Wat is de AVG
FAQ’s AVG
Sinds wanneer bestaat de AVG?
Sinds 25 mei 2018 is de AVG van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt sindsdien niet meer.
Wat zijn persoonsgegevens?
Alle informatie over een geïdentificeerde of identificeerbare persoon (gegevens die terug zijn te leiden naar een persoon) is een persoonsgegeven. Hierbij maakt het niet uit of je de naam of contactgegevens van een persoon hebt. Zo is een kenteken van een auto bijvoorbeeld een persoonsgegeven, maar ook een IP adres, social media ID of foto.
Wat verandert er door de AVG ten opzichte van de Wbp (Wet bescherming persoonsgegevens)?
De AVG zorgt onder meer voor:
- versterking en uitbreiding van privacy rechten;
- meer verantwoordelijkheden voor organisaties;
- dezelfde, stevige bevoegdheden voor alle Europese privacy toezichthouders
Wat is de Autoriteit Persoonsgegevens?
De Autoriteit Persoonsgegevens (AP) is het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op het verwerken van persoonsgegevens. De organisatie houdt zich dus bezig met privacy. De AP heeft als wettelijke taak te beoordelen of personen, organisaties en de overheid de Wet bescherming persoonsgegevens naleven.
Wat kan de Autoriteit Persoonsgegevens eisen?
De AP kan inzage eisen in het register van gegevensverwerking en aantoonbaarheid dat er in overeenstemming met de AVG wordt gehandeld. Zij kan verwerkingen verbieden of beperken, inbreuk persoonsgegevens meedelen en het verplichten tot rectificeren/ wissen van persoonsgegevens. Bovendien kan zij gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie opschorten. Tot slot kan zij boetes opleggen.
Is AVG van toepassing op mijn organisatie?
De AVG is van toepassing als jouw organisatie persoonsgegevens verwerkt. Met ‘persoonsgegevens’ bedoelen we data die gekoppeld kan worden aan privé-gegevens. Voorbeelden zijn namen, e-mailadressen, maar ook data als IP-adressen en social media.
Wat moet mijn organisatie doen voor de AVG?
Organisaties moeten:
- alle verwerkingsactiviteiten met persoonsgegevens registreren en datalekken registreren.
- een gegevensbeschermingseffectboordeling (Data protection impact assessment; DPIA) uitvoeren bij nieuwe verwerkingsactiviteiten met een hoog privacy risico.
- Voldoen aan passende waarborgen bij internationaal dataverkeer.
- Gegevensbescherming doorvoeren via ontwerp en standaardinstellingen van (web)applicaties (privacy by design & default).
- Zorgen voor een passende beveiliging en opslagbeperking (dataminimalisatie).
- Verantwoordelijkheid dragen voor afdoende garanties voor beveiliging en voor verwerkingsactiviteiten bij verwerkers.
- Persoonsgegevens rechtmatig en behoorlijk verzamelen en indien nodig zorgen voor een eenduidige toestemming over het doel van de gegevensverwerking. Het doel moet vooraf bepaald zijn, transparant en goed zijn omschreven.
- een FG/ DPO aanwijzen wanneer er op grote schaal, of bijzondere persoonsgegevens worden verwerkt.
- Toestemming krijgen van ouders voor verwerking van persoonsgegevens van kinderen onder de 16 jaar.
- De AP Raadplegen voorafgaande aan (privacy gevoelige) verwerkingen.
- Zorgen voor bewustwording over privacy onder personeel.
- Een datalek melden bij de AP en zo nodig de betrokkene informeren.
- Aantoonbaar compliant zijn voor de wet.
Wat is een DPIA? (nu nog Privacy Impact Assessment (PIA)
De Data protection impact assessment (DPIA) is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. In de Nederlandse vertaling van de AVG wordt de term ‘data protection impact assessment’ (DPIA) gegevensbeschermingseffectbeoordeling genoemd.
Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:
- systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
- op grote schaal bijzondere persoonsgegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
De AP adviseert om vrijwillig een (D)PIA te doen. Dit komt niet alleen de gegevensbescherming ten goede, maar ook voor de organisatie zelf levert een (D)PIA voordelen op.
Wat is een verwerker?
