Waarom u uw AVG compliance op orde moeten hebben

In mei is de Algemene Verordening Gegevensbescherming (AVG) twee jaar van kracht. De meeste bedrijven weten inmiddels dat zij rekening moeten houden met de privacy van bijvoorbeeld (potentiële) klanten en hun eigen werknemers. Hoe er binnen het bedrijf concreet met de AVG moet worden omgegaan is echter vaak onduidelijk. Onjuiste omgang met persoonsgegevens leveren een risico op voor uw bedrijf. Er komen namelijk steeds meer klachten binnen bij de Autoriteit Persoonsgegevens. Daarnaast bestaat het risico dat u slachtoffer wordt van internetcriminelen die persoonsgegevens buitmaken, zoals recentelijk gebeurde bij de Universiteit Maastricht. In beide gevallen kunt u claims verwachten van bijvoorbeeld (voormalige) werknemers. Om dat te voorkomen is het belangrijk dat u aan de AVG voldoet en ook uw beveiliging goed op orde hebt.

Welke gegevens worden door de AVG beschermd?

De AVG draait kort gezegd om het verwerken van persoonsgegevens. Persoonsgegevens zijn alle gegevens die te herleiden zijn naar een bepaald persoon. Het gaat hier bijvoorbeeld om namen en telefoonnummers van klanten die staan opgeslagen in uw administratie. Daarnaast verwerkt u ook natuurlijk ook gegevens van uw eigen medewerkers en mensen die bij u komen solliciteren, zoals adres, bankrekeningnummer of een CV. Uw bedrijf verwerkt waarschijnlijk ook bijzondere persoonsgegevens. Daarbij kunt u denken aan het BSN nummer of foto’s van uw medewerkers. Dit soort gevoelige gegevens worden door de AVG extra goed beschermd.

Het personeelsdossier

Veel ondernemers komen tijd tekort om het personeelsdossier, met daarin de gegevens van de werknemers en sollicitanten, goed bij te houden. Daardoor kan het gebeuren dat er nog oude gegevens van ex-werknemers in het dossier zitten. De (voormalige) werknemer heeft het recht om deze gegevens in te zien en hij mag ook verzoeken om deze gegevens na einde van het dienstverband te laten verwijderen. Soms blijken er ook gegevens in het personeelsdossier te zitten die hier helemaal niet thuishoren: denk aan informatie over gezondheidsklachten van de werknemer, medicijngebruik of persoonlijke problemen. Als u dat soort gegevens in het personeelsdossier heeft, raden wij u aan om dit zo snel mogelijk te verwijderen, ook als uw werknemer die informatie zelf heeft verstrekt. Na het einde van het dienstverband mag u veel gegevens van werknemers slechts 2 jaar bewaren. Gegevens van sollicitanten moet u in principe binnen 4 weken na de sollicitatieprocedure wissen.  

Wat zijn de gevolgen van een schending van de AVG?

Als u niet voldoet aan de regels van de AVG dan is dat een risico voor uw bedrijf. (Voormalige) werknemers kunnen een klacht indienen bij de Autoriteit Persoonsgegevens en dan riskeert u een boete. Mensen zijn inmiddels goed op de hoogte van hun rechten en klagen gebeurt dan ook steeds vaker. Als u niet voldoet aan de AVG dan kunnen (voormalige) medewerkers ook naar de rechter stappen en schadevergoeding eisen. Indien u de controle verliest over persoonsgegevens dan kan de rechter al snel een schadevergoeding toewijzen van enkele honderden euro’s, zo blijkt uit twee uitspraken uit eind 2019.

Onlangs werd de Universiteit Maastricht bijvoorbeeld slachtoffer van ransomware waarbij de gegevens van vele duizenden mensen gestolen kunnen zijn. Onderzoek moet nog uitwijzen of dat ook daadwerkelijk is gebeurd. Als blijkt dat de beveiliging niet op orde was dan kan de Universiteit Maastricht hoge boetes en schadeclaims verwachten. Niet alleen grote organisaties, maar ook het MKB wordt steeds vaker slachtoffer van cyberaanvallen en ransomware. Wanneer dit bij uw bedrijf gebeurt moeten er vaak hoge bedragen aan losgeld worden betaald om uw computersysteem weer vrij te geven. Als er daarnaast ook nog persoonsgegevens zijn buitgemaakt dan kunnen (voormalige) medewerkers naar de rechter stappen. U bent dan dubbel slachtoffer: naast het betalen van losgeld kunt u dan ook nog rekenen op een schadevergoeding van enkele honderden euro’s per persoon.

Hoe kunt u claims voorkomen en voldoen aan de AVG?

Een belangrijk punt is dat de beveiliging van uw bedrijfssystemen goed op orde moet zijn. Zo geeft u internetcriminelen geen kans. Wanneer er toch persoonsgegevens lekken of gestolen worden, dan moet u dat ook registeren en vastleggen welke actie u onderneemt. In ernstige gevallen heet dit een datalek en dat moet binnen 72 uur gemeld worden aan de Autoriteit. In het kader van de AVG moet u ook een verwerkingsregister opstellen waarin u bijhoudt welke gegevens u verwerkt. Als dat eenmaal duidelijk is moet u de betrokken personen daarover informeren via het privacy beleid en de privacy verklaring. Daarin moet u de betrokken personen ook wijzen op hun rechten, zoals inzage in de informatie en het indienen van een klacht over de verwerking door uw bedrijf.

Masterclasses Privacy voor het MKB

Bent u nog steeds niet begonnen of klaar met de AVG implementatie? Of wilt u meer weten over Privacy ten opzichte van uw werknemers? Kom dan naar onze Masterclass AVG management aankomende 6 februari of onze Masterclass Privacy en werknemers aankomende 9 april 2020.

Masterclass AVG management 6 februari 2020:
Meer informatie en aanmelden.

Masterclass Privacy en werknemers 9 april 2020
Meer informatie en aanmelden.

Vingerscanner in strijd met de AVG

Casus 

Schoenenwinkel Manfield heeft onlangs een vingerscan op haar kassasysteem geïnstalleerd. Medewerkers moeten zich vanaf nu eerst identificeren met hun vingerafdruk, alvorens zij de kassa kunnen gebruiken. Eén strijdbare medewerker verzet zich daartegen en wil duidelijkheid van de rechter. Mag Manfield haar medewerkers verplichten om in te loggen met hun vingerafdruk?

Veel mensen kennen het van hun smartphone of tablet: je legt je vinger op een scanoppervlak en vervolgens ontgrendelt het apparaat. Winkelmedewerkers van Manfield moeten sinds kort hetzelfde doen om de kassa te kunnen gebruiken. Zonder vingerafdruk kunnen zij hun kassawerkzaamheden niet meer uitvoeren. Daarnaast worden ook de uren van de werknemers van Manfield via een systeem met vingerafdruk geregistreerd.

De bijzondere status van de vingerafdruk

Ondanks het feit dat de vingerscan inmiddels ingeburgerd is heeft de vingerafdruk een bijzondere wettelijke status. Volgens de Algemene Verordening Gegevensbescherming (AVG of GDPR) is de vingerafdruk namelijk een biometrisch gegeven: hiermee kan een persoon direct worden geïdentificeerd. Andere biometrische gegevens zijn bijvoorbeeld de gezichtsafbeelding of de irisscan. In principe is het verzamelen van biometrische gegevens verboden. Dit is anders indien de betreffende persoon toestemming heeft gegeven voor het gebruik. Maar zelfs als er toestemming is, dan moet het gebruik van een vingerafdruk nog altijd noodzakelijk zijn voor de beveiliging en in verhouding staan tot het doel waarvoor deze gebruikt wordt.

