De Algemene Verordening Gegevensbescherming

We kennen de Wet Bescherming Persoonsgegevens (Wbp) al een tijdje. Nu komt daar uit Europa de Algemene Verordening Gegevensbescherming (AVG) bij. Deze verordening treedt op 25 mei 2018 in werking. Bent u er klaar voor?

Een ding is direct duidelijk: de Europese verordening gaat verder dan de Wbp. En niet voldoen aan deze Verordening wordt zwaarder gestraft dan overtreding van de Wbp. Niet verrassend dus dat organisaties zich afvragen of ze hun interne compliance moeten verscherpen. Waar men dat misschien ten tijde van de Wbp nog niet uitvoerig deed, vragen organisaties zich nu af of zich wel voldoen aan de nieuwere regelgeving.

Wat zijn persoonsgegevens en wat zijn bijzondere persoonsgegevens?

De eerste vraag is natuurlijk: over wat voor gegevens hebben we het? Wat verstaat de wetgever onder persoonsgegevens en wat zijn bijzondere persoonsgegevens? Dit zegt de Autoriteit Persoonsgegevens er over:

De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. (...) Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd. 

Bron: Autoriteit Persoonsgegevens.

Het woord "identificeerbaar" is een belangrijk concept in deze zin. Het gaat er dus om dat we op basis van een of meer stukken informatie kunnen herleiden op welke (natuurlijke) persoon dit betrekking heeft. Soms is daarvoor een combinatie van een aantal gegevens noodzakelijk, in andere gevallen volstaat een enkel gegeven (zoals een burgerservicenummer, dat een bijzonder persoonsgegeven is).

De AVG is altijd van toepassing op de geautomatiseerde verwerking van persoonsgegevens (voor zover dit zich in een vestiging van de verwerkingsverantwoordelijke in de EU voordoet). Dit betekent dat, zodra u in uw website bijvoorbeeld door middel van een formulier gegevens van uw bezoekers verzamelt, u te maken krijgt met de AVG.

Persoonsgegevens en uw website

Vermoedt u dat uw website, portaal of webwinkel geraakt wordt door de AVG? Die kans is zeker aanwezig. Concrete vragen om uzelf te stellen:

  • Welke formulieren staan er op mijn platform, waarmee ik gegevens van bezoekers opvraag? Vraag ik in deze formulieren naar (bijzondere) persoonsgegevens? 
  • Als het persoonsgegevens betreft, is er dan een doelbinding aanwezig? Zo niet, dan mag ik deze gegevens niet opvragen.
  • Moet ik toestemming vragen aan de gebruiker om deze gegevens te gebruiken of bewaren? Heb ik een privacy statement?
  • Waar sla ik deze gegevens op, en hoelang bewaar ik ze? Hoe zijn ze beveiligd?
  • Kan een gebruiker zijn eigen gegevens opvragen?
  • Kan een gebruiker vragen deze gegevens te vernietigen?
  • Weet ik wat ik moet doen wanneer ik een datalek vermoed?

Doelbinding

Een belangrijk begrip in de context van persoonsgegevens is het woord "doelbinding". Volgens de NORA (Nederlandse Overheid Referentie Architectuur) is doelbinding:

Het principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.

Bron: www.noraonine.nl.

Te vaak constateren we, vooral bij overheidsorganisaties, dat men meer gegevens opvraagt of verzamelt dan strikt noodzakelijk voor de uitvoering van een betreffende taak of het voltooien van een zaak. Een kritische blik op de webformulieren van uw organisatie leidt misschien al tot verbeterpunten.

Rechten betrokkenen

Een vraag, die weinig platformbeheerders zich stellen, is: welke rechten hebben mijn gebruikers als het gaat om hun eigen informatie. Zo heeft de klant of gebruiker recht op inzage van zijn gegevens. Maar ook om gegevens te rectificeren of om zich te laten verwijderen ("vergeten te worden") uit het systeem.

Enquetes

Recent spraken we in een overheidsorganisatie met een aantal functionarissen over persoonsgegevens. Een van hen refereerde aan een jaarlijkse, anonieme medewerkersenquete, waarin wel wordt gevraagd naar de afdeling, het aantal dienstjaren en de hoogst genoten opleiding. Hoezo anoniem? Deze vragen leiden samen naar een "identificeerbare natuurlijke persoon". En daarmee bevat de enquete dus persoonsgegevens. 

Datalekken melden

Een belangrijk aspect van de AVG is dat zelfs al het vermoeden van een datalek moet worden gemeld, en wel binnen 72 uur. Hieraan geen gehoor geven kan tot hoge boetes leiden. Om deze reden besteden veel organisaties steeds meer aandacht aan de bescherming van persoonsgegevens en stellen daar in sommige gevallen een functionaris gegevensbescherming (FG; soms wordt de titel Data Protection Officer, DPO, gehanteerd) voor aan.

Persoonsgegevens quickscan

Door middel van een quickscan helpt CM Pro organisaties om vast te stellen of ze aanvullende maatregelen moeten nemen om de bescherming van persoonsgegevens (van hun klanten, burgers, medewerkers) te verbeteren. Meer weten? Neem contact op met Johan Blok (bel 06-51236065, of mail naar jwblok@cmprofessionals.eu). 

De Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens is de Nederlandse "behartiger" van persoonsgegevens. Zij bieden veel aanvullende informatie over de Wbp en de AVG.  Lees bijvoorbeeld "In 10 stappen voorbereid op de AVG".