De verwerker is een zelfstandige partij die toegang heeft tot de persoonsgegevens van de verwerkingsverantwoordelijke en/ of in opdracht van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt. Dit kan het geval zijn wanneer er persoonsgegevens worden bewaard of opgevraagd, maar ook als er bijvoorbeeld persoonsgegevens worden verzameld of gewijzigd. Hierbij valt te denken aan hosting partijen, telemarketingbedrijven, aanbieders van webportalen of elektronische dossiers en administratiekantoren.
Onder de AVG dient er te allen tijde een verwerkersovereenkomst te worden afgesloten. De verantwoordelijkheid hiervoor rust bij zowel de verwerker als de verwerkingsverantwoordelijke.
Wat is een verwerkersverantwoordelijke?
De verwerkersverantwoordelijke geeft instructies over de verwerking van persoonsgegevens. De verantwoordelijke bepaalt welke verwerking er plaats vindt, hoe die verwerking plaatsvindt en voor welk doel de gegevens worden verwerkt.
Wat is de grondslag voor de verwerking van persoonsgegevens?
Om persoonsgegevens te mogen verwerken, heb je een grondslag nodig. Met andere woorden moet er een reden zijn waarom je persoonsgegevens opslaat en/ of gebruikt. De AVG noemt een 6-tal grondslagen:
- Toestemming van de betrokken persoon. De toestemming moet een duidelijke actieve handeling zijn en de verantwoordelijke moet volledig transparant zijn over het doel van de verwerking. De toestemming moet aanwijsbaar en gedocumenteerd te zijn.
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. Denk hierbij bijvoorbeeld aan het vastleggen van account- of factuurgegevens t.b.v. een online bestelling. Alleen de data die daadwerkelijk noodzakelijk is voor de uitvoering van de overeenkomst mag worden vastgelegd.
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting, zoals de wettelijke bewaartermijn van personeelsdossiers.
- De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
- Het gerechtvaardigd belang dient wel op te wegen tegen het privacybelang van de betrokkene (privacytoets).
Wat is een DPO en wanneer heb ik deze functionaris nodig?
Een DPO of Data Protection Officer, ook wel een Functionaris voor de Gegevensbescherming (FG) of privacyfunctionaris genoemd, is een data expert die voortdurend toezicht houdt op de naleving en implementatie van AVG binnen een organisatie en is hier ook intern en extern het aanspreekpunt voor.
Er zijn 3 gevallen waarin een organisatie verplicht is een DPO aan te stellen:
- Als je organisatie een overheidsinstantie of overheidsorgaan is;
- Als je organisatie op grote schaal mensen regelmatig of stelselmatig monitort door het verwerken van data. In ieder geval wanneer er sprake is van elke vorm van tracking en profilering op internet of offline. Dus ook behavioural advertising, of e-mail retargetting vallen hieronder;
- Als je organisatie persoonsgegevens verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, of gegevens over strafrechtelijke veroordelingen en strafbare feiten. Voor het mogen verwerken van al deze gegevens gelden overigens bijzondere aanvullende regels.
Wanneer is er sprake van een datalek?
Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet je denken aan het kwijtraken van een USB – stick, de diefstal van een laptop of een inbraak door een hacker. Maar niet ieder beveiligingsincident is een datalek.
Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als je onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten.
Wat is meldplicht datalekken?
Wat zijn de gevolgen als mijn organisatie op 25 mei 2018 niet AVG-proof is?
Ben je op 25 mei 2018 nog niet op orde volgens de AVG en wordt je aangeklaagd door een gebruiker, dan geldt het nieuwe boeteregime: €20 miljoen of 4% van de wereldwijde jaaromzet. Er zijn grofweg drie categorieën overtredingen te onderscheiden:
- Schending van processuele/procedurele verplichtingen; bijvoorbeeld het niet melden van een datalek. Overtreding van deze verplichtingen kan leiden tot een boete tot €10 miljoen of 2% van de wereldwijde jaaromzet in het voorgaande boekjaar.
- Schending van de materiële verplichtingen; denk hierbij aan de verplichting voor een zorgvuldige gegevensverwerking of de informatieplicht.
- Het niet opvolgen van een bevel van de AP.
Overtreding van de verplichtingen uit de tweede en derde categorie kan leiden tot een boete tot €20 miljoen of 4% van de wereldwijde jaaromzet in het voorgaande boekjaar. Bij de vaststelling van de hoogte van de boete wordt er onder andere gekeken naar de aard, ernst en duur van de overtreding, of de verwerkingsverantwoordelijke al eerder een overtreding begaan heeft en welke categorieën persoonsgegevens het betreft.
Heb ik na invoering van de AVG nog te maken met Autoriteit Persoonsgegevens (AP)?
Is er een bepaalde termijn vastgesteld hoe lang ik data mag bewaren?
Moet ik klanten en prospects informeren over de gegevens die ik verzamel?
Welke gegevens mag ik wel, en welke gegevens mag ik niet verzamelen?
Wanneer ben ik bezig met “het verwerken van persoonsgegevens”?
Vallen B2B gegevens ook onder de AVG?
Ook B2B-gegevens vallen onder de AVG. Zo kan een werkmailadres een persoonsgegeven zijn. Het aantal klachten hierover bij de AP is wel lager omdat een werkmailadres minder invloed heeft op iemands persoonlijke leven dan bijvoorbeeld een privé 06-nummer. De privacywetgeving blijft echter wel van toepassing als het persoonsgegevens betreft.
Let op: Onder de AVG kan bepaalde informatie, zoals een algemeen e-mail adres of een telefoonnummer, van een rechtspersoon worden beschouwd als een persoonsgegeven. Dit is bijvoorbeeld het geval wanneer de naam van de rechtspersoon een afgeleide is van die van een natuurlijke persoon, of doordat informatie over een ZZP-er of personenvennootschap iets zegt over de eigenaar.
Indien de vastgelegde data ten aanzien van de inhoud, het doel, of het resultaat van de entiteit zijn terug te leiden naar een natuurlijk persoon, moeten deze als persoonsgegevens worden beschouwd en daardoor is de Wet bescherming persoonsgegevens en vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming van toepassing.
Mag ik marketingmails blijven sturen als de AVG van kracht is?
Wat betekent de AVG voor telemarketing, e-mail en social advertising?
Welke rechten hebben betrokkenen onder de AVG?
- Het recht op dataportabiliteit. Het recht om persoonsgegevens over te dragen naar een andere organisatie.
- Het recht op vergetelheid. Het recht om ‘vergeten’ te worden. Dit betekent dat je de persoonlijke gegevens van die klant dient te verwijderen uit je database. Wanneer je als verwerker de gegevens hebt doorgegeven aan andere partijen, is het jouw verantwoordelijkheid om ervoor te zorgen dat ook bij hen de gegevens worden verwijderd.
- Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die je van hen verwerkt, in te zien
- Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die je verwerkt te wijzigen.
- Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
- Het recht om bezwaar te maken tegen volledige geautomatiseerde individuele besluitvorming, waaronder profilering.
- Het recht om bezwaar te maken tegen de gegevensverwerking of de toestemming voor verwerking in te trekken.
Wat is documentatieplicht?
- Iedere organisatie, dus zowel verantwoordelijken als bewerkers, moet op verzoek van de Autoriteit Persoonsgegevens documenten kunnen tonen waaruit blijkt dat zij voldoet aan de privacy regelgeving. Organisaties moeten dus een privacy-administratie bij gaan houden om de AP op elk moment te kunnen voorzien van informatie over hoe hun organisatie de verwerking van persoonsgegevens heeft geregeld en de veiligheid daarvan heeft geborgd. In het geval je dat niet kunt, riskeer je een aanzienlijke boete.
Hoe kan ik me voorbereiden op AVG?
- De Privacy Deep Scan zorgt voor een correcte en direct uitvoerbare privacy implementatie. De PDS laat zien in hoeverre jouw organisatie werkt in overeenstemming met de geldende wet- en regelgeving rondom de AVG. De PDS geeft richting aan de privacy implementatie met handvatten die direct toepasbaar zijn.
Wat kan ik zelf doen om mijn organisatie AVG-proof te maken?
-
- Screen je bestaande database met persoonsgegevens en identificeer de personen die je geen expliciete toestemming hebben gegeven.
- Stel een plan van aanpak op om hen alsnog om toestemming te vragen.
- Maak een overzicht van de manier waarop jij persoonsgegevens verzameld en analyseer de mogelijke fouten daarin.
- Zorg voor een duidelijke privacy policy op je website.
- Zorg er voor dat je op een juiste manier informeert over het gebruik van cookies op je website. Maak dus een goede cookie disclamer.
- Geef in je Algemene Voorwaarden of in een bijlage daarvan duidelijk aan hoe jij omgaat met de AVG en de regels en afspraken daaromtrent.
- Schaf een SSL certificaat aan.