Veelgestelde vragen

Organisatie

 

1.     Hoe kom ik er achter of ik met de nieuwe privacywetgeving aan de slag moet en wat ik dan moet aanpassen?

Op zich kan iedere organisatie of onderneming ervan uit gaan dat zij persoonsgegevens verwerken. Iedereen  heeft tenslotte wel namen, telefoonnummers en/of andere contactgegevens in zijn smartphone of in zijn computer opgeslagen. Daar naast heb je als ondernemer de vertrouwelijke persoonsgegevens van je medewerkers opgeslagen ten behoeve van de personeelsadministratie en je bent vast niet de enige die daar toegang toe heeft. Veel organisaties besteden de administratie bijvoorbeeld uit aan een extern loonbedrijf. Kortom, iedere organisatie doet in principe in meer of mindere mate aan het verwerken van persoonsgegevens en dus is de AVG op hen van toepassing en moet je jouw organisatie vanaf mei in lijn brengen met de regels die daar in staan. Met onze privacytool kun je direct zien met welke onderdelen uit de AVG jouw organisatie te maken krijgt.

 

2.    Wie van mijn medewerkers worden in mijn organisatie geraakt door de nieuwe regels?

Dat verschilt per organisatie. Het ligt er bijvoorbeeld aan de hoeveelheid mensen binnen jouw organisatie en de manier waarop je organisatie is ingedeeld. Zo zal een secretariaat toegang hebben tot meer persoonsgegevens dan mensen die in de productie werken. Het is dus van belang om binnen je hele organisatie de medewerkers bewust te maken van de privacyregels.

 

3.    Moet ik een Data Privacy Officer (DPO)/Functionaris Gegevensbescherming (FG) aanstellen?

Sommige organisaties zijn verplicht om een DPO, in het Nederlands een FG, aan te stellen. Dit hangt af van zowel het soort als van de hoeveelheid gegevens die jouw organisatie verwerkt. Hoe meer gegevens je verwerkt en hoe gevoeliger die gegevens zijn, hoe meer het in jouw organisatie om verwerking van persoonsgegevens draait of hoe groter je organisatie, des te groter ook de kans dat je verplicht bent een om FG aan te stellen.

 

4.    Moet ik elke keer als ik persoonsgegevens opvraag voor een nieuwe marketingactie een nieuwe Privacy impact Assessment uitvoeren (PIA)?

Dat hangt af van de marketingactie of welke persoonsgegevens u opvraagt of opslaat. Het beste beoordeel je dit als verantwoordelijke – dat ben je als je kan bepalen en beslissen hoe er met persoonsgegevens wordt omgegaan – door te bekijken of de campagne gepaard gaat met min of meer dezelfde soort gegevens wordt verzameld of verwerkt als dat u al deed. Maar wijkt dit af en gaat u andere soort persoonsgegevens of een grotere hoeveelheid persoonsgegevens verzamelen of verwerken en dit waarschijnlijk een hoog privacyrisico met zich mee brengt, dat doet u er verstandig aan om een Privacy Impact Assessment (PIA) uit te voeren. Dit hoge risico kan bijvoorbeeld ontstaan als je een nieuwe technologie gaat gebruiken, als je gevoelige gegevens verwerkt of omdat de context waarin je de gegevens verwerkt voor individuen een grote impact heeft. Met een PIA maak je een risico-inschatting van de verwerking om uiteindelijk te bekijken of je dat risico kan verkleinen.

 

5.    Het lijkt erop dat de AVG alleen maar extra lasten en kosten met zich mee brengt. Heeft de AVG ook nog positieve kanten voor mij als ondernemer?

De AVG heeft voor vrijwel iedereen gevolgen en helaas gaat de nieuwe wetgeving waarschijnlijk ook gepaard met extra kosten. Toch biedt de AVG ook kansen voor ondernemers. Hieronder sommen we een aantal op.

  • Je kunt je -zeker in het begin- onderscheiden van je concurrenten.
  • De zorgvuldigheid met betrekking tot de persoonsgegevens kan leiden tot meer klantenbinding.
  • Doordat je meer inzicht hebt in je gegevensstromen, kan het proces wellicht efficiënter ingericht worden.
  • Door bij de aanschaf en implementatie in nieuwe automatiseringssystemen in je organisatie al rekening te houden met de privacyregels voorkom je kostbare tijd en aanpassingen achteraf wanneer je alsnog die systemen in overeenstemming moet brengen met de privacyregels.
  • Minder kans op datalekken en mogelijke reputatieschade;
  • Wanneer je als ondernemer er op tijd mee begint voorkom je dat je bij controle door de Autoriteit Persoonsgegevens verrast wordt voor onverwachte tijdsinvestering en kosten om je privacy voor je bedrijf op orde te krijgen. Bij tijdig op eigen initiatie beginnen kan je tijd en geld vrijmaken of reserveren en blijf je zelf in controle.
  • Wanneer je op tijd met het implementeren van de nieuwe privacyregels begint en dit goed doet, kan je zeker profiteren van de positieve elementen. En ook naar de toekomst toe zal je dan beter in staat zijn om nieuwe gegevens en datastromen efficiënter te beheren en in te zetten en kansen daarbij te benutten.

Persoonsgegevens

 

 

6.    Wat zijn persoonsgegevens?

Dit is natuurlijk dé hamvraag waar het allemaal. De AVG geeft als definitie van persoonsgegevens als: "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon". Uit de rechtspraak weten we dat naw-gegevens, emailadressen, telefoonnummers, ip-adressen, locatiegegevens en smartphone-identifiers persoonsgegevens (kunnen) zijn. Maar ook een klantprofiel, aankoopgeschiedenis, geschiedenis van het bezoeken van websites, de duur van het websitebezoek of klikgedrag dat aan een persoonsgegeven is gekoppeld, is dan dus ook een persoonsgegeven. Het definitie is immers "alle informatie over...". Dit is belangrijk om te weten, want het kan je als organisatie een stuk minder werk opleveren, wanneer je niet al die afgeleide gegevens aan een persoon(sgegeven) koppelt.
Ook als je persoonsgegevens pseudonimiseert - bijvoorbeeld door hashing of encryptie - is er nog sprake van persoonsgegevens. Pas wanneer je alle identificerende factoren uit het gegeven haalt en het niet meer mogelijk is dit terug te herleiden naar een persoonsgegeven, zijn de gegevens anoniem en is niet langer sprake meer van een persoonsgegeven.
Toch zal in de praktijk het niet altijd even eenvoudig zijn om te beoordelen of bepaalde gegevens nu persoonsgegevens zijn of niet. Dit zal met verloop van tijd in de rechtspraak wel verder uitkristalliseren of komen er mogelijk richtlijnen voor. Gegevens van rechtspersonen en overleden personen worden overigens niet beschouwd als persoonsgegevens.

 

7.    Wat wordt verstaan onder het verwerken van persoonsgegevens?

Verwerken van persoonsgegevens doe je al snel. Zelfs het opslaan of iemand toegang of inzage geven in persoonsgegevens is al verwerken. Maar ook het gebruiken, analyseren, combineren of zelfs verwijderen is verwerken van gegevens. Je kunt er dus eigenlijk gewoon vanuit gaan dat zodra je in aanraking komt met (digitale) persoonsgegevens je al aan het verwerken bent. Denk daarom niet te snel dat jij niet aan het verwerken van persoonsgegevens bent; eigenlijk doen we het allemaal en kan je als ondernemer ook geen onderneming voeren zonder persoonsgegevens te verwerken.

 

8.    Vallen b2b-gegevens ook onder de AVG?

Dit is een veelvoorkomend misverstand. Zeker kunnen ook b2b-gegevens persoonsgegevens zijn. Denk maar aan werkmailadres of een telefoonnummers mobiel in je contactenlijst kan een persoonsgegeven zijn. Ook dat zul je voor je organisatie dus moeten beoordelen en het liefst ook vastleggen. In de regel zal het overigens niet zo snel tot klachten bij de Autoriteit Persoonsgegevens leiden, omdat men doorgaans minder aan privacy hecht in het zakelijke verkeer onderling wanneer er zakelijke emailadressen worden uitgewisseld of een telefoonnummer van de zakelijke mobiel. Maar het is desalniettemin goed om je te realiseren dat dit dus best persoonsgegevens kunnen opleveren die onder de AVG dus beschermd zijn.
Samenwerkingen met derde partijen

 

9.    Moet ik altijd een verwerkersovereenkomst afsluiten?

Wanneer je voor het verwerken van persoonsgegevens een derde partij inschakelt, dus ook wanneer je enkel die gegevens laat opslaan bij een bijvoorbeeld een cloudprovider,  maar ook wanneer je zelf persoonsgegevens verwerkt voor een ander, moet je inderdaad een verwerkersovereenkomst met die ander opstellen. Nu was dit onder de oude wet, de Wet bescherming persoonsgegevens (Wbp) ook als zo, maar de AVG geeft een vaste lijst met onderwerpen die je in de verwerkersovereenkomst in elk geval moet opnemen. Bijvoorbeeld afspraken over de doeleinden van de verwerking, de manier van beveiliging van gegevens, de hulp bij het uitvoeren van rechten van individuen en de manier waarop je omgaat met persoonsgegevens buiten de EU.
Ook moet je als verwerker toestemming vragen voor het inschakelen van (een categorie) sub-verwerkers en moet je als verwerker met die sub-verwerker(s) ook weer een verwerkersovereenkomst sluiten. Een behoorlijke papierwinkel dus, die je ook nog eens van tijd tot tijd zult willen checken of deze nog actueel is, bijvoorbeeld omdat er nieuwe (persoons)gegevens worden verwerkt.

Rechten van consumenten

 

10.    Wat houdt het recht op dataportabiliteit precies in?

Onder de AVG krijgen individuen meer controle over hun persoonsgegevens. Het nieuwe recht op dataportabiliteit is daar een voorbeeld van en staat ook wel bekend als gegevensoverdraagbaarheid ('data portability'). Mensen kunnen een deel van hun persoonsgegevens overdragen van de ene aanbieder aan de andere.
Wanneer een persoon bijvoorbeeld wil wisselen van boekhouder, bank, (zorg)verzekeraar, garagebedrijf voor onderhoud of energieaanbieder, dan ben je op verzoek van die persoon verplicht om diens persoonsgegevens aan hem of haar mee te geven. Dat meegeven moet dan op een zogenaamde machineleesbaar digitaal formaat zijn, zoals een cvs, Excel of pdf-formaat. Dit recht kan technisch een behoorlijke uitdaging zijn, maar vergt daarnaast ook een bepaalde mate van samenwerking met andere bedrijven en organisaties.

 

11.    Moet ik gegevens ook verwijderen als ik ze heb overgedragen?

Nee, een verzoek om data over te dragen impliceert niet ook direct een verzoek op het recht van verzet of vergetelheid en dus verwijdering. Soms zal dit ook niet altijd juridisch mogelijk zijn, bijvoorbeeld vanwege een wettelijke bewaarplicht die een organisatie of ondernemer heeft. Denk bijvoorbeeld aan de notaris, de bank, de advocaat of accountant of belastingadviseur. Maar in beginsel zal een persoon een expliciet beroep moeten doet op het verwijderen (recht van vergetelheid) en zal je er daarmee dan aan de slag moeten. Overigens moet je wel telkens als iemand overstapt blijven beoordelen of je diens persoonsgegevens nog nodig hebt of moet bewaren bij een bewaarplicht en welke gegevens je dan moet bewaren. Gegevens die je niet verplicht bent te bewaren moet je in het kader van dataminimalisatie wél verwijderen.
Informeren

 

12.    Waar moet ik gebruikers over informeren als ik gegevens verzamel?

Een ander belangrijke pijler van de AVG is transparantie en als organisatie ben je verplicht je klanten, bezoekers van je website en prospects te informeren over de verwerking van hun persoonsgegevens. Zo moet je de mensen bijvoorbeeld duidelijk maken voor welke doeleinden je hun gegevens verwerkt en welke rechten mensen hebben en hoe ze daar gebruik van kunnen maken. Meestal informeer je de mensen over hun rechten in je privacystatement, maar er zijn ook andere plekken waar je dat kunt doen. Bijvoorbeeld middels een pop-up vóór het aanmaken of inloggen op een account, met 'hover overs' bij een aanmeldformulier of contactformulier of door in een filmpje uit te leggen wat je precies doet. In alle gevallen moet je er voor zorgen dat je de mensen hun rechten en je bedoeling met hun gegevens op eenvoudige taal en op een duidelijke manier verteld.

