nieuws

De AVG, alles wat jij moet weten op een rij

Digitaal werken

Werk jij met privacygevoelige informatie? Waarschijnlijk wel! Dat betekent dat ook jij op de hoogte moet zijn van de AVG: de Algemene Verordening Gegevensbescherming, die per 25 mei 2018 officieel is ingegaan. In dit artikel zetten we alle belangrijke begrippen op een rij, zodat jij weet waar het over gaat.

De AVG, alles wat jij moet weten op een rij

Misschien heb je de afgelopen tijd wel termen als GDPR, FG, verwerkersovereenkomst, Autoriteit Persoonsgegevens, verwerker of datalek gehoord. Al deze termen hebben te maken met de AVG en hieronder leggen we haarfijn uit wat ze betekenen.

Wat is de AVG precies?

De AVG is een Europese verordening die op 24 mei 2016 in werking is getreden. Organisaties hebben vanaf dat moment twee jaar gekregen om te voldoen aan de wet. Sinds 25 mei 2018 moeten jij en jouw bedrijf voldoen aan de AVG.

De AVG staat ook bekend onder de Engelse naam General Data Protection Regulation (GDPR) en vervangt de Wet Bescherming Persoonsgegevens (WBP). De WBP ging op 1 september 2001 in werking en gold tot 25 mei 2018.

De wijzigingen in de AVG zijn in drie categorieën in te delen:

  • versterking en uitbreiding van de privacyrechten van burgers;
  • meer verantwoordelijkheden voor organisaties;
  • dezelfde bevoegdheden voor alle Europese toezichthouders, waaronder de mogelijkheid om stevige boetes op te leggen.

Dit artikel gaat vooral in op de verantwoordelijkheden voor organisaties en hoe de managementondersteuner daarmee te maken krijgt.

Voor wie is de AVG bedoeld?

De vraag is eerder ‘voor wie niet’? Je werkt namelijk al snel met privacygevoelige informatie en dat moet rechtmatig gebeuren. In al deze gevallen verwerk je persoonsgegevens, je bent:

  • secretaresse en houdt lijsten met verjaardagen bij van werknemers, nodigt externen uit voor vergaderingen en organiseert events voor klanten;
  • hr-assistent en je beheert personeelsdossiers en verwerkt ziekmeldingen;
  • officemanager en je doet orderintakes;
  • marketingassistent en je houdt verzendlijsten bij met namen van contactpersonen.

Wat is een persoonsgegeven?

Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare persoon. Het gaat alleen om levende, natuurlijke personen, niet om rechtspersonen. Het thuisadres van een bestuurder of het telefoonnummer van de directeur is wel weer een persoonsgegeven, omdat het hier om een natuurlijke persoon gaat en niet de rechtspersoon.

Een voorbeeld van een persoonsgegeven is een badge waar het nummer van de werknemer op staat. Dit nummer is via het HR-systeem van de organisatie te koppelen aan de naam van de werknemer.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken. Ook genetische gegevens, biometrische gegevens voor unieke identificatie en gegevens over de gezondheid zijn bijzondere persoonsgegevens.

In principe mag je geen bijzondere persoonsgegevens verwerken, behalve als hiervoor een uitzonderingsgrond geldt. Een arts in het ziekenhuis mag wel vragen naar klachten bij een ziekte en dit vastleggen. Jij als managementondersteuner mag dat niet als je een ziekmelding van een werknemer registreert. Sterker nog, zelfs als de werknemer zelf meldt dat hij griep heeft, mag je dit niet registreren.

Mag ik onder de AVG nog wel persoonsgegevens vastleggen?

Een hardnekkige mythe is dat er onder de AVG (bijna) niks meer mag. Dit is absoluut niet zo. Wel verandert er veel op het gebied van hoe organisaties gegevens mogen verzamelen en de rechten van personen van wie gegevens verzameld worden.

Wist je dat?

Er directe en indirecte persoonsgegevens zijn? Een direct persoonsgegeven is bijvoorbeeld een naam of adres. Een indirect persoonsgegeven is het kenteken van je auto. Via een systeem kun je dit gegeven koppelen aan een naam (direct persoonsgegeven).

Zo moet er voor het verzamelen van gegevens vaak expliciet toestemming worden gevraagd. Verder moet je als organisatie duidelijk maken wat je met gegevens doet, waarom je die dingen ermee doet en hoe lang gegevens bewaard worden.

Tegelijkertijd krijgen personen van wie gegevens worden vastgelegd meer rechten. Denk aan werknemers, klanten, congresdeelnemers en sollicitanten. Zo krijgen ze het recht op inzage van hun gegevens, is er het recht om gegevens van het ene bedrijf naar het andere over te laten zetten en het recht om gegevens te laten wissen.

Mochten er gronden zijn om niet alle gegevens te wissen, dan hoeft dit natuurlijk niet. Een medewerker die in dienst is kan niet eisen dat je zijn gegevens uit het personeelsbestand haalt. Ook moet diezelfde medewerker gewoon een kopie van een identiteitsbewijs afgeven. Verstandiger is alleen om dit niet per email te doen, maar ter plekke een kopie te maken.

Mocht een klant besluiten geen producten of diensten meer af te nemen, dan kan deze wel eisen dat zijn gegevens uit de marketingdatabase gehaald worden. Echter, de klant kan niet eisen dat alle facturen op zijn naam vernietigd worden. Hiervoor bestaat een wettelijke bewaartermijn van zeven jaar en die gaat boven de AVG.

Alles over verwerking, de verwerkingsverantwoordelijke, het verwerkingsregister en verwerkers

De AVG is een wet die gericht is op privacy en bescherming van persoonsgegevens. Er wordt veel aandacht gegeven aan hoe organisaties omgaan met gegevens, oftewel het verwerken ervan. Om te begrijpen hoe dit is opgebouwd, zijn de volgende vier termen van belang:

Verwerking

‘Verwerking’ van gegevens betekent alles wat je met gegevens kunt doen: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken of doorzenden, verspreiden of op andere wijze ter beschikking stellen, afschermen, wissen of vernietigen.

Wist je dat?

Het opzoeken van een sollicitant via Google onder het verwerken van persoonsgegevens valt? Je hoeft hier geen toestemming voor te vragen en het is ook niet verboden. Wel moet je in de vacature melden dat je het doet en in een privacyverklaring opnemen waarom je het doet, wat je met de gegevens doet en hoe lang je ze bewaard. De resultaten van je zoektocht moet je overigens delen met de sollicitant.

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is de rechts- of natuurlijke persoon die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. In de praktijk is dit meestal het bedrijf waar je voor werkt. Stel, jij organiseert regelmatig evenementen waarvoor klanten worden uitgenodigd. Jouw bedrijf is dan de verwerkingsverantwoordelijke voor de gegevens die de genodigden doorgeven, zoals naam, functie en telefoonnummer.

Training AVG op het secretariaat

Training AVG op het secretariaat

Intern verwerkingsregister

Een verwerkingsverantwoordelijke moet kunnen aantonen dat de verwerking van persoonsgegevens volgens de regels van de AVG gaat. Dit is de zogenaamde verantwoordingsplicht.

Iedere organisatie moet vastleggen wat de verplichtingen zijn op grond van de AVG en hoe daar binnen de organisatie invulling aan wordt gegeven. Voor sommige organisaties is er ook de plicht om een intern verwerkingsregister bij te houden, hierin staan alle verwerkingsactiviteiten.

Op de site van de Autoriteit Persoonsgegevens lees je welke organisaties een verwerkingsregister bij moeten houden.

Verwerker

Besteed een bedrijf de verwerking van persoonsgegevens uit aan een derde partij, dan praat je over een verwerker. Wanneer de loonadministratie uitbesteed is, wordt het bedrijf dat dit verzorgt gezien als verwerker. Let wel op dat het bedrijf dat het administratiekantoor inhuurt eindverantwoordelijke blijft voor de gegevens als verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke moet ervoor zorgen dat de verwerker de AVG naleeft.

Verwerkersovereenkomst

Tip

Een verwerkersovereenkomst past in principe op één pagina. Dit is natuurlijk afhankelijk van de complexiteit van de gegevensverwerking. Voor simpele overeenkomsten is het mogelijk alles op één pagina te zetten.

Werk je met een verwerker, dan wil je als bedrijf garanties dat deze partij zich aan de AVG houdt. Om deze garanties te krijgen stelt de verwerkingsverantwoordelijke een verwerkingsovereenkomst op, waarmee de verwerker akkoord moet gaan. Huurt de verwerker vervolgens een ander bedrijf in om bepaalde gegevens te verwerken, dan valt deze subverwerker ook onder de verwerkersovereenkomst. Als het salarisadministratiekantoor gebruik maakt van een bepaald softwarepakket is de leverancier van dat pakket de subverwerker.

Inhoud van een verwerkersovereenkomst

Wat moet er dan precies in zo’n verwerkersovereenkomst staan? Dit zijn enkele van de onderdelen:

  • omschrijving van het onderwerp van verwerking (salarisinformatie, gegevens van congresdeelnemers, persoonsgegevens voor het boeken van zakenreizen);
  • de duur, de aard en het doel van de verwerking;
  • het soort persoonsgegevens en categorieën van betrokkenen;
  • de rechten en plichten van de verwerkingsverantwoordelijke;
  • dat de verwerker de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke (je mag dus niet telefonisch opdracht geven tot het verwerken van persoonsgegevens);
  • er moeten waarborgen worden opgenomen waardoor de verwerker garandeert dat er vertrouwelijk met de verstrekte gegevens wordt omgegaan;

Dit zijn slechts enkele van de onderdelen. De Autoriteit Persoonsgegevens heeft een volledig overzicht van de onderdelen van een verwerkersovereenkomst.

Functionaris voor de gegevensbescherming

Werk je voor een overheids- of publieke instantie, een bedrijf dat op grote schaal individuen volgt, of een bedrijf dat grootschalig bijzondere persoonsgegevens verwerkt? Dan is het aanstellen van een Functionaris voor de gegevensbescherming (FG) verplicht.

Onder overheids- en publieke instanties vallen ook scholen en zorginstellingen, voor rechtbanken geldt de verplichte aanstelling van een FG niet. Het begrip ‘op grote schaal volgen van individuen’ is behoorlijk breed. Het hebben van een klantloyaliteitsprogramma valt hier bijvoorbeeld al onder. Dit geldt ook voor bedrijven die aan retargeting doen via e-mail of marketingactiviteiten ondernemen op basis van persoonsgegevens. Tot slot de grootschalige verwerking van bijzondere persoonsgegevens: banken, verzekeraars, ziekenhuizen, pensioenfondsen verwerken allemaal bijzondere persoonsgegevens.

Overigens mag jouw bedrijf altijd een FG aanstellen, ook als dit niet verplicht is. Veel grotere bedrijven hebben een FG.

De FG informeert, controleert en adviseert het bedrijf over het naleven en implementeren van de AVG. Het bedrijf blijft als verwerkingsverantwoordelijke altijd verantwoordelijk. Deze verantwoordelijkheid kan in geen enkel geval op de functionaris voor de gegevensbescherming worden overgedragen.

Tip

Wil je meer weten over hoe de AVG binnen jouw bedrijf werkt? Ga op zoek naar de FG en plan een afspraak in. Beter nog, vraag de FG om een bijeenkomst te organiseren voor alle managementondersteuners binnen het bedrijf.

De aangestelde FG moet aan een aantal eisen voldoen:

  • het moet een natuurlijk persoon zijn (de OR of een commissie kan geen FG zijn);
  • de FG moet voldoende kennis hebben op het gebied van gegevensbescherming (dit hangt af van de grootte van de organisatie en het type gegevens dat verwerkt wordt);
  • kennis en ervaring van wetgeving op het gebied van persoonsgegevens, waaronder de AVG, is vereist, samen met kennis van de verwerkingsactiviteiten van de organisatie;
  • de FG moet integer, onafhankelijk en ethisch zijn (de HR-manager mag bijvoorbeeld geen FG zijn, want de HR-manager controleert dan zijn eigen gegevensverwerking en is dus niet afhankelijk)

De functionaris voor de gegevensbescherming moet van het bedrijf voldoende tijd en middelen krijgen om zijn taak uit te voeren. Verder mag een FG niet gestraft of ontslagen worden voor de uitvoering van zijn taken. Als de directie het niet eens is met een advies van de FG en deze wil het advies niet aanpassen, dan mag de directie de FG niet berispen. Steelt de FG een bedrijfslaptop, dan mag het bedrijf natuurlijk wel maatregelen nemen.

Andere termen: de FG wordt ook wel aangeduid als privacyfunctionaris, data protection officer of privacy officer.

Datalek, wat is het en hoe maak je melding?

Bij een datalek denk je al snel aan hackers die duizenden inlognamen en wachtwoorden buitmaken bij een digitale inbraak. Het is echter veel simpeler dan dat. Een verkeerde geadresseerde e-mail wordt al aangemerkt als een datalek. Een paar andere voorbeelden van datalekken:

  • een USB-stick met een gastenlijst voor een evenement;
  • een afgedankte pc die bij het grofvuil wordt gezet, maar waar nog bestanden met klantgegevens opstaan;
  • een verloren of gestolen laptop of bedrijfstelefoon;
  • data die verloren gaan na een brand.

De kans dat er bij jouw bedrijf een datalek is geweest, is (bijna) 100%.

Een datalek is veel breder dan de meeste mensen denken. Trainer Bouke van Kleef verwoordde het tijdens zijn AVG-workshop als volgt: “Er zijn twee soorten bedrijven, bedrijven waarbij een datalek heeft plaatsgevonden en die dat weten. Of bedrijven waar een datalek heeft plaatsgevonden die het nog niet weten.” Oftewel, de kans dat er in jouw bedrijf ooit een datalek is geweest is (bijna) 100%.

Wat te doen bij een datalek?

Krijg je een brief retour die verkeerd bezorgd is en door de ontvanger is geopend? Dan heb je een datalek geconstateerd. Wat doe je in zo’n geval? Heel simpel, maak een melding bij de verantwoordelijke persoon binnen jouw bedrijf. Dat kan de functionaris voor de gegevensbescherming zijn, maar ook een manager.

Wist je dat?

Op dit moment heeft 50% van de gemelde datalekken betrekking op verkeerd geadresseerde of ontvangen post en e-mail. Het kwijtraken van een gegevensdrager, zoals een laptop, telefoon, of USB-stick, staat met 14% op nummer twee.

Het bedrijf moet vervolgens afwegen of er een melding gemaakt moet worden bij de Autoriteit Persoonsgegevens. Het hangt van de impact van een datalek af of er melding gemaakt moet worden. Is dit het geval, dan moet dit in de regel binnen 72 uur na ontdekking van het lek gebeuren.

Sowieso moeten alle datalekken gedocumenteerd worden, inclusief de feiten eromheen, de gevolgen en de genomen corrigerende maatregelen. Dit stelt de Autoriteit Persoonsgegevens in staat om de naleving van de AVG te controleren.

Autoriteit Persoonsgegevens

De naam van de Autoriteit Persoonsgegevens is al een aantal keer gevallen, maar wat voor organisatie is het en wat doen ze? De Autoriteit Persoonsgegevens is een onafhankelijke organisatie die toezicht houdt op de naleving van de bescherming van persoonsgegevens. Verder geven ze ook advies over nieuwe regelgeving.

Toezicht houden op de naleving van de wet is verreweg de belangrijkste taak. Zo doet de Autoriteit Persoonsgegevens op eigen initiatief onderzoek, behandelen ze klachten, onderzoeken ze gemelde datalekken en mogen ze boetes en sancties opleggen.

Boetes bij overtredingen

Bij overtredingen van de AVG kunnen er stevige boetes volgen die oplopen tot €20 miljoen of maximaal 4% van de wereldwijde jaaromzet, als die laatste hoger is. Nu zijn dit maxima, maar de hoogte ervan geeft aan hoe belangrijk de AVG is voor de Europese Unie.

Er bestaan twee soorten overtredingen van de AVG:

  • Wist je dat?

    Stel, Google begaat een zeer ernstige overtreding van de AVG. De toezichthouder besluit de maximale boete van 4% van de wereldwijde jaarlijkse omzet op te leggen. Dat kost Google maar liefst €3,6 miljard euro!

    Een overtreding van één van de verplichtingen van de AVG. Dit kan bijvoorbeeld gaan over het niet afsluiten van verwerkersovereenkomsten, het ontbreken van een verwerkingsregister of het niet aanstellen van een FG als dit verplicht is. In dat geval is de maximale boete €10 miljoen, of 2% van de wereldwijde jaarlijkse omzet.

  • Een overtreding van de beginselen of grondslagen van de AVG, of een schending van de privacyrechten. Hierbij moet je denken aan een datalek. Dan geldt een maximale boete van €20 miljoen of 4% van de wereldwijde jaarlijkse omzet.

Bestuurlijke aansprakelijkheid

Naast de boetes voor het bedrijf is het in sommige gevallen mogelijk dat bestuurders persoonlijk aansprakelijk gesteld worden. Er moet dan wel sprake zijn van nalatig handelen door de bestuurder. Een voorbeeld hiervan is het opdracht geven tot het bewust niet melden van een datalek. De AVG is hier echter niet heel duidelijk over. Waarschijnlijk is het wachten op de eerste beboete bestuurder die dit bij de rechtbank aanvecht en zo duidelijk wordt hoe rechters de wet interpreteren.

Gerelateerde content over de AVG

AVG-training en boek van Management Support

Reageer op dit artikel