Speciale verhouding van werkgever en werknemer

In deze zaak speelt mee dat we te maken hebben met de relatie werkgever-werknemer. De werknemer is nooit volledig vrij om toestemming te weigeren, aangezien hij afhankelijk is van zijn werkgever. De rechter buigt zich dan ook over de vraag of Manfield haar winkelmedewerkers mag verplichten om de vingerscan te gebruiken. 

Het standpunt van Manfield

Volgens Manfield is de invoering van een vingerscan noodzakelijk voor de beveiliging. Manfield krijgt immers regelmatig te maken met diefstal en fraude van het personeel. Vroeger gebruikte men pasjes en inlogcodes om de kassa te openen, maar deze werden onderling doorgegeven en zo was bij diefstal de dader niet meer te traceren. De vingerscan lost dit probleem op, want een vingerafdruk kan niet worden doorgegeven.

Daarnaast voert Manfield aan dat zij wettelijk verplicht is om de gegevens uit haar kassasysteem zo goed mogelijk te beveiligen. Het kassasysteem bevat namelijk gevoelige informatie over klanten en over de financiën van het bedrijf. Het gebruik van de vingerscan is daarom een logische keuze: de vingerafdruk kan niet worden afgekeken en zorgt ervoor dat niet op afstand kan worden ingelogd.

De rechtbank: gebruik vingerscan in strijd met de AVG

De rechter oordeelt echter dat de invoering van de vingerscan een te ingrijpende maatregel is. De rechter vindt het gebruik van de vingerscan namelijk niet noodzakelijk voor de beveiliging. Daarbij speelt mee dat Manfield geen minder ingrijpende maatregelen heeft genomen, zoals camerabeveiliging of toegangspoortjes. Daarnaast heeft Manfield te weinig onderzoek gedaan naar minder ingrijpende alternatieven, zoals een toegangspas in combinatie met een cijfercode. Op deze manier kan het systeem ook goed beveiligd worden, zonder gebruik te hoeven maken van biometrische gegevens zoals de vingerscan.

Uiteindelijk oordeelt de rechter dat Manfield haar werknemers niet mag verplichten om de vingerscan te gebruiken, omdat dat in deze omstandigheden in strijd is met de AVG.

Advies

Een vingerscan of gezichtsherkenning lijkt een handige oplossing voor uw bedrijf, bijvoorbeeld als u uitdagingen heeft in de beveiliging of correcte urenregistratie.  Wij zien dan ook steeds vaker dat bedrijven in bijvoorbeeld de schoonmaak, horeca of detailhandel gebruik maken van een dergelijke systeem. Echter, besef dat u waarschijnlijk met zo’n systeem de privacy van uw werknemers te veel schendt.

Wilt u uw medewerkers verplichten om gebruik te maken van een vingerscan of gezichtsherkenning dan zult u moeten aantonen dat dit écht noodzakelijk is voor de beveiliging van persoonsgegevens en er geen andere opties voorhanden zijn. Dat kan lastig worden: als voorbeeldsituatie waarbij een vingerscan wél noodzakelijk is, noemt de wetgever de beveiliging van een kerncentrale.

Laat een Privacy Impact Assessment (PIA) uitvoeren

Wilt u nieuwe maatregelen invoeren die mogelijk impact hebben op de privacy van uw werknemers? Wij raden u dan aan om altijd een zogenaamd “privacy impact assessment” uit te laten voeren door een objectieve privacy expert en dit schriftelijk vast te leggen. Hierin kunt u de voor- en tegens van verschillende systemen tegen elkaar afwegen en bekijken welke vorm van beveiliging noodzakelijk is én geschikt is voor uw bedrijf. U legt ook vast dat u dit allemaal heeft gecheckt en afgewogen, hetgeen een belangrijke eis is van de AVG als u een bewuste en gewogen inbreuk maakt op de privacy. U kiest bij voorkeur voor een systeem dat zo min mogelijk inbreuk maakt op de privacy van uw werknemers, maar wel voldoende beveiligt, bijvoorbeeld een dubbele beveiliging door middel van een pasje en een code.

Voor hulp bij PIA’s en voor meer informatie over hulp bij de AVG compliance bezoek onze website. Natuurlijk kunt u ook mailen naar info@thelegalprivacycompany.com of bellen naar 020-3450152. 

Heeft u een juridische vraag op het gebied van arbeidsrecht, contractenrecht en/of ondernemingsrecht? Kijk op onze website voor meer informatie.

Bring Your Own Device en de juridische (privacy) regels

Bring Your Own Device (breng uw eigen apparatuur mee), oftewel BYOD. Een term die al langer bestaat maar tegenwoordig gebruikelijk is op de werkvloer als het gaat om het meenemen van privé-apparatuur, zoals een laptop, tablet of smartphone, die worden gebruikt om werktaken uit te voeren. Met de opkomst van de clouddiensten en webbased systemen (denk aan een online time-tracking of taken systeem, CRM-systeem, wordt BYOD steeds logischer. BYOD valt daarom niet meer weg te denken uit het bedrijfsleven en lopen werk en privé gemakkelijker in elkaar over.

Wat zijn de voor- en nadelen van BYOD?

Kostenbesparing en voorkeursvrijheid

Voor werkgevers geldt natuurlijk het voordeel dat het een kostenbesparing met zich meebrengt. Er hoeft geen apparatuur meer voor de werknemer aangeschaft te worden. Voor de werknemer geldt dat deze keuzevrijheid heeft en het apparaat kan aanschaffen waarmee zij het beste kunnen omgaan.

Plicht en onkostenvergoeding BYOD?

Als werkgever ben je niet verplicht om onkostenvergoeding te betalen voor het gebruik van eigen apparatuur. Daarentegen kan de werknemer ook niet verplicht worden om zijn eigen apparatuur te gebruiken of aan te schaffen voor de uitvoering van zijn werkzaamheden. Als de werknemer weigert dan is de werkgever verplicht om een alternatief aan te bieden of te accepteren dat werknemer niet werkt met de systemen en mobiele apparatuur. Binnen organisaties waarin veel gebruik wordt gemaakt van BYOD zie je toch wel dat de werknemer een maandelijkse onkostenvergoeding krijgt voor het gebruik van zijn eigen apparatuur. Dit dekt de gebruikskosten zoals onderhouds- en vervangingskosten, reparatie en abonnementskosten. In sommige gevallen krijgt de werknemer een budget voor de aanschaf van bijvoorbeeld een telefoon of laptop.

Botsende appratuur en systemen

Het nadeel van een BYOD beleid is dat de meeste ICT-afdelingen binnen organisaties een hekel hebben aan BYOD omdat er een versprokkeling ontstaat van verschillende apparaten en systemen. Mocht ergens iets misgaan dan is het vaak lastig om te achterhalen waar de fout zit en tevens moet de helpdesk ook beschikken over kennis van de verschillende apparaten en systemen.

Beveiligingsrisico

Een ander nadeel van BYOD is het beveiligingsrisico van het zakelijk gebruik van privé apparatuur. Onbevoegden kunnen hierdoor veel gemakkelijker bij de zakelijke gegevens komen.

Verder is er door de werkgever geen goede controle mogelijk op de software, antivirus, firewalls op de apparatuur die de werknemer gebruikt. Ook dat brengt wel beveiligingsrisico’s met zich mee dat onbevoegden bij de zakelijke en vertrouwelijke gegevens kunnen.

Aansprakelijkheid

Een ander nadeel is dat gezien de bijzondere relatie tussen werknemer-werkgever, de werkgever aansprakelijk is voor de schade die de werknemer krijgt aan zijn apparatuur bij uitvoering van zijn werkzaamheden.

Overigens moet er wel sprake zijn van schade die valt binnen de uitvoering van de arbeidsovereenkomst. Wanneer de werknemer een virus binnenhaalt op zijn mobiele telefoon bij het lezen van zijn werkmail is de werkgever voor eventuele gevolgen aansprakelijk. Aan de andere kant, wanneer de werknemer datzelfde virus binnenhaalt via het openen van een Facebook bericht (waarbij we ervan uit gaan dat Facebook alleen voor privédoeleinden wordt gebruikt) is de werkgever niet aansprakelijk voor de gevolgen. Het is echter vaak lastig om dat allemaal te achterhalen.

Scheiding werk en privé

Met name door de hoge toename van smartphones dreigt de grens tussen werk en privé te vervagen en dat levert ook nadelen op. Het is immers gemakkelijker om in je vrije tijd gestoord te worden door werkgerelateerde zaken.  Denk aan het ontvangen van emails laat in de avond en nog even in het weekend werken. Op deze manier wordt de vrije tijd van de werknemer makkelijk in beslag genomen door werk en vergoot de kans op uitval (bijvoorbeeld overspannenheid). Er is echter wetgeving in behandeling die deze risico’s gaat inperken.

Privacy en BYOD

Als bedrijf ben je onder de AVG verplicht om passende technische en organisatorische maatregelen te nemen bij de verwerking van persoonsgegevens. Zo ook ten opzichte van het gebruik van eigen apparatuur en de (zakelijke) persoonsgegevens die de werknemers verwerken op hun eigen apparatuur. Het gaat dan o.a. om de beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens. Hoe kunt u als werkgever hier in de praktijk het beste mee omgaan?

1. Stel een BYOD protocol op

Stel altijd een intern privacy beleid op waarin u uw werknemers instrueert en informeert over hoe u omgaat met hun gegevens en hoe zij moeten omgaan met de persoonsgegevens van anderen zoals klanten, collega’s, etc. Voeg daar ook een apart BYOD protocol bij als bijlage omdat dit specifiek ziet op het gebruik van eigen apparatuur. Hierin kunnen beveiligingsvoorwaarden gesteld worden aan het gebruik zoals dat de apparatuur voorzien moet zijn van toegangsbeveiliging, een virusscanner, firewall, gps-systeem, etc. Verder kunnen hier praktische regels in worden opgenomen, zoals het verbod tot opslaan van bedrijfsgegevens op de harde schijf van een computer, de telefoon, de tablet, over het gebruik van wachtwoorden, (onrechtmatige) toegang en gebruik door derden en eventuele sancties.

2. Train het personeel!

Naast het hebben van een intern privacy beleid met de nodige protocollen zoals het HR protocol, rechten van betrokkenen protocol en het datalek protocol is dus het BYOD-protocol van belang. In plaats van te verwachten dat uw personeel deze protocollen allemaal doorleest, is het inplannen van een trainingsmoment een veel praktischer instrument. Dit creëert bewustwording waardoor de risico’s op een inbreuk flink worden beperkt.

Heeft u een template BYOD-protocol of een pragmatische privacy awareness training nodig dan kunt u bij ons terecht voor deze producten voor een vaste prijs.

Mail dan naar info@thelegalprivacycompany.com

Wilt u als HR afdeling of als HR manager in zijn algemeenheid meer weten over privacy en werknemers? Wij organiseren 10 oktober 2019 de Masterclass Privacy en werknemers.  Wij verzorgen deze training ook op locatie. Mocht u hier interesse in hebben mail dan naar: info@thelegalprivacycompany.com.  

Privacy van de werknemers, hoe de AVG in de praktijk toe te passen?

Een organisatie met werknemers verwerkt per definitie persoonsgegevens van werknemers. Denk aan de gebruikelijke gegevens als naam, adres, telefoonnummer, BSN, etc. Naast deze gebruikelijke gegevens worden er vaak andere persoonsgegevens verwerkt zoals psychologische assessment rapporten, gps-trackingoverzichten, foto’s in het smoelenboek, tijdsregistratiesystemen, etc. Vanaf 25 mei 2018 zal men ten aanzien van al die gegevens opnieuw moeten bezien of al de verwerkingen voldoen aan de Algemene verordening gegevensbescherming (hierna AVG). Het niet voldoen aan de AVG kan immers hoge boetes opleveren, reputatieschades en claims van werknemers. Ook kan het in ziektedossiers en ontslagzaken vervelende effecten hebben. Wat zijn nu de belangrijkste verplichtingen en veranderingen voor de werkgever ingevolge de AVG?

Recht op inzage

Onder Wet bescherming persoonsgegevens (Wbp) bestonden er al privacy rechten voor de werknemer. Een aantal van die rechten zijn onder de AVG verruimd. Zo hebben werknemers recht op inzage in de persoonsgegevens die de werkgever van hen verwerkt, zelfs als deze gegevens al eerder zijn verstrekt.

Dit is gebaseerd op een van de belangrijkste privacy beginselen, het zogenaamde transparantiebeginsel. Iedereen moet in de gelegenheid zijn om de persoonsgegevens die over hem zijn verzameld te allen tijde in te zien. Daarbij moet dat recht eenvoudig uit te oefenen zijn zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. Dat de werknemer al bekend is met deze gegevens of wanneer deze gegevens al eens verstrekt zijn, is geen reden om de stukken niet te verstrekken. Simpel gezegd betekent dit dat de werknemer zijn volledige personeelsdossier mag opvragen en dat de werkgever deze ook aan de werknemer moet verstrekken. Dit moet dan ook zo snel mogelijk en uiterlijk binnen de AVG termijn van een maand nadat het verzoek is ingediend.

Recht op vergetelheid

Een nieuw persoonlijk recht onder de AVG is het recht op vergetelheid. Dit recht houdt in dat de werknemer aan de werkgever kan vragen om bepaalde persoonsgegevens te wissen. Dit is echter geen absoluut recht. Als er bijvoorbeeld sprake is van een wettelijk bewaartermijn voor de werkgever kan dit recht niet uitgeoefend worden zolang het wettelijke bewaartermijn nog loopt.

Informatieplicht

Wat verder volgt uit het transparantiebeginsel is de informatieplicht. Als werkgever moet je je sollicitanten en werknemers pro-actief, dus uit jezelf informeren over de verwerkingen van persoonsgegevens die plaatsvinden binnen de organisatie. De meest gebruikelijke manier om dit te doen is door het plaatsen van een privacyverklaring op de website en een intern privacy beleid dat onderdeel is van de arbeidsdocumentatie. Er moet duidelijk vermeld worden welke gegevens er worden verzameld, voor welke doeleinden dit gedaan wordt en waar de werknemer eventueel een klacht of verzoek kan indienen rondom de verwerking.

Cameratoezicht, GPS en vingerscan

Hoe zit het met cameratoezicht op het werk, het gebruik van een vingerscan om toegang te krijgen of de tijd te klokken en het GPS-systeem in de auto van de werknemer? Mag je dit allemaal wel verzamelen zolang je de werknemer er maar van op de hoogte stelt? Of moet je toestemming vragen? En mag je die gegevens dan ook gebruiken om de werknemer te controleren en onregelmatigheden op te sporen?

AVG stappen

In al deze gevallen dient men eerst vast te stellen of er wel een wettelijke grondslag is voor de verwerking. Vervolgens moet men een belangenafweging maken tussen het belang van de werkgever om de gegevens te verwerken en te verzamelen en het belang van de werknemer om die gegevens geheim te houden. De vraag die de werkgever zich daarbij altijd moet stellen is of er een alternatief is om aan de gegevens te komen dat minder ingrijpend is ten aanzien van de privacy van de werknemer.

AVG te streng toegepast

Deze vragen zijn niet altijd gemakkelijk te beantwoorden. We zien in de praktijk daarom geregeld dat werkgevers vanwege gebrek aan kennis een veel te strenge afweging maken. Er worden dan keuzes gemaakt met de gedachte, ‘dat mag niet meer onder de AVG’, terwijl dat wel nog had gekund maar dan anders. Bijvoorbeeld het versturen van loonstrookjes over de mail. Dat mag nog steeds maar streep dan het BSN-nummer weg en andere gegevens die niet relevant zijn voor de ontvanger.

Zorg voor de juiste kennis over de praktijk toepassing van de AVG

Het is een zeer divers palet aan situaties waar men als werkgever steeds mee te maken krijgt. Het is daarom belangrijk om de juiste praktijkkennis in huis te halen omtrent wat de juiste algemene stappen en afwegingen zijn in de meest voorkomende werknemerssituatie.

Om de juiste praktische toepassing binnen uw organisatie mogelijk te maken organiseren wij op 22 november 2018 de Masterclass Privacy en Werknemers. In één dagdeel maken wij u wegwijs in dit onderwerk en krijgt u daar bovendien een handig naslagwerk bij. Schrijf u snel in want de belangstelling voor dit onderwerp is groot, kijk voor meer informatie op onze website Trainingen, mail info@thelegalprivacycompany.com of bel 020-3450152.

Bijzondere persoonsgegevens

De AVG maakt onderscheid tussen gewone en bijzondere persoonsgegevens. Omdat de AVG hogere eisen stelt aan organisaties die bijzondere persoonsgegevens verwerken, is het van belang dat u dat ook kunt doen. Dit blijkt in de praktijk lastig te zijn en daarom zullen wij u hiervoor een aantal handvatten aanreiken.

Persoonsgegeven

Onder persoonsgegeven wordt alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon verstaan. De informatie dient direct of indirect (door middel van herleiding) te kunnen leiden tot identificatie van een natuurlijk persoon.

Hieruit kan worden opgemaakt dat een persoonsgegeven een gegeven over een natuurlijke persoon moet zijn. Daarnaast moet het gaan om gegevens die alleen of in combinatie met andere gegevens, zo kenmerkend zijn voor een specifieke natuurlijke persoon dat deze aan de hand daarvan zonder al te veel moeite kan worden geïdentificeerd. Daarbij gaat het om de mogelijkheid tot identificatie. Het is niet van belang of deze identificatie daadwerkelijk ooit plaats zal vinden.

Er is een verschil tussen direct en indirect identificerende gegevens. Direct identificeerbare gegevens zijn gegevens waarmee de identiteit van een persoon zonder veel omwegen kan worden vastgesteld zoals bijvoorbeeld een naam, adres en telefoonnummer en de combinatie van deze gegevens.

Indirect identificeerbare gegevens zijn gegevens die niet direct naar een persoon herleiden maar die via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon. Er kan dan weer een onderscheid worden gemaakt tussen gegevens met een hoog onderscheidend karakter, zoals leeftijd, woonplaats en beroep, en gegevens met een laag onderscheidend karakter, zoals leeftijdsklasse, woonregio en beroepsklasse. Het onderscheidende vermogen van dergelijke (combinaties van) gegevens is mede afhankelijk van de context waarbinnen ze worden gebruikt.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens die zo’n gevoelig karakter hebben dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. De verwerking van bijzondere persoonsgegevens is in beginsel verboden, tenzij daarvoor een uitzondering wordt gemaakt in de AVG. Zo mogen organisaties bijzondere persoonsgegevens verwerken als de betrokkene in vrije wil uitdrukkelijk toestemming heeft gegeven, als de verwerking noodzakelijk is om vitale belangen van betrokkenen te beschermen of als de betrokkene de gegevens zelf al openbaar heeft gemaakt.

Voorbeelden van bijzondere persoonsgegevens zijn gegevens die betrekking hebben op iemands:

  • gezondheid;
  • ras of etnische afkomst;
  • politieke opvatting;
  • religieuze of levensbeschouwelijke overtuigingen;
  • lidmaatschap van een vakbond;
  • seksueel gedrag of seksuele gerichtheid;
  • genetische of biometrische kenmerken die worden gebruikt worden om een persoon te identificeren.

Het BSN valt niet onder de categorie bijzondere persoonsgegevens maar dit betekent niet dat organisaties zonder meer deze mogen verwerken. Er gelden vereisten, die in de wet staan omschreven, waaraan u moet voldoen bij het verwerken hiervan. Zo is een werkgever verplicht om het BSN van werknemers vast te leggen op grond van de Wet op de loonbelasting 1964. Het BSN mag echter niet gebruikt dan wel verwerkt worden als personeelsnummer; daar is geen juridische grondslag voor.

De AVG stelt strenge eisen aan organisaties die bijzondere persoonsgegevens verwerken. Zo kan voor organisaties de verplichting gelden om een Data Protection Impact Assessment uit te voeren. Met een Data Protection Impact Assessment worden de privacy risico’s van de gegevensverwerking en eventuele maatregelen die genomen kunnen worden om die risico’s te minimaliseren, in kaart gebracht. Ook moeten organisaties bij een lek van bijzondere persoonsgegevens altijd de betrokkenen op de hoogte stellen. Daarnaast moeten organisaties die vanuit een kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken, een functionaris voor de gegevensbescherming aanstellen.

 

Weet u niet zeker of u bijzondere persoonsgegevens verwerkt of onder welke voorwaarden u ze mag verwerken? Wilt u weten of u een DPIA moet uitvoeren of die door ons laten uitvoeren? Of wilt u meer weten over de overige aspecten van de AVG? Bel 020-3450152 of mail naar info@thelegalprivacycompany.nl

Hier gaat iets helemaal fout: Inboxes onnodig overspoeld door AVG toestemmingsmails

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) afgelopen 25 mei worden we overspoeld door compliance e-mails. Erg vermoeiend en met ongewenste reputatie schade voor zowel bedrijven als  geadresseerden.

 

Vraag geen onnodige toestemming vanuit paniek.

Vanuit een ‘paniekmodus’ mailen duizenden bedrijven hun bestaande mailinglijsten om bevestigende opt-in toestemming voor hun e-mail marketing te krijgen, ogenschijnlijk om te voldoen aan de AVG. Deze benadering berust op een ongelukkig misverstand, omdat de meeste van deze e-mails gestuurd worden naar mensen met wie het bedrijf reeds een commerciële relatie heeft. Daarvoor is géén toestemming nodig omdat men een ‘gerechtvaardigd belang’ heeft om bestaande relaties te blijven informeren over de producten en diensten. Dat was zo en dat blijft zo onder de AVG. Heel simpel: als ik iets in een webshop koop, mag het bedrijf me berichten sturen op basis van een gerechtvaardigd bedrijfsbelang (direct marketing) – wél met een duidelijke afmelding / opt-out mogelijkheid.

De basisregel is dat een vóór de inwerking getreden AVG gegeven toestemming geldig blijft als deze voldoet aan de AVG-standaard: ondubbelzinnig (dus geen vooraf aangevinkte vakjes) en specifiek. De toestemming moet dus aantoonbaar zijn voor aangegeven producten en diensten waarvoor men de geadresseerden ook in de toekomst wil blijven mailen. Daar moeten schriftelijke bewijzen van zijn in de administratie.

 

Hernieuwde toestemming vragen om alsnog legale mailinglijsten te krijgen.

Bedrijven die zich wel zorgen moeten maken bij hernieuwde toestemmings e-mails voor marketing, zijn degenen die momenteel niet kunnen aantonen dat deze toestemming legaal is verkregen én daarvoor al in strijd handelden met de EU-wetgeving. Zie artikel 13 van de e-Privacy Verordening (ePV) die bepaalt: “communicatie, inclusief e-mail, mag niet worden verzonden zonder voorafgaande toestemming, tenzij er al een klantrelatie bestaat.”

Beland iemand op een mailinglijst, zonder iets gekocht of afgenomen te hebben en zonder daar ooit aantoonbaar toestemming voor te hebben gegeven, dan mocht die persoon vóór 25 mei 2018 niet gemaild worden – en daarna dus ook niet. Die persoon mag strikt genomen ook niet ‘even’ gemaild worden om nu alsnog toestemming te vragen onder het mom van de AVG. Dit gaat vaak fout, waarbij de AVG wordt aangegrepen om de illegale mailinglijsten alsnog legaal te maken!

 

Toestemmingsmails in strijd met de AVG principes.

Het is zorgelijk dat bedrijven twee wetten (de AVG en de ePV) combineren ten koste van gebruikers. Dat druist regelrecht in tegen de principes van de AVG. Op zich zouden de hernieuwde toestemmingsmails via de AVG nog een goede zaak kunnen zijn als ze het bewustzijn hierover daadwerkelijk vergroten voor degenen die reeds toestemming hebben gegeven. Deze sneeuwen echter onder mede door foute e-mails in verband met illegale mailinglijsten. Mijns inziens ondermijnt dit de privacy, omdat mensen de AVG hierdoor als een ergernis gaan zien. De hierop volgende instemmingsmoeheid zorgt ervoor dat echt belangrijke e-mails die de privacy werkelijk beïnvloeden genegeerd worden. Deze vermoeidheid zal onvermijdelijk leiden tot mechanische klikken op ‘Nee, bedankt’ of het negeren van de e-mails. Dat doe ik, door deze drukte, inmiddels zelf ook. Bovendien lijkt het een goede gelegenheid om snel en automatisch van mailinglijsten af ​​te komen, omdat mensen juist gaan kiezen voor de “opt-out” of niets doen. De relatie die een bedrijf eigenlijk zonder toestemming mocht blijven mailen, raak het dan ook nog eens kwijt.

Dan is het ook nog eens de vraag of bedrijven eenieder die niet reageert op een verzoek om hernieuwde toestemming, hen daadwerkelijk uit de verzendlijsten halen. Aangezien toestemming een positieve actie moet zijn, kan stilzitten niet worden geïnterpreteerd als impliciete toestemming.

 

Correcte email marketing onder de AVG, hoe zit dat nu?

Zoals met gegevensbescherming vaak het geval is het niet zwart of wit. E-mail of direct marketing moet gesplitst worden in twee delen:

1)          de AVG beoordeelt de verwerking van persoonsgegevens om een marketingmail te kunnen verzenden aan de geadresseerde en

2)         de  e-Privacy-richtlijn omvat de regels omtrent het verzenden van de communicatie zelf.

Toestemming voor e-mail marketing is al een vereiste onder de Europese wetgeving inzake e-privacy. De e-privacy verordening maakt dit type marketing mogelijk via een opt-out voor bestaande klanten. Dus als je je afmeldknop hebt geplaatst, is alles goed. De AVG brengt daar geen verandering in!  Onder de AVG moet een bedrijf eerst een wettelijke grondslag hebben om de persoonsgegevens voor het doel van e-mail marketing te mogen gebruiken. Dat betekent voor bestaande klanten dus ‘een gerechtvaardigd belang’ en voor personen die nog geen klant zijn, ‘toestemming vragen’.

Daarbij is het ook zo dat als bedrijven niet zeker weten hoe ze de contactgegevens hebben verzameld, ze mogelijk geen reden meer hebben om met de gebruiker contact op te nemen. Contact opnemen met mensen die zich in het verleden hebben afgemeld voor alle communicatie is sowieso illegaal, omdat deze gegevens geen deel meer mogen maken van een database. Ze worden waarschijnlijk langer bewaard dan strikt noodzakelijk. Het kan overigens ook een argument zijn om de opt-outs te behouden om te voorkomen dat ze terugkomen in de mailinglijst bij het samenvoegen van databases of iets dergelijks. Daar zou dan wel een bewaartermijn voor moeten worden vastgesteld.

Hoe dan ook, het gebruik van opt-outs om opnieuw om toestemming te vragen is in ieder geval not-done. Als een bedrijf persoonlijke gegevens heeft verkregen, moet het nog steeds de juiste en aantoonbare grondslag hebben om überhaupt te mogen mailen onder de AVG.

Als er in het geval van bulkmailadreslijsten, geen AVG grondslag is voor de verwerking, kan toestemming vragen wel de meest simpele oplossing lijken, maar dit is ook een risicovolle. Bedrijven moeten dan immers ook de betrokkenen informeren over hoe het bedrijf de privégegevens in de eerste plaats heeft gekregen.

 

Zorgvuldige acties met de juiste professionele begeleiding.

Bedrijven moeten hoe dan ook hun mailing acties zorgvuldig overwegen om elke mogelijke reputatiecrisis en onnodig verlies van legale geadresseerden te voorkomen. Ook is het raadzaam dat zij zich laten bijstaan door gecertificeerde privacy experts die écht weten hoe van de hoed en de rand. Op dit moment bestaat er maar een Europees erkend privacy keurmerk en dat is die van de CIPP/e (certified information privacy professional) van de IAPP (International Association Privacy Professionals) in Ierland. Zorg dat u zich laat bijstaan door een privacy expert met een IAPP lidmaatschap en het CIPP/e examen met goed gevolg heeft afgelegd. Zo bent u verzekerd van de kwaliteit van het advies, ook over de mailingacties maar ook over andere privacy consultancy vraagstukken zoals omtrent de verwerkersovereenkomsten, de verwerking van bijzondere persoonsgegevens, de juiste privacy administratie en documentatie.

 

Mr. Hella Vercammen CIPP/e (link certificaat https://bit.ly/2seQBtx )
Directeur en jurist The Legal Privacy Company B.V.

 

Persbericht: MKB kennis AVG ‘redelijk voldoende’, maar nu nog doorpakken in de praktijk

Amstelveen, 24 mei 2018 – 9 van de 10 MKB-ondernemers weet dat alleen al het opslaan van persoonsgegevens betekent dat de onderneming persoonsgegevens verwerkt. En dat de AVG (Algemene Verordening Gegevensbescherming) meer omvat dan enkel het beveiligen van persoonsgegevens. Maar in de praktijk gaat het nog vaak mis: slechts 20% van de bedrijven geeft aan dat zij een data-lek protocol hebben. Ook heeft slechts 15% privacy awareness trainingen voor het personeel georganiseerd – dé manier om het personeel te instrueren over de risico’s bij de beveiliging en waarborging van persoonsgegevens.

 

Dat blijkt uit de ‘AVG Zelfkennis en Voorbereidingstest’ die MKB privacy expert TLPC (The Legal Privacy Company) in samenwerking met branche organisaties, waaronder MKB Belangen, Accountancy Vanmorgen, Clean Totaal, Meer Business en lokale MKB partijen zoals de Amstelveens Ondernemersvereniging, in de afgelopen twee weken uitvoerde. MKB-ondernemers deden massaal mee met 2500 deelnemers. In de test werd onderscheid gemaakt tussen kennis en praktijk. Vanaf 25 mei a.s. moeten bedrijven en organisaties kunnen aantonen dat zij aan de AVG voldoen.

 

MKB privacy pilot

Vergelijkbare ervaringen blijken uit een pilot met vier MKB-bedrijven in de afgelopen maanden en een beta-versie van een door TLPC ontwikkeld digitaal privacy portaal dat op 25 mei a.s. live zal gaan.

Gebleken is dat de combinatie van praktische begeleiding door een privacy expert, samen met een digitale tool met de benodigde functionaliteiten om privacy proof te worden en te blijven bij het MKB het beste werkt.

 

Doorpakken in de praktijk

Mr. Hella Vercammen, directeur TLPC en CIPP/E gecertificeerd privacy jurist legt uit: “Ondanks vele berichten dat het MKB bedrijfsleven niet klaar is voor de AVG en de focus op boetes bij het in gebreke zijn, zien wij een positief beeld. Alhoewel men de zaak complex vindt en tegen de uitvoering aanhikt, begrijpt het MKB heel goed dat ze de AVG en de rol van privacy serieus moeten nemen. Wij zien inmiddels dat bij een belangrijk deel van het MKB de kennis én de wil aanwezig is, maar het schort nog bij het doorpakken in de praktijk. Toch kan een MKB ondernemer met enige hulp en een aantal tools, redelijk snel en tegen relatief geringe kosten privacy verantwoord ondernemen. Daarmee worden uiteindelijk boetes en het mislopen van opdrachten voorkomen, maar men kan hieruit ook een USP creëren. Ook kan dit een rol spelen bij de verkoop van een onderneming”.

 

Fonville schoonmaakbedrijven

Marcel Mink van Fonville Schoonmaakbedrijven BV: “Wij waren met dit voor ons belangrijke onderwerp bezig omdat we met 1800 mensen werken en dus veel persoonsgegevens hebben. De combinatie van een privacy masterclass, een nulmeting en een speciaal software tool van TLPC hebben ons daarbij heel goed geholpen. We hebben hierdoor zelf de benodigde documentatie kunnen opstellen en het is met één privacy dashboard veel overzichtelijker geworden. De implementatie en het management van de AVG is daarmee een stuk duidelijker en behapbaar geworden.”

 

‘Lichte onvoldoende’

Uit de AVG test bleek verder dat kennisvragen bij 64% van de deelnemers een voldoende opleverde, maar dat bij praktijkvragen laag werd gescoord (30%). Hier valt uit op te maken dat MKB-ondernemers wel over kennis van de AVG beschikken, maar dat men met de toepassing in de praktijk minder ver is. De gemiddelde score was een ‘lichte onvoldoende’. Bij de kennisvragen bleek dat, naast de eerder genoemde  positieve resultaten, vooral de ‘meldplicht datalekken’ het slechtst scorende onderwerp. Dat is opvallend omdat de meldplicht datalekken al op 1 januari 2016 is ingegaan. Wat in de praktijk beter gaat is het uitvoeren van een data-inventarisatie waarmee inzicht wordt verschaft in welke persoonsgegevens de onderneming verwerkt, op welke wijze en of dat ook rechtmatig is. Ook bleek de instructie over hoe om te gaan met de veiligheid van persoonsgegevens van anderen op de werkplek redelijk op orde te zijn via bijvoorbeeld clean desk policies.

 

Invoering AVG

Vanaf 25 mei 2018 dient het bedrijfsleven, waaronder het MKB,  te voldoen aan de Europese privacy wetgeving via de AVG (Algemene Verordening Gegevensbescherming). Op naleving van de AVG wordt toegezien door toezichthouder Autoriteit Persoonsgegevens (AP). Onder de nieuwe regelgeving heeft de burger altijd het recht te weten wie welke gegevens van hem bewaart en wat daarmee gebeurt. Bedrijven en organisaties mogen alleen nog persoonsgegevens verzamelen, bewaren en verwerken voor een vastgesteld doel en met de juiste wettelijke grondslag. De data zijn niet voor andere zaken te gebruiken en mogen niet langer dan strikt noodzakelijk worden bewaard. Bovendien moeten bedrijven de gegevens goed beschermen.

 

The Legal Privacy Company

The Legal Privacy Company (TLPC) in Amstelveen is een Europees gecertificeerd privacy expert kantoor gericht op het ‘privacy proof’ maken van het Nederlandse MKB. TLPC – en haar team van privacy juristen en consultants – wil met de juiste juridische privacy producten en oplossingen, zoals haar privacy portaal (theprivacyportal.com) ervoor zorgen dat MKB ondernemingen kunnen voldoen aan de complexe privacy wetgeving en privacy verantwoord kunnen ondernemen. Het kantoor is in 2003 opgericht om als juridische afdeling te fungeren voor MKB-ondernemingen (zonder eigen juristen) en dat praktisch en betaalbaar te maken.

Dé belangrijkste AVG misverstanden en prioriteiten op een rij!

Nog maar 13 dagen tot 25 mei 2018 om te zorgen dat uw onderneming of uw organisatie voldoet aan de nieuwe Europese privacyregelgeving (Algemene Verordening Gegevensbescherming). Als u nu nog moet beginnen dan is het belangrijk dat u weet wat uw 4 belangrijkste prioriteiten zijn. In deze blog help ik u daar graag mee op weg. Eerst maar even 5 misverstanden over deze Europese wet uit de weg ruimen.

Misverstand #1

Even een paar standaard documentjes downloaden van internet, knippen en plakken en dan voldoen we aan de wet.”

Onthoud dat de implementatie van de AVG geen eenmalige exercitie is. De privacy huishouding binnen uw bedrijf of organisatie dient op orde te blijven net zoals uw financiële boekhouding. U heeft een wettelijke documentatieplicht om aan te tonen dat dat zo is. Regel dus een inzichtelijk online privacy managementsysteem (www.theprivacyportal.com) dat er blijvend op toeziet dat de bescherming van persoonsgegevens pro-actief wordt gemanaged.

Misverstand #2

Ach, dat gedoe rondom de privacy, dat is gewoon een hype van voorbijgaande aard. Straks kraait er geen haan meer na.

Privacyrechten van voorbijgaande aard? Privacy rechten zullen in deze maatschappij een steeds grotere rol gaan spelen. De exponentiële groei van het verwerken, het delen, het doorgeven, het raadplegen en het verzamelen van persoonsgegevens op grote schaal is namelijk nog lang niet in zicht. We digitaliseren en automatiseren steeds verder en voegen daar ook nog nieuwe technologische  dimensies aan toe die ook weer nieuwe privacy vraagtekens opwerpen. Neem het toenemend gebruik van gedragsvoorspellende technologie met behulp van kunstmatige intelligentie. Neem de opkomst van Blockchain, Bitcoins en andere toepassingen van K.I. De daarvoor verantwoordelijke organisaties en bedrijven zullen daarom in toenemende mate de privacy rechten van hun klanten, werknemers, toeleveranciers, onderaannemers, samenwerkingspartners etc. moeten managen. De kans dat u met deze organisaties in uw bedrijfsketen te maken krijgt is groot.

Misverstand #3. 

De kans dat iemand gaat zeuren over privacy bij mijn organisatie en bovendien mensen delen alles zelf op social media.

Dat mensen alles delen op social media is hun goed recht. Zij mogen vrijelijk beschikken over hun persoonsgegevens maar dat betekent nog niet dat een ander daar misbruik van mag maken. Dit soort activiteiten vallen bovendien niet onder de reikwijdte van de AVG omdat het om huishoudelijke activiteit gaat. Privacy gaat nu juist over gegevens die de mensen niet willen delen maar geheim willen houden. Niemand zet zijn pincode of de stand van zijn bankrekening of spaarrekening op facebook.

Bedenk ook dat niet alleen gaat om de privacy van anderen maar ook om uw eigen recht op bescherming van uw persoonlijke levenssfeer, om geheimhouding van uw persoonlijke informatie, om communicatie. Het betreft ook uw fundamenteel grondrecht, een mensenrecht dat na de tweede wereldoorlog is vastgelegd in internationale (mensenrechten) verdragen en uiteindelijk nu in een rechtstreeks werkende Europese wet.

Misverstand #4

“Als de IT security op orde is in mijn organisatie, is 80% van de AVG al geregeld.”

De naleving van de AVG is niet voornamelijk een kwestie van technische veiligheidsmaatregelen om te zorgen dat de persoonsgegevens gehackt worden. Die maatregelen vormen slechts 20% van de maatregelen die u moet nemen om de AVG na te leven. Datalekken komen met name voor omdat mensen fouten maken. Het gaat dus ook om awareness trainingen. Ook heeft de andere 80% er betrekking op dat u checkt en blijft checken dat u alleen persoonsgegevens verwerkt waarvoor u een wettelijke grondslag heeft. Dat u niet te veel persoonsgegevens uitvraagt, dat u ze ook op een correcte wijze verwerkt zodra u een grondslag heeft. Ook moet u organiseren in uw bedrijf dat de uitoefening van de privacyrechten van uw klanten, werknemers en andere natuurlijke personen niet belemmert maar juist faciliteert. Zodra zij recht op inzage van de door u verwerkte persoonsgegevens vragen, dient u hen zo snel mogelijk doch uiterlijk binnen 1 maand te berichten.

Misverstand #5.

Mijn huisadvocaat regelt dit wel even voor mij, die kent mijn hele organisatie van haver tot gort”.

Het privacyrecht is helaas een zeer complex en gespecialiseerd rechtsgebied waarbij diepgaande juridische kennis en praktijkervaring nodig is om de implementatie van de AVG correct te kunnen adviseren. U kunt zich geen omissies en fouten veroorloven. Daarvoor zijn de zakelijke afbreukrisico’s en de boetes te groot.

Check dus goed of uw advocaat praktijkervaring heeft, vraag referenties op. Vraag ook naar de opleiding die deze heeft genoten op dit gebied. Let erop dat de privacy jurist een Europees gecertificeerde privacy expert is. Indien de privacy jurist de CIPP/E titel gebruikt dan is dat een aanduiding dat de privacy jurist de gehele AVG zeer goed heeft bestudeerd, daar les over heeft gehad en geëxamineerd is door de IAPP, ‘werelds grootste en meest gerenommeerde beroepsorganisatie voor privacy experts.

En dan nu zoals beloofd hierbij de 5 AVG prioriteiten voor als u nog moet beginnen.

  1. Data-inventarisatie: In deze fase wordt gekeken welke persoonsdata in- door en uit uw organisatie stroomt en wat u precies doet aan verwerkingen van deze persoonsdata. Er wordt vastgelegd wat de huidige stand van zaken is rondom de verwerkingen in uw organisatie en door wie wat wordt gedaan. Laat dit altijd door een externe partij doen omdat men door bedrijfsblindheid al snel bepaalde zaken over het hoofd kan zien.
  2. Grondslagen en rechtmatigheidsonderzoek. In deze fase wordt in kaart gebracht of uw organisatie wel de persoonsgegevens in kwestie mág verwerken. En zo ja, wat uw organisatie nog aan maatregelen moet nemen om dit correct en veilig te doen conform de AVG regels en normen.
  3. Uitvoeren van de AVG maatregelen en verbetertaken. In deze fase gaat u de geadviseerde en geformuleerde maatregelen doorvoeren in uw fysieke en digitale werkprocessen en in uw personele organisatie. Zodanig dat u toewerkt naar 100% compliance aan de AVG.
  4. AVG Beheerfase. In deze laatste fase zult u voortdurend moeten monitoren of de maatregelen die u heeft genomen ook daadwerkelijk worden uitgevoerd én nog steeds up to date en toereikend zijn. Maatregelen kunnen dat namelijk niet meer zijn op het moment dat u andere verwerkingen gaat doen of wanneer u gaat werken met nieuwe technologieën of met andere verwerkers. U zal dan nieuwe maatregelen moeten nemen. Ook beschikt u een overzichtelijk management en registratie tooling waardoor het privacy beheer inzichtelijk is bij een controle door de AP. Ook tooling waarmee u de continuïteit van uw privacy beheer kunt garanderen en dit dus niet afhankelijk is een of meer personen die bij u in dienst zijn maar weg kunnen gaan.Via een AVG audit van TLPC en een abonnement op The Privacy portal inclusief de daarbij geleverde account privacyjurist regelt u in één klap alle bovenstaande stappen.

 

Auteur: mr. Hella Vercammen CIPP/E (Certified Information Privacy Professional/Europe)

De AVG: wat verandert er voor u als zorgaanbieder?

Goede kwaliteit van zorg is zorg die aansluit bij de zorgbehoeften van patiënten. Om uw patiënten te leren kennen, dient u toegang tot privacygevoelige informatie van uw patiënten te hebben. Het is goed voor te stellen dat uw patiënten alleen bereid zullen zijn hun gegevens aan u te verstrekken indien zij weten dat hun privacyrechten zullen worden gewaarborgd. Het zichtbaar naleven van de privacyrechten van patiënten bevordert de vertrouwensrelatie met uw patiënten en daarmee de kwaliteit en toegankelijkheid van de zorg die u kunt verlenen. De komst van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 maakt het voor u nog belangrijker om zorgvuldig om te gaan met de privacygevoelige informatie van uw patiënten.

Nieuwe verplichtingen onder de AVG

De gegevens die in de zorg worden gebruikt, zien toe op de gezondheid van patiënten en zijn daarmee van gevoelige aard. Voor de verwerking van gevoelige persoonsgegevens gelden extra strenge eisen. De bestaande privacy-eisen waar zorgaanbieders aan moeten voldoen, zijn vastgelegd in diverse wetten zoals de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Deze bestaande regels worden door de AVG bevestigd en op onderdelen versterkt. Zo gelden onder de AVG nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt. In veel gevallen zult u ook verplicht zijn om een register van verwerkingsactiviteiten bij te houden, een data protection impact assessment (DPIA) uit te voeren en een functionaris voor de gegevensbescherming (FG) aan te stellen.

Daarnaast legt de AVG meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u verwerkingen aan de regels van de AVG voldoen (de verantwoordingsplicht). Indien de AP daarom vraagt, moet u bijvoorbeeld kunnen aantonen dat u verwerkingen aan de belangrijkste beginselen van verwerkingen voldoen: rechtmatigheid, juistheid, transparantie en doelbinding. Ook moet u kunnen laten zien dat u voldoende technische en organisatorische maatregelen hebt getroffen om de persoonsgegevens van uw patiënten te beveiligen.

De verantwoordingsplicht betekent onder meer dat uw organisatie:

  • Persoonsgegevens alleen mag verwerken indien daar een wettelijke grondslag voor is;
  • Persoonsgegevens alleen mag verwerken indien de betrokkene op de hoogte is van de verwerking en hoe dit gebeurt;
  • Niet meer persoonsgegevens mag verwerken dan strikt noodzakelijk is voor het doel van de verwerking;
  • Persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel van de verwerking;
  • Ervoor moet zorgen dat persoonsgegevens juist zijn en maatregelen moet nemen om onjuiste persoonsgegevens te wissen of te rectificeren;
  • De toegang van medewerkers tot persoonsgegevens moet beperken.

Vanaf 25 mei 2018 zal de Autoriteit Persoonsgegevens (AP) actief toezien op de naleving van deze regels uit de AVG en loopt u het risico op forse boetes (tot 20 miljoen euro), reputatieschade en claims van patiënten. Om deze risico’s te minimaliseren, dient u al vóór 25 mei 2018 in beweging te komen en actief bezig te zijn met de implementatie van de AVG in uw organisatie.

Privacy proof

De AVG-implementatie is een kostbaar en tijdrovend proces. Met name voor bedrijven uit het MKB die weinig personeel hebben.

The Legal Privacy Company helpt u om tijdig passende maatregelen te treffen om aan de AVG te voldoen. Dat doen we o.a. door een privacy nulmeting binnen uw organisatie uit te voeren. Van deze nulmeting maken wij een rapportage waarin we benoemen welke onderdelen binnen uw organisatie nog niet privacy proof zijn en u concrete verbeteradviezen geven.

Daarnaast bieden wij u een online portaal aan waarmee u op elk gewenst moment toegang tot alle benodigde informatie omtrent de (nieuwe) privacywetgeving heeft. Zo wordt en blijft u privacy proof richting uw patiënten.

Ook kunnen de juristen van The Legal Privacy Company u helpen indien u specifieke vragen over de implementatie van de AVG binnen uw organisatie heeft.

Wilt u meer weten over The Legal Privacy Company of een offerte voor een nulmeting aanvragen? Bel dan naar 020-3450152 of mail naar info@thelegalprivacycompany.com

 

 

AVG to do list ná de nulmeting: Sluit de juiste verwerkersovereenkomsten

Gemakshalve ga ik ervan uit dat u mijn vorige privacy #1 blog heeft gelezen. U weet dus dat de start van iedere MKB onderneming om AVG privacy proof te worden voor 25 mei 2018 altijd start met een AVG privacy nulmeting. U weet ook wat de AVG inhoudt en waarom het belangrijk is om conform deze Europese privacywet privacy verantwoord te ondernemen. 

Stap 1 in de nulmeting: Wat is onze juridische positie binnen de AVG?

In de nulmeting eindrapportage wordt ten eerste vastgelegd welke juridische rol uw bedrijf inneemt binnen de kaders van de AVG wetgeving om de persoonsgegevens te beschermen. Zodoende kunnen ook de specifieke plichten die bij die rol horen, worden gecheckt en afgevinkt. Is uw bedrijf verantwoordelijke (controller in het Engels) voor de verwerking van de persoonsgegevens of is uw bedrijf slechts de verwerker (processor in het Engels), of is uw bedrijf beiden? Of is uw bedrijfs zelfs de subverwerker (sub processor)?

Voorbeeld #1: Uw organisatie is een cateringbedrijf en u legt de persoonsgegevens van al uw personeel vast in een arbeidsovereenkomst, in het personeelsdossier en in de loonadministratie. Dan bent u de verantwoordelijke. Als u deze persoonsgegevens vervolgens doorgeeft aan een externe salarisadministrateur, dan is dit kantoor “de verwerker.” Stel dit kantoor voert weer die salarisadministratie uit met behulp van een extern gehost (Saas) HRM softwarepakket, dan is die softwareleverancier weer een “subverwerker”.

Het basisprincipe van de verantwoordelijke is: U bent verantwoordelijk voor persoonsgegevens dus zult u zicht moeten hebben op wat er gebeurt met die gegevens.

Ook wanneer die gegevens doorgespeeld worden aan een derde om deze slechts te verwerken. Je hebt als verantwoordelijke zwaardere plichten dan als verwerker. Dat is een reden waarom de AVG de verwerkersovereenkomst verplicht heeft gesteld. Daarin wordt de verdeling van verantwoordelijkheden tussen verantwoordelijke en verwerker verder contractueel uitgewerkt.

Een van de verbetertaken uit de nulmeting: sluit verwerkersovereenkomsten.

Een hele belangrijke verbetertaak die meestal uit de nulmetingen rolt is het sluiten van verwerkersovereenkomsten met partijen waar dat nog niet mee is gedaan. Ook kan het screenen van reeds enige tijd afgesloten verwerkersovereenkomsten een verbetertaak zijn, om te toetsen of deze wel voldoen aan de minimale nieuwe eisen die de AVG eraan stelt. Zowel de (verwerkings)verantwoordelijke als de verwerker hebben de plicht om een verwerkersovereenkomst af te sluiten.

Is er altijd een verwerkersovereenkomst nodig?

Nee niet altijd:

Voorbeeld #2: U bent consultant, adviseur of bijv. een advocaat en u stuurt ten behoeve van een werkgever (uw opdrachtgever, cliënt), een e-mail aan de wederpartij met uw standpunt in een bepaalde arbeidszaak. Bijvoorbeeld omtrent een bepaalde werknemer die u noemt met naam en toenaam. Dat is geen simpele verwerking van persoonsgegevens. Immers de opdracht van uw opdrachtgever is niet gericht op verwerken van persoonsgegevens maar gericht op het afnemen van (juridisch) advies, ten behoeve van het oplossen van een (juridisch) probleem. U als adviseur, advocaat verwerkt die gegevens geheel op eigen verantwoordelijkheid op een manier dat u zelf bepaalt. Daarom bent u verantwoordelijke. Dan is er ook geen verwerkersovereenkomst nodig aangezien uw opdrachtgever ook een verantwoordelijke is.

Voorbeeld #3. Hoe zit het met hoofdaannemer die gegevens opvraagt van personeel in dienst bij onderaannemer om te voldoen aan de WAV, WKA etc. De onderaannemer vergaart die gegevens niet alleen voor de hoofdaannemer maar ook voor zichzelf. Maak daar goede afspraken zodra de gegevens worden doorgestuurd. Hier is dus wederom geen verwerkersovereenkomst nodig tussen hoofdaannemer en onderaannemers omdat zij ieder hun eigen verantwoordelijkheid hebben en dus beiden verantwoordelijke zijn. Doorgeven van gegevens is niet in het kader van gegevensverwerking maar in het kader van de onderaanneming. Denk er trouwens wel aan om in de aannemingsvoorwaarden een meldingsplicht op te leggen aan onderaannemer als er data lekken voorkomen bij hen en vice versa. Dit kan vastgelegd worden in een data-uitwisselingsovereenkomst.

Wat legt u vast in een verwerkersovereenkomst?

In de verwerkersovereenkomst legt u bijvoorbeeld vast waar de persoonsgegevens voor mogen worden verwerkt, met wel doel, welke veiligheidsmaatregelen getroffen moeten worden en waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een privacy proof audit uit te voeren bij de verwerker en of de verwerker subverwerkers mag inschakelen voor de verwerking. In principe mag u deze overeenkomst niet in de algemene voorwaarden verstoppen maar in een afzonderlijk document. Echter dat is niet dwingend opgelegd. Er gaan kritisch geluiden van experts dat het gewoon verwerkt moet kunnen worden in bestaande documenten dus ook in de algemene voorwaarden. Verstandig om daar kritisch naar te kijken per type relatie en de gegeven omstandigheden van het geval.

Onderhandelen over een verwerkersovereenkomst.

Degene die het eerste met een eigen versie komt, heeft meestal het onderhandelingsvoordeel. U bent dan penvoerder en aanpassingen gedaan krijgen in het document van een ander is altijd lastiger. In onze MKB privacy Portal kunt u op maat zulke verwerkersovereenkomst in een handomdraai maken. Uiteraard kan het zijn dat grote partijen, corporates alsnog met hun eigen versie komen en u niet in de onderhandelingspositie bent om met uw eigen versie te komen. Alsnog is het dan raadzaam om die kritisch te screenen en niet zomaar alles te accepteren wat daar in staat. Dat kan enorme consequenties hebben. Juist als het om grote wederpartijen gaat die diepe zakken hebben om te procederen. Bij een datalek zullen deze genoeg geld en tijd hebben om via de rechter een schadeclaim neer te leggen bij uw organisatie op grond van de verwerkersovereenkomst. U staat dan 2-0 achter als u niet uw aansprakelijkheid heeft beperkt in de verwerkersovereenkomst.

Cyberrisk verzekering.

Een cyberrisk verzekering kan dan trouwens wel nog een vangnet vormen als u die beperking van aansprakelijkheid niet gedaan krijgt. Ook dekt het de kosten van uw rechtsbijstand. Laat u daar goed over adviseren.

Heeft u vragen over dit onderwerp, of interesse in de diensten van TLPC, zoals de AVG nulmeting, de MKB privacy portal of andere privacy consultancy diensten, bel of mail ons dan op 020-3450152 of info@thelegalprivacycompany.com Surf vooral ook naar www.thelegalprivacycompany.com