Groot schild en slot met verschillende apparaten

Aan de slag met de AVG: de vereisten van de AVG in het kort

Laatst bijgewerkt: 1 juli 2019
Leestijd: 7 minuten, 5 seconden

Sinds mei vorig jaar is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De nieuwe EU-wet schrijft voor hoe we wereldwijd met persoonsgegevens van EU-burgers dienen om te gaan.

De AVG is een update van een eerdere richtlijn uit 1995: de Data Protection Directive 95/46/EG (DPD). De wetswijziging vormt het antwoord op een drastisch veranderde digitale wereld. Zowel de technologie als het verwachtingspatroon van de consument is de afgelopen decennia enorm veranderd. Waren er in 1995 nog slechts 23.500 websites, tegenwoordig zijn dat er bijna 2 miljard. Naast het aantal websites is ook de hoeveelheid gegevens die online worden verzameld explosief toegenomen. Vaak betreft het persoonlijke gegevens, waardoor het belang van online privacy is gegroeid. Diverse privacyschendingen, zoals het Facebook/Cambridge Analytica-schandaal, onderstreepten dit toegenomen belang.

De AVG is in het leven geroepen om de veiligheid van onze persoonlijke gegevens te waarborgen en ervoor te zorgen dat deze met respect voor onze privacy worden gebruikt. Maar hoe pak je dat als bedrijf aan? Waar moet je op letten? In dit artikel zoomen we in op de vereisten van de AVG.


Op welke bedrijven is de AVG van toepassing?

De AVG biedt bedrijven een kader voor gegevensverwerking dat werkt met een aantal vereisten – allemaal met het oog op privacy. Deze wet geldt in principe voor alle bedrijven in de EU, maar daar houdt het niet bij op.

Wat als mijn bedrijf buiten de EU gevestigd is?

Hoewel de AVG een Europese wet is, is hij niet alleen van toepassing binnen de EU. De AVG geldt voor elk bedrijf dat gegevens van EU-ingezetenen verwerkt. Is je organisatie buiten de EU gevestigd, maar lever je goederen of diensten aan iemand binnen de EU? Dan heb je met de AVG te maken. Op deze manier worden alle inwoners van de EU ten alle tijden door dezelfde wet beschermd.

Het mkb en de AVG

De AVG is van toepassing op bedrijven van alle vormen en maten, inclusief eenmanszaken. De AVG gaat niet over organisatieomvang, maar over de hoeveelheid en het soort gegevens dat een organisatie verwerkt. Gelukkig maakt de AVG een uitzondering voor kleinere organisaties die 250 werknemers of minder hebben. Die bedrijven krijgen een versoepeling van de documentatieplicht, maar alleen als de rechten van de gebruiker daarmee niet onder druk komen te staan en de gegevens slechts af en toe verwerkt worden.


AVG’s definitie van persoonlijke gegevens

Wat bedoelt de AVG met ‘persoonlijke gegevens’? De AVG onderscheidt twee categorieën persoonlijke gegevens. Het is belangrijk om als bedrijf onderscheid te maken tussen deze twee categorieën, omdat ze invloed hebben op wat je als bedrijf wel en niet met die informatie mag doen. De twee categorieën zijn:

Persoonlijke gegevens (GDPR-artikel 4/1)

Een gegeven is persoonlijk zodra je er een individu mee kunt identificeren. Tot deze zogenaamde ‘identifiers’ behoren onder andere een naam, adres en geboortedatum, maar ook iemands IP-adres. Persoonlijke gegevens zijn ook gegevens die kenmerkend zijn voor de economische, culturele of fysiologische identiteit van een persoon.

Gevoelige persoonlijke gegevens (GDPR-artikel 9)

Het is belangrijk om onderscheid te maken tussen de persoonlijke gegevens hierboven en ‘gevoelige’ persoonlijke gegevens, waarvoor de AVG strikte regels hanteert. Gevoelige persoonlijke gegevens omvatten genetische gegevens, biometrische gegevens en gegevens die betrekking hebben op iemands persoonlijke voorkeuren of achtergrond. Denk bijvoorbeeld aