Blog

AVG kun je dat etenAVG, kun je dat eten?

Wel als deze letters voor de afkorting Aardappels Vlees & Groente zouden staan. Maar de AVG kent nog een andere afkorting: Algemene Verordening Gegevensverwerking. Deze Europese wet wordt op 25 mei a.s. van kracht en is de nieuwe Europese wetgeving op het gebied van gegevensverwerking en vervangt hiermee de Wbp (Wet bescherming persoonsgegevens).

The clock is ticking…ready or not!

Veel (grote) bedrijven zijn zich bewust maar nog niet actief mee (conscious incompetent). En dat terwijl het in 2016 al kenbaar werd gemaakt dat deze wetgeving eraan kwam. Echter, door slechte communicatie vanuit de Europese Unie, het ‘ver van mijn bed-show’ mentaliteit van een aantal ondernemers en andere excuses zijn een heleboel organisaties niet of niet goed voorbereid. Maar het klokje tikt gewoon door. De wet gaat op 25 mei gewoon in, ongeacht of je er klaar voor bent!

Voor wie geldt deze wet?

Het antwoord is simpel gezegd: Elk profit en non-profit organisatie; ZZP’er, ondernemer, instituut (bijvoorbeeld een kerk) en vereniging (bijvoorbeeld de bridgeclub) die persoonsgegevens verwerkt heeft te voldoen aan deze wetgeving.

Wat zijn persoonsgegevens?

Om te weten of je met persoonsgegevens te maken hebt is het belangrijk dat we eerst vaststellen wat onder persoonsgegevens vallen. Er valt namelijk meer onder dan je denkt!
Naast de voor de hand liggende NAWTE-gegevens moet je ook denken aan de zogenoemde ‘bijzondere persoonsgegevens’ zoals o.a. :

  • BSN-nummers
  • ras
  • godsdienst
  • lidmaatschap vakvereniging
  • politieke gezindheid 
  • gezondheid
  • levensovertuiging
  • seksuele geaardheid
  • strafrechtelijk verleden
  • biometrische data (DNA, vingerafdruk, virusscan, etc.)
  • And last but not least, óók IP-adressen vallen hieronder! Google Analytics en andere tools die website statistieken bijhouden, verzamelen persoonsgegevens. Hier gaan wij in een andere blog dieper op in.

Is deze wet op jou van toepassing?

Zie hieronder het stroomschema die de Autoriteit persoonsgegevens hanteert:

bron: AP

 

Mag ik met persoonsgegevens dan wel werken?

Je mag natuurlijk werken met zowel bijzondere- als gewone persoonsgegevens. Maar de rechten van de betrokkene (lees: degene van wie je data verzameld, bijvoorbeeld een bezoeker van je website, of een klant die een dienst bij jou afneemt) en de plichten van jou als verwerker van deze gegevens zijn strenger en de sancties zijn hoger.

Impact verkleinen bij een datalek

Je mág dus met persoonsgegevens werken, waar je toestemming voor hebt gekregen (!) maar je moet dit op een dusdanig zorgvuldige en veilige manier doen dat de impact voor de betrokkene bij een eventuele datalek zeer laag tot nul is.

Ketenverantwoordelijkheid- en aansprakelijkheid

Soms werk je met andere partijen, bijvoorbeeld een salarisadministratiekantoor, om de gegevens die aan jou mét toestemming zijn verstrekt, te verwerken. Stel dat er bij het salarisadministratiekantoor een datalek plaatsvindt met jouw aangeboden gegevens, blijf jij in de ogen van de Autoriteit Persoonsgegevens hoofdelijk verantwoordelijk. Dat heet ketenverantwoordelijkheid. Deze is niet overdraagbaar. Jij moet dus zélf ervoor zorgdragen dat je goede afspraken hebt gemaakt met deze partij en dat zij zorgvuldig omgaan met de persoonsgegevens. Dit leg je vast in een verwerkersovereenkomst. De Autoriteit Persoonsgegevens kijkt bij een onderzoek van een melding van een datalek naar je hele keten.

Samenwerken met iemand die géén verwerkersovereenkomst wil tekenen?

In de ogen van de Autoriteit Persoonsgegevens blijf je altijd hoofdelijk verantwoordelijk én aansprakelijk voor de persoonsgegevens die met toestemming aan jou zijn gegeven. Ondanks of jij deze met een derde partij deelt, zoals in het voorbeeld hieronder. Je kunt die verantwoordelijkheid niet overdragen. Het is daarom van essentieel belang dat er een goede verwerkersovereenkomst tussen partijen (bestaande partijen alsnog, en in de toekomst met nieuwe partijen) overeen wordt gekomen. Doe je dit niet, dan loop je een enorm hoog risico op een zeer hoge boete. De boetes liegen er niet om. Maximaal 20 miljoen of 4% van de omzet; het hoogste geldt.

Next Steps:

Wat nu, vraag je je misschien af. Je hebt een aantal vervolgstappen die je kunt ondernemen:

  • Kijk op de website van de Autoriteit Persoonsgegvens
  • Neem contact op en plan een adviesgesprek.