 

13.    Moet ik ook iets wijzigen in mijn privacystatement?

Wanneer je al een privacytstatement had gemaakt onder de Wet bescherming persoonsgegevens (Wbp) dan is er een grote overlap met wat je onder de AVG daarin moet opnemen. In eider geval zal je moeten blijven informeren over de soorten persoonsgegevens die je verwerkt en voor welke doeleinden je dat doet. Wat vaak wel extra is, is dat je consumenten zult moeten informeren over hun rechten, inclusief de nieuwe rechten zoals het recht op dataportabiliteit en het recht om vergeten te worden (recht op vergetelheid).
Daarnaast zal je duidelijk moeten maken hoe lang je gegevens bewaart, of deze eventueel aan derden worden doorgegeven en dat mensen een klacht kunnen indienen bij de AP. Als je wilt weten of jouw privacystatement voldoet aan de eisten van de AVG kan je dat zelf natuurlijk doen, maar beter en efficiënter is het natuurlijk om dit te laten doen door een deskundige die de wet kent en precies weet waaraan een privacystatement moet voldoen.

 

Toestemming

 

14.    Wanneer mag je persoonlijke data gebruiken, oftewel persoonsgegevens verwerken?

De AVG is daar duidelijk over. Voor de verwerking van persoonsgegevens heb je een zogenaamde rechtmatige 'grondslag' nodig. De belangrijkste zijn :

  • Als de gegevens noodzakelijk zijn om een overeenkomst uit te voeren. Dit gaat echt alleen om noodzakelijke gegevens, en is dus een beperkte grondslag. Denk aan naw-gegevens voor het bezorgen van een pakketje. Maar voor het bezorgen van een pakketje hoef je niet een geboortedatum te weten of het geslacht van de koper.
  • Als het past binnen je gerechtvaardigd belang en de impact op de privacy beperkt is.
  • Deze grondslag vergt een grondige analyse. Denk aan een verwerking als het gebruik van Google Analytics. Je kunt het zonder toestemming gebruiken, maar dan moet je wel de impact op de privacy van het individu verminderen, onder andere door de gegevens alleen voor analytische doeleinden te gebruiken, te pseudonimiseren en aanvullende afspraken maken.
  • Als je ondubbelzinnige toestemming hebt van het individu
  • Het moet hierbij gaan om een actieve handeling van de perooon. Bijvoorbeeld als iemand heeft aangevinkt een nieuwsbrief te willen ontvangen. Maar let op, je kunt niet alles met de toestemming van een persoon ondervangen. Wanneer je bepaalde gegevens niet nodig hebt mag je ze ook niet opvragen, zelfs niet met de toestemming van de betrokken persoon.
  • Als de verwerking noodzakelijk is voor de behartiging van de vitale belangen van personen
  • Dit kan aan de orde zijn bij bijvoorbeeld in de zorg voor het delen van patiëntgegevens in verband met acute gezondheidsrisico’s. Het gaat hier om ernstige gezondheidsrisico’s van de betrokken persoon of personen.
  • Als de verwerking voortkomt uit een wettelijke verplichting
  • Gewone organisaties zoals de meest ondernemingen zullen geen wettelijke verplichting hebben voor het verwerken van persoonsgegevens. Het zal hier dan ook meestal gaan om (semi) overheidsinstellingen, zoals gemeenten, belastingdienst, kamer van koophandel en het kadaster. Maar toch zijn er ondernemingen die verplicht zijn om persoonsgegevens te verwerken, zoals banken en verzekeraars, maar ook notarissen en accountants. Deze doen dat omdat zij mensen hun identiteit moeten vaststellen in het kader van het tegengaan van witwaspraktijken en financiering van terroristische organisaties.

Een van deze grondslagen is voldoende, je hoeft niet aan allemaal te voldoen.
Maar let op: veel ondernemers denken dat wanneer ze de betrokken personen om toestemming hebben gevraagd en gekregen ze dan menen dat ze voldoen aan alle privacyregels. Dat is echter niet het geval. Ook wanneer je op de juiste manier toestemming hebt gevraagd, moet je je uiteraard nog steeds voldoen aan alle andere regels van de privacywetgeving. Je moet nog steeds goed informeren over de rechten die ze hebben, waarom je de gegevens verwerkt, op welke manier en hoe deze worden opgeslagen en hoe de beveiliging is geregeld enzovoorts.

