AVG F.A.Q.

Knowledge is having the right answer. Intelligence is asking the right question.

Author Unknown

De AVG staat voor Algemene Verordening Gegevensbescherming

De AVG geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van personen die burger of inwoner zijn van de Europese Unie. Een burger of staatsburger kan voor een tijdje naar het buitenland verhuizen, bijvoorbeeld buiten de Europese Unie en blijft nog steeds beschermd onder de AVG. Een Australiër die voor haar studie of stage in een land in de Europese Unie komt wonen (ook tijdelijk) valt onder de AVG in deze periode.

Het hangt af van het type overtreding en organisatie. Voor de één geldt een maximale boete van 10 miljoen of 2% van het wereldwijde omzet. Voor de ander geldt een maximale boete van 20 miljoen of 4% van het wereldwijde omzet. In beide gevallen geldt het hoogste bedrag. Als bijvoorbeeld 2% van het wereldwijde omzet hoger is dan 10 miljoen geldt de 2%. Als 2% inder is dan 10 miljoen, dan geldt 10 miljoen.

Er zijn binnen de AVG een aantal omstandigheden waar rekening mee gehouden wordt. Bijvoorbeeld of je een incident proactief hebt gemeld of niet en of je goed samenwerkt met de Autoriteit Persoonsgegevens als dit nodig mocht zijn. Daarnaast kan de Autoriteit Persoonsgegevens ook kijken naar eerdere boetes of lasten onder dwangsom. De Autoriteit Persoonsgegevens kijkt ook of de organisatie zich moet houden aan andere gedragscodes en certificeringen.

Vervolgens zijn er per AVG artikel, en soms zelfs op artikel lid niveau, categorieën toegewezen die een bepaald boete bedrag kennen.

Zoals je in de vorige vraag hebt kunnen lezen worden de artikelen ingedeeld in categorieën met bijbehorende boetes. Een aantal voorbeelden van AVG boetes zijn:

  1. Bij het uitvoeren van een Gegevensbeschermingseffectbeoordeling, ook wel DPIA (Data Protection Impact Assessment genaamd) moet je waar mogelijk de betrokkene (van wie de gegevens zijn) bij de DPIA betrekken en vragen naar hun mening over de voorgenomen verwerking. Doe je dit niet dan kan de boete oplopen tot € 100.000, -

  2. Als je persoonsgegevens verwerkt waarvoor toestemming nodig is moet je aan een aantal voorwaarden voldoen. Wanneer jij je hier niet aan houdt kan de boete oplopen tot € 525.000,-

Een DPO is een Data Protection Officer. In het Nederlands heet dit een Functionaris Gegevensbescherming, afgekort FG. Een DPO/FG kan een medewerker zijn of een extern ingehuurde partij. Zij zijn verantwoordelijk voor de naleving van de AVG binnen de organisatie. Een medewerker die deze rol vervult heeft tevens ontslagbescherming. Deze rol vraagt onpartijdigheid en het zou kunnen zijn dat iemand, tegen de wil van de organisatie, een uitspraak doet. Het mag niet zo zijn dat iemand dan ontslagen kan worden omdat de uitspraak hen niet bevalt. Of dat iemand om zijn baangarantie zorgen gaat maken en zich daardoor laat beïnvloeden.

De AVG eist dat je passende maatregelen neemt om persoonsgegevens te beschermen. Maar er staat niet bij wat nu precies passend is. Gelukkig maar, want wat voor de ene partij geldt, geldt niet voor de ander. Dat wil niet zeggen dat het maar een vaag begrip blijft. Soms zijn er regels en best practices waar je je aan kunt houden, gezond verstand. Daarnaast kun je door middel van risicomanagementmodellen en -assessments erachter komen wat passend is.

Aan de naam van CPRM kun je zien dat Privacy & Risk Management beide genoemd worden. Dat is omdat ze hand in hand gaan. De AVG behoeft een risicogestuurde aanpak. Dat wil zeggen dat een heleboel beslissingen die je kunt nemen geen 'one-size-fits-all' zijn maar een individuele aanpak nodig hebben waarbij risico inschattingen worden gemaakt. Bij bepaalde verwerkingen moet je je afvragen hoe groot de impact is om een betrokkene (van wie de persoonsgegevens zijn) is en wat jij als organisatie eraan kunt doen om de impact te verkleinen of weg te nemen. Daarnaast ben je ook verplicht een DPIA uit te voeren. Dat is een Data Protection Impact Assessment (in het Nederlands een Gegevensbeschermingseffectenbeoordeling genoemd)

Persoonsgegevens zijn alle gegevens die je nodig hebt om natuurlijke personen te kunnen identificeren. Je kunt hierbij denken aan NAWTE gegevens, IP adres, MAC adres. Daarnaast heb je ook nog bijzondere persoonsgegevens. Dit zijn gegevens die gevoelig liggen (niet persé in Nederland maar in andere landen in de E.U.). Denk hierbij aan iemand zijn seksuele geaardheid, gezondheidsinformatie, religie of levensovertuiging, ras of afkomst. Ook jouw eventuele lidmaatschap met een vakbond wordt gezien als gevoelige persoonsgegevens.

De AVG zegt niet direct iets over cookies maar wel over hetgeen dat cookies doen. Cookies zijn tekstbestanden die gegevens van jou verzamelen en die in sommige gevallen terug naar jou herleid kunnen worden. Deze cookies worden niet alleen geplaatst maar op een bepaald moment ook weer van je pc of ander device afgehaald. Om gegevens van jou te verzamelen, waarmee je herleidbaar bent, is toestemming nodig. De AVG geeft heel duidelijk de regels aan als het gaat om toestemming.

 

Cookies kun je grofweg opdelen in 3 typen:

  1. Prestatiecookies - hiervoor is géén toestemming nodig. De gegevens die worden verzameld zijn niet herleidbaar. Prestatiecookies kunnen bijvoorbeeld cookies zijn die ervoor zorgen dat de webpagina goed getoond wordt op jouw apparaat, of dat je niet bij elke nieuwe pagina opnieuw een cookiebanner te zien krijgt waar je al wat van hebt gevonden.
  2. Statistieke cookies - hiervoor is sóms toestemming nodig. De meeste mensen gebruiken Google Analytics. Google geeft zelf aan dat zij gegevens uit Analytics kunnen combineren met andere gegevens (bijvoorbeeld als je ingelogd bent in je Gmail account dan kun je 'gevolgd' worden en ben je herleidbaar), waardoor iemand herleidbaar is. In dat geval heb je wél toestemming nodig.
    Maak je gebruik van andere statistieke tools, controleer hoe dit zit. Als zij geen gegevens combineren wat een persoon herleidbaar maakt heb je er geen toestemming voor nodig.
  3. Commerciële cookies - dit zijn cookies voor marketingdoeleinden. Hiervoor moet je altijd toestemming krijgen.

Hoewel je bij de een aantal cookies wellicht géén toestemming nodig hebt, heb je wel altijd meldplicht. Hiervoor heb je een cookiestatement nodig of kun je dit kort toelichten in je Privacy Statement.

Deze twee termen worden vaak door elkaar gehaald. Een Privacy Statement is bedoeld om mee naar buiten toe te treden, terwijl een Privacy Beleid een document is voor intern gebruik. In je Privacy Statement vertel je welke persoonsgegevens je verzameld, hoe lang je deze bewaard en met wie je ze eventueel deelt. Je geeft ook duidelijk aan welke rechten betrokkenen hebben. In je Privacy Beleid geef je aan hoe je met deze gegevens om gaat. Je gaat hierover in detail. Dit document moet voor alle medewerkers beschikbaar zijn en kan worden opgevraagd door de Autoriteit Persoonsgegevens.

Om de AVG te kunnen implementeren moet je eerst inventariseren wat je al hebt. Daarna bekijk je wat je nog moet doen. Het verschil daartussen heet je GAP-analyse. Uit je GAP-analyse komen dan acties naar voren die je moet doen. De volgorde van belangrijkheid hangt af van o.a. noodzaak of belangrijkheid, budget, beschikbaar personeel, etc.

Het implementeren van de AVG hoeft niet moeilijk te zijn maar kan wel intensief zijn. Alles hangt af van je organisatie en de complexiteit daarvan. Als jij hele ingewikkelde processen hebt waarin persoonsgegevens worden verwerkt dan zul jij meer moeite moeten doen om compliant te worden.

Helaas zijn er genoeg checklists te vinden online. Ik zeg bewust 'helaas' omdat het onmogelijk is om deze te gebruiken voor je implementatie. Ze zijn namelijk nooit volledig en dus zul je altijd iets missen. Sterker nog, het kan zijn dat er acties in staan die voor jou niet nodig zijn. Je verspilt tijd, geld en energie. Dat is zonde. Laat je goed adviseren over wat voor jouw situatie relevant is.

Een AVG specialist kan een audit uitvoeren en aangeven of je op dat moment AVG compliant bent. Houd er rekening mee dat het een continu proces is. Je bent dus altijd bezig om compliant te worden en te blijven. Als je een AVG Awareness training volgt of mee doet aan onze 60 Day Privacy & Risk Challenge, dan weet je wat je nu te doen staat en kun je dit in de toekomst makkelijker bijhouden.

Je bent verplicht om een Register van Verwerkingen bij te houden wanneer je meer dan 250 medewerkers in dienst hebt. Heb je minder dan 250 medewerkers in dienst, dan moet je in de volgende gevallen nog steeds een Register van Verwerkingen bijhouden:

  • als je op grote schaal persoonsgegevens verwerkt(structureel en niet incidenteel)
  • als je verwerkingen risicovol zijn
  • als je gevoelige gegevens verwerkt zoals informatie over iemand z'n gezondheid of strafrechtelijke gegevens.

Een Register van Verwerkingen wordt ook wel een Verwerkingenregister genoemd, en kent daarnaast nog soortgelijke benamingen. In een register, waarvan er meerdere templates zijn. In een Register van Verwerkingen worden tenminste de volgende onderwerpen vastgelegd:

  1. Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
  2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
  3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
  4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen. 
  5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
    (bron: Autoriteit Persoonsgegevens)