangrijk dat u in kaart brengt welke partijen deel uitmaken van de keten, wat uw functie is binnen de keten en wat de rol van de andere betrokken partijen is.

Indien u als verantwoordelijke kwalificeert, bent u eindverantwoordelijk voor de keten en moet u op grond van de AVG mogelijkheden hebben tot het houden van toezicht en het controleren van de naleving van de AVG. U dient dus alle verwerkers in de keten te identificeren en daarmee een verwerkersovereenkomst te sluiten, ook als er incidenteel persoonsgegevens worden gedeeld. In de verwerkersovereenkomst dient o.a. te worden vastgelegd waar de persoonsgegevens voor mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden, waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een audit uit te voeren en of de verwerker sub-verwerkers mag inschakelen voor de verwerking. Indien de verwerker een sub-verwerker inschakelt, doet hij er verstandig aan om een sub-verwerkersovereenkomst te sluiten waarin hij minimaal dezelfde inhoudelijke verplichtingen aan de sub-verwerkers oplegt die de verantwoordelijke aan hem heeft opgelegd. Hij is immers altijd aansprakelijk voor het nakomen van de AVG door de sub-verwerker.

Partijen in de keten hebben er dus belang bij om goede afspraken met elkaar te maken over de verdeling van verantwoordelijkheden. Daarnaast is het voor partijen in de keten belangrijk om te weten wat hun en de andere partijen kwetsbaar maakt. Deelname aan de keten zorgt er immers voor dat partijen op bepaalde aspecten afhankelijk worden van elkaar en dat kan risicovol zijn. Indien de privacy risico’s binnen de keten tijdig in kaart worden gebracht, kunnen er passende maatregelen worden genomen om die risico’s te voorkomen of te beperken.

Neem nu bijvoorbeeld cybersecurity. Om de bescherming van persoonsgegevens te kunnen waarborgen, is goede cybersecurity van groot belang. Niet alleen in elke individuele organisatie maar in de gehele keten. Aanvallers richten zich vaak op het bedrijf met de zwakste cybersecurity. Cybersecurity is daarmee zo effectief als de zwakste schakel. Indien een sub-verwerker zijn cybersecurity niet goed op orde heeft en er een datalek plaatsvindt, zullen de Autoriteit Persoonsgegevens en de benadeelde klanten aankloppen bij de verantwoordelijke. De verantwoordelijke zal op haar beurt aankloppen bij de verwerker, aangezien die verantwoordelijk is voor de sub-verwerker.

Het is dan ook van belang dat alle betrokken partijen in de keten met elkaar samenwerken op het gebied van cybersecurity. Onderlinge informatie-uitwisseling vergroot de kennis binnen organisaties waardoor zij beveiligingsincidenten makkelijker kunnen herkennen. Daarnaast kunnen organisaties door een verhoogde integratie van de beveiliging in de keten de impact van een incident voor de eigen organisatie en voor de betrokken partijen beter inschatten en incidenten voorkomen. Ten slotte stimuleert samenwerking binnen de keten gezamenlijke investeringen in cybersecurity.

Twijfelt u of u verantwoordelijke of verwerker bent onder de AVG? Of wilt u meer weten over de overige aspecten van de AVG? Bel 020-3450152 of mail naar info@thelegalprivacycompany.nl

 

De AVG: wat verandert er voor u als zorgaanbieder?

Goede kwaliteit van zorg is zorg die aansluit bij de zorgbehoeften van patiënten. Om uw patiënten te leren kennen, dient u toegang tot privacygevoelige informatie van uw patiënten te hebben. Het is goed voor te stellen dat uw patiënten alleen bereid zullen zijn hun gegevens aan u te verstrekken indien zij weten dat hun privacyrechten zullen worden gewaarborgd. Het zichtbaar naleven van de privacyrechten van patiënten bevordert de vertrouwensrelatie met uw patiënten en daarmee de kwaliteit en toegankelijkheid van de zorg die u kunt verlenen. De komst van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 maakt het voor u nog belangrijker om zorgvuldig om te gaan met de privacygevoelige informatie van uw patiënten.

Nieuwe verplichtingen onder de AVG

De gegevens die in de zorg worden gebruikt, zien toe op de gezondheid van patiënten en zijn daarmee van gevoelige aard. Voor de verwerking van gevoelige persoonsgegevens gelden extra strenge eisen. De bestaande privacy-eisen waar zorgaanbieders aan moeten voldoen, zijn vastgelegd in diverse wetten zoals de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Deze bestaande regels worden door de AVG bevestigd en op onderdelen versterkt. Zo gelden onder de AVG nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt. In veel gevallen zult u ook verplicht zijn om een register van verwerkingsactiviteiten bij te houden, een data protection impact assessment (DPIA) uit te voeren en een functionaris voor de gegevensbescherming (FG) aan te stellen.

Daarnaast legt de AVG meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u verwerkingen aan de regels van de AVG voldoen (de verantwoordingsplicht). Indien de AP daarom vraagt, moet u bijvoorbeeld kunnen aantonen dat u verwerkingen aan de belangrijkste beginselen van verwerkingen voldoen: rechtmatigheid, juistheid, transparantie en doelbinding. Ook moet u kunnen laten zien dat u voldoende technische en organisatorische maatregelen hebt getroffen om de persoonsgegevens van uw patiënten te beveiligen.

De verantwoordingsplicht betekent onder meer dat uw organisatie:

  • Persoonsgegevens alleen mag verwerken indien daar een wettelijke grondslag voor is;
  • Persoonsgegevens alleen mag verwerken indien de betrokkene op de hoogte is van de verwerking en hoe dit gebeurt;
  • Niet meer persoonsgegevens mag verwerken dan strikt noodzakelijk is voor het doel van de verwerking;
  • Persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel van de verwerking;
  • Ervoor moet zorgen dat persoonsgegevens juist zijn en maatregelen moet nemen om onjuiste persoonsgegevens te wissen of te rectificeren;
  • De toegang van medewerkers tot persoonsgegevens moet beperken.

Vanaf 25 mei 2018 zal de Autoriteit Persoonsgegevens (AP) actief toezien op de naleving van deze regels uit de AVG en loopt u het risico op forse boetes (tot 20 miljoen euro), reputatieschade en claims van patiënten. Om deze risico’s te minimaliseren, dient u al vóór 25 mei 2018 in beweging te komen en actief bezig te zijn met de implementatie van de AVG in uw organisatie.

Privacy proof

De AVG-implementatie is een kostbaar en tijdrovend proces. Met name voor bedrijven uit het MKB die weinig personeel hebben.

The Legal Privacy Company helpt u om tijdig passende maatregelen te treffen om aan de AVG te voldoen. Dat doen we o.a. door een privacy nulmeting binnen uw organisatie uit te voeren. Van deze nulmeting maken wij een rapportage waarin we benoemen welke onderdelen binnen uw organisatie nog niet privacy proof zijn en u concrete verbeteradviezen geven.

Daarnaast bieden wij u een online portaal aan waarmee u op elk gewenst moment toegang tot alle benodigde informatie omtrent de (nieuwe) privacywetgeving heeft. Zo wordt en blijft u privacy proof richting uw patiënten.

Ook kunnen de juristen van The Legal Privacy Company u helpen indien u specifieke vragen over de implementatie van de AVG binnen uw organisatie heeft.

Wilt u meer weten over The Legal Privacy Company of een offerte voor een nulmeting aanvragen? Bel dan naar 020-3450152 of mail naar info@thelegalprivacycompany.com

 

 

AVG to do list ná de nulmeting: Sluit de juiste verwerkersovereenkomsten

Gemakshalve ga ik ervan uit dat u mijn vorige privacy #1 blog heeft gelezen. U weet dus dat de start van iedere MKB onderneming om AVG privacy proof te worden voor 25 mei 2018 altijd start met een AVG privacy nulmeting. U weet ook wat de AVG inhoudt en waarom het belangrijk is om conform deze Europese privacywet privacy verantwoord te ondernemen. 

Stap 1 in de nulmeting: Wat is onze juridische positie binnen de AVG?

In de nulmeting eindrapportage wordt ten eerste vastgelegd welke juridische rol uw bedrijf inneemt binnen de kaders van de AVG wetgeving om de persoonsgegevens te beschermen. Zodoende kunnen ook de specifieke plichten die bij die rol horen, worden gecheckt en afgevinkt. Is uw bedrijf verantwoordelijke (controller in het Engels) voor de verwerking van de persoonsgegevens of is uw bedrijf slechts de verwerker (processor in het Engels), of is uw bedrijf beiden? Of is uw bedrijfs zelfs de subverwerker (sub processor)?

Voorbeeld #1: Uw organisatie is een cateringbedrijf en u legt de persoonsgegevens van al uw personeel vast in een arbeidsovereenkomst, in het personeelsdossier en in de loonadministratie. Dan bent u de verantwoordelijke. Als u deze persoonsgegevens vervolgens doorgeeft aan een externe salarisadministrateur, dan is dit kantoor “de verwerker.” Stel dit kantoor voert weer die salarisadministratie uit met behulp van een extern gehost (Saas) HRM softwarepakket, dan is die softwareleverancier weer een “subverwerker”.

Het basisprincipe van de verantwoordelijke is: U bent verantwoordelijk voor persoonsgegevens dus zult u zicht moeten hebben op wat er gebeurt met die gegevens.

Ook wanneer die gegevens doorgespeeld worden aan een derde om deze slechts te verwerken. Je hebt als verantwoordelijke zwaardere plichten dan als verwerker. Dat is een reden waarom de AVG de verwerkersovereenkomst verplicht heeft gesteld. Daarin wordt de verdeling van verantwoordelijkheden tussen verantwoordelijke en verwerker verder contractueel uitgewerkt.

Een van de verbetertaken uit de nulmeting: sluit verwerkersovereenkomsten.

Een hele belangrijke verbetertaak die meestal uit de nulmetingen rolt is het sluiten van verwerkersovereenkomsten met partijen waar dat nog niet mee is gedaan. Ook kan het screenen van reeds enige tijd afgesloten verwerkersovereenkomsten een verbetertaak zijn, om te toetsen of deze wel voldoen aan de minimale nieuwe eisen die de AVG eraan stelt. Zowel de (verwerkings)verantwoordelijke als de verwerker hebben de plicht om een verwerkersovereenkomst af te sluiten.

Is er altijd een verwerkersovereenkomst nodig?

Nee niet altijd:

Voorbeeld #2: U bent consultant, adviseur of bijv. een advocaat en u stuurt ten behoeve van een werkgever (uw opdrachtgever, cliënt), een e-mail aan de wederpartij met uw standpunt in een bepaalde arbeidszaak. Bijvoorbeeld omtrent een bepaalde werknemer die u noemt met naam en toenaam. Dat is geen simpele verwerking van persoonsgegevens. Immers de opdracht van uw opdrachtgever is niet gericht op verwerken van persoonsgegevens maar gericht op het afnemen van (juridisch) advies, ten behoeve van het oplossen van een (juridisch) probleem. U als adviseur, advocaat verwerkt die gegevens geheel op eigen verantwoordelijkheid op een manier dat u zelf bepaalt. Daarom bent u verantwoordelijke. Dan is er ook geen verwerkersovereenkomst nodig aangezien uw opdrachtgever ook een verantwoordelijke is.

Voorbeeld #3. Hoe zit het met hoofdaannemer die gegevens opvraagt van personeel in dienst bij onderaannemer om te voldoen aan de WAV, WKA etc. De onderaannemer vergaart die gegevens niet alleen voor de hoofdaannemer maar ook voor zichzelf. Maak daar goede afspraken zodra de gegevens worden doorgestuurd. Hier is dus wederom geen verwerkersovereenkomst nodig tussen hoofdaannemer en onderaannemers omdat zij ieder hun eigen verantwoordelijkheid hebben en dus beiden verantwoordelijke zijn. Doorgeven van gegevens is niet in het kader van gegevensverwerking maar in het kader van de onderaanneming. Denk er trouwens wel aan om in de aannemingsvoorwaarden een meldingsplicht op te leggen aan onderaannemer als er data lekken voorkomen bij hen en vice versa. Dit kan vastgelegd worden in een data-uitwisselingsovereenkomst.

Wat legt u vast in een verwerkersovereenkomst?

In de verwerkersovereenkomst legt u bijvoorbeeld vast waar de persoonsgegevens voor mogen worden verwerkt, met wel doel, welke veiligheidsmaatregelen getroffen moeten worden en waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een privacy proof audit uit te voeren bij de verwerker en of de verwerker subverwerkers mag inschakelen voor de verwerking. In principe mag u deze overeenkomst niet in de algemene voorwaarden verstoppen maar in een afzonderlijk document. Echter dat is niet dwingend opgelegd. Er gaan kritisch geluiden van experts dat het gewoon verwerkt moet kunnen worden in bestaande documenten dus ook in de algemene voorwaarden. Verstandig om daar kritisch naar te kijken per type relatie en de gegeven omstandigheden van het geval.

Onderhandelen over een verwerkersovereenkomst.

Degene die het eerste met een eigen versie komt, heeft meestal het onderhandelingsvoordeel. U bent dan penvoerder en aanpassingen gedaan krijgen in het document van een ander is altijd lastiger. In onze MKB privacy Portal kunt u op maat zulke verwerkersovereenkomst in een handomdraai maken. Uiteraard kan het zijn dat grote partijen, corporates alsnog met hun eigen versie komen en u niet in de onderhandelingspositie bent om met uw eigen versie te komen. Alsnog is het dan raadzaam om die kritisch te screenen en niet zomaar alles te accepteren wat daar in staat. Dat kan enorme consequenties hebben. Juist als het om grote wederpartijen gaat die diepe zakken hebben om te procederen. Bij een datalek zullen deze genoeg geld en tijd hebben om via de rechter een schadeclaim neer te leggen bij uw organisatie op grond van de verwerkersovereenkomst. U staat dan 2-0 achter als u niet uw aansprakelijkheid heeft beperkt in de verwerkersovereenkomst.

Cyberrisk verzekering.

Een cyberrisk verzekering kan dan trouwens wel nog een vangnet vormen als u die beperking van aansprakelijkheid niet gedaan krijgt. Ook dekt het de kosten van uw rechtsbijstand. Laat u daar goed over adviseren.

Heeft u vragen over dit onderwerp, of interesse in de diensten van TLPC, zoals de AVG nulmeting, de MKB privacy portal of andere privacy consultancy diensten, bel of mail ons dan op 020-3450152 of info@thelegalprivacycompany.com Surf vooral ook naar www.thelegalprivacycompany.com

Rechten van betrokkene onder de AVG

De AVG kent verschillende rechten toe aan personen van wie persoonsgegevens worden verwerkt (betrokkenen) en biedt ze meer middelen om de verwerking van hun persoonsgegevens te controleren en te beïnvloeden. Welke rechten heeft de betrokkene onder de AVG?

Recht op informatie (artikel 13 en 14 AVG)

Het moet voor de betrokkene duidelijk zijn dat zijn of haar persoonsgegevens worden verwerkt en dat dit op een behoorlijke en transparante manier plaatst vindt. Er bestaat een actieve informatieplicht naar de betrokkene. De AVG verplicht je daarbij o.a. de doelen, ontvangers en de periode te vermelden. Dit kan je bijv. realiseren door een privacy statement op je website te plaatsen. Let op: Verandert er iets aan de verwerking, dan moet ook daarover heldere informatie worden verstrekt.

 Recht van inzage (artikel 15 AVG )

Betrokkenen hebben het recht om te informeren of zijn of haar persoonsgegevens worden verwerkt. Vraagt iemand om inzage, dan moet je dit op een duidelijke en begrijpelijke manier laten zien. De AVG bevat een opsomming van de informatie waarvoor het recht van inzage geldt. Zoals; om welke gegevens het gaat, wat het doel is van gebruik en de herkomst van de gegevens (indien bekend).

Recht op rectificatie (artikel 16 & 19 AVG)

Betrokkene heeft recht op rectificatie van hem betreffende onjuiste persoonsgegevens dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens. De verwerkingsverantwoordelijke is verplicht iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis te stellen van elke rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.

Recht op gegevenswissing / vergetelheid (artikel 17 & 19 AVG)

De verwerkingsverantwoordelijke is verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen op verzoek van de betrokkene, onder andere indien:

  • persoonsgegevens niet langer nodig zijn voor de doeleinden van de gegevensverwerking;
  • de betrokkene zijn of haar toestemming intrekt en er geen andere rechtsgrond voor verwerking is;
  • betrokkene bezwaar maakt tegen de verwerking;
  • de persoonsgegevens onrechtmatig verwerkt zijn.

 Recht op beperking van de verwerking (artikel 18 & 19 AVG)

Het recht op beperking houdt in dat de persoonsgegevens – tijdelijk- niet verwerkt mogen worden. Dit recht kan worden uitgeoefend in het geval er een bezwaar is. Het feit dat de verwerking van de persoonsgegevens beperkt is, moet door de verwerkingsverantwoordelijke duidelijk in het bestand zijn aangegeven zodat dit ook duidelijk is voor ontvangers van de persoonsgegevens. Wanneer de beperking weer wordt opgeheven, moet de betrokkene hiervan op de hoogte worden gebracht.

Recht op overdraagbaarheid / dataportibiliteit (artikel 20 AVG)

Dit recht houdt in dat een betrokkene de gegevens van een verwerkingsverantwoordelijke moet kunnen verkrijgen in gestructureerde, gangbare en leesbare vorm en het recht heeft deze gegevens aan een andere verwerkingsverantwoordelijke over te dragen of rechtstreeks te laten overdragen, zonder daarbij te worden gehinderd tenzij dit afbreuk doet aan rechten en vrijheden van anderen. Een betrokkene heeft recht op overdraagbaarheid voor zover het gaat om door hem zelf verstrekte gegevens.

Recht van bezwaar (artikel 21 AVG)

Een betrokkene kan vanwege redenen die verband houden met zijn specifieke situatie gebruik maken van dit recht van bezwaar tegen de verwerking van hem betreffende persoonsgegevens, als voldaan aan de in de verordening genoemde eisen. Als de betrokkene bezwaar maakt staakt de verwerkingsverantwoordelijke de verwerking, tenzij dwingende gerechtvaardigde gronden anders bepalen.

Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profiling (artikel 22 AVG)

Bij dit recht kan bijvoorbeeld gedacht worden aan de automatische weigering van een online ingediende kredietaanvraag of aan de verwerking van sollicitaties via internet zonder menselijke tussenkomst. In drie gevallen is geautomatiseerde individuele besluitvorming wel mogelijk:

  1. het is noodzakelijk voor de totstandkoming of de uitvoering van een overeenkomst;
  2. het is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling;
  3. het berust op de uitdrukkelijke toestemming van de betrokkene.

Wilt u meer weten over de rechten van de betrokkene of andere aspecten van de AVG? Mail: info@thelegalcompany.nl