 

15.    Is het moeten vragen van toestemming onder de AVG anders geregeld dan wat onder de Wbp al moest?

Enigszins. Toestemming onder de AVG is aangescherpt ten opzichte van de huidige wetgeving (Wbp). Erg groot is die verandering echter ook weer niet, vooropgesteld dat je de huidige wetgeving al goed geïmplementeerd hebt. Toestemming moet voor de mensen eenvoudig te begrijpen zijn en mensen moeten actief toestemming hebben geven. Daarnaast zal je de toestemming moeten kunnen bewijzen en moet je dit dus ergens goed vastgelegd hebben.
Al met al dus niet wereldschokken en geen (grote) verandering ten opzichte van de huidige wetgeving. Wel hebben de Europese toezichthouders aangegeven nog een nadere toelichting te geven op het effect van de aanscherping.

 

Boetes

 

16.    Hoe hoog kunnen de boetes oplopen?

Voor degenen die al van de nieuwe privacyregelgeving hebben gehoord uit het nieuws of anderszins heeft het inmiddels wel begrepen dat de toezichthouder, de Autoriteit Persoonsgegevens, op het niet naleven van de GDPR/AVG hoge boetes kan uitdelen. Er geldt straks een tweeledig boeteregime. Voor overtreding van zwaardere verplichtingen geldt daarbij een hogere maximumboete dan voor minder zwaardere verplichtingen. Om je daarbij een idee te geven een paar voorbeelden ter indicatie:
Hoge boete: een boete van 20 miljoen euro of 4 procent van de jaaromzet

  • Voor het overtreden van de basisbeginselen van de AVG zoals de voorwaarden van het vragen van toestemming.
  • Voor het overtreden van de verplichtingen met betrekking tot de rechten van de personen, zoals het recht op dataportabiliteit of recht op verzet.

Lage boete: een boete van 10 miljoen euro of 2 procent van de jaaromzet

  • Voor het niet (of te weinig) implementeren van maatregelen in verband met privacy by design of privacy by default.
  • Voor het inschakelen van een verwerker zonder dat voor die verwerking een (verplichte) verwerkersovereenkomst werd opgesteld.

17.    Gaan die boetes ook daadwerkelijk opgelegd worden?

 

Als we de toezichthouder mogen geloven, gaan die boetes zeker worden uitgedeeld. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), schroomt niet om dit in de media te benadrukken. De AP heeft straks ook meer bevoegdheden en kan onder omstandigheden bijvoorbeeld ook een boete opleggen aan verwerkers, zoals een e-mail service provider, een searchbureau of een callcenter. Veel verplichtingen uit de nieuwe wetgeving gelden nu ook al, bijvoorbeeld het recht van verzet in direct marketing. Zeker op die onderdelen kan geen coulance worden verwacht van de toezichthouder. Het advies is: zet alles op alles om tijdig aan de AVG te voldoen.

 

18.    Hoe weet ik of ik met mijn bedrijf of organisatie veel risico loop?

 

Dat is lastig te zeggen. De AP is straks verplicht om klachten van individuen in behandeling te nemen. Waarschijnlijk en zal ze dus meer gaan optreden en handhaven op basis van die klachten van consumenten. Maar bij datalekken bij organisaties die gevoelige gegevens verwerken van personen of van kwetsbare groepen van personen, of bij opgekomen misstanden bij een onderneming of organisatie zal de AP zelf een onderzoek kunnen gaan instellen met handhavingsverzoeken en/of boeteoplegging als gevolg.
Waarschijnlijk zal de bakker om de hoek dus niet als eerste de AP op de stoep krijgen met een handhavingsverzoek, maar eerder partijen die veel - misschien gevoelige - gegevens verwerken, zoals een zorgkantoor of een woningbouwvereniging. Maar enkel al door het feit dat consumenten een klacht kunnen indienen en de AP dan gaat onderzoeken maakt het onvoorspelbaar wie op enig moment aan de beurt is. Voorkomen is dan ook beter dan genezen.

Maar in zijn algemeenheid geldt dat des te gevoeliger en vertrouwelijker de persoonsgegevens zijn en des te kwetsbaarder de mensen van wie je persoonsgegevens verwerkt des te groter het risico op klachten enerzijds, maar ook reputatieschade anderzijds. Dat risico neemt ook toe naarmate je gegevens in grote hoeveelheden verwerkt en naarmate er meer personen aan die verwerking deelnemen. Het zal dus sterk van onderneming tot onderneming en van organisatie tot organisatie. Verschillen.