5 vragen over de AVG

Waarom is de AVG ontwikkeld?

De Algemene Verordening Gegevensbescherming (ook wel aangeduid als de General Data Protection Regulation GDPR) vervangt in feite de Europese ‘Privacyrichtlijn’. De nieuwe Verordening heeft, anders dan deze Richtlijn, directe werking in iedere lidstaat.

Behalve een ‘update’ van de privacyregels is een belangrijke doelstelling om voor de hele EU één regime voor bescherming van persoonsgegevens in te richten. Binnen de EU kunnen persoonsgegevens dan in principe zonder bezwaar worden verplaatst, het beschermingsniveau is in iedere lidstaat hetzelfde. Er ontstaat dan dus één Europese ruimte voor persoonsgegevens.

Wat is de belangrijkste ‘update’ t.o.v. de WBP?

De meeste verwerkingen van persoonsgegevens dienen nu nog vooraf te worden gemeld bij de Autoriteit Persoonsgegevens. Dat is na 25 mei niet meer nodig. In plaats daarvan moeten bedrijven en organisaties alles wat ze met persoonsgegevens doen vastleggen. Ze moeten bijvoorbeeld bijhouden: 

• welke gegevens precies worden verwerkt,
• op wie die betrekking hebben,
• of diegene toestemming voor de verwerking heeft gegeven,
• of welke andere ‘verwerkingsgrond’ er aanwezig is,
• en hoe lang de gegevens bewaard worden, etc.

Deze documentatieverplichting is voor bedrijven erg complex en ingrijpend. Tegelijkertijd krijgt de Autoriteit Persoonsgegevens meer bevoegdheden om te handhaven, onder andere door het opleggen van hogere boetes.

25 mei komt snel dichterbij, waar moet ik als organisatie nu mijn prioriteit leggen?

Een belangrijke prioriteit is het in kaart brengen van alle ‘verwerkingen’ van persoonsgegevens die plaatsvinden. ‘Verwerken’ omvat in feite alles wat met gegevens over natuurlijke personen kan gebeuren: verzamelen, bewaren, sorteren, gebruiken voor een mailing, doorzoekbaar maken, etc.

Vaak worden deze persoonsgegevens op verschillende plaatsen opgeslagen en gebruikt. Dat zijn in principe allemaal afzonderlijke verwerkingen. Het in kaart brengen daarvan, en nagaan of voor al die verwerkingen voldaan wordt aan de regels, kan een kolossale taak zijn. Ik raad iedereen aan om daar snel mee te beginnen.

Daarnaast moet in ieder geval actie worden ondernomen wanneer een deel van de gegevensverwerking wordt uitbesteed bij een derde partij (bijvoorbeeld een cloud dienst-verlener, voor de opslag). Met zo’n externe partij moet (verplicht) een ‘verwerkersovereenkomst’ worden afgesloten, waarin afspraken worden gemaakt over de verwerking zelf, de beveiliging van gegevens maar ook over het melden van problemen (‘datalekken’) door de externe verwerker.

Zulke datalekken moeten altijd door de ‘Verantwoordelijke’ (dat is degene die het initiatief heeft genomen voor de verwerking van de persoonsgegevens) worden gemeld aan de toezichthouder, ook wanneer het probleem zich bij de externe verwerker heeft voorgedaan.

Is het nodig om een dure externe consultant in te huren om mijn organisatie AVG proof te maken?

Op zichzelf zou dat niet nodig hoeven te zijn. Door kennis te nemen van de belangrijkste eisen en verplichtingen, kunnen organisaties zelf bepalen wat in hun geval aangepast zal moeten worden. Een belangrijk deel van het werk is gelegen in het inrichten van documentaties en deze onderdeel te maken van de primaire werkprocessen.

Het kan nodig zijn om bijvoorbeeld backofficetoepassingen aan te passen, daarvoor is mogelijk samenwerking met softwareleveranciers nodig. Het opbouwen van de nodige kennis op dit gebied binnen de organisatie zelf zou prioriteit moeten hebben.

Wat gebeurt er als ik op 26 mei nog niet alles geregeld heb?

De AVG is in feite al in mei 2016 in werking getreden, veel van de normen die erin gesteld worden gelden ook al op basis van de WBP. Vanaf 25 mei 2018 is de Verordening ‘van toepassing’. De afgelopen twee jaar vormden de overgangsperiode van de bestaande naar de nieuwe regelgeving. Vanaf 25 mei 2018 dient iedereen zich aan de regels van de Verordening te houden.

De Autoriteit Persoonsgegevens heeft niet aangegeven dat in de begin periode anders (soepeler) met de regels omgegaan zal worden. Het is dan ook zaak om er alles aan te doen (en dat ook aan te kunnen tonen) om vóór 26 mei de zaken op orde te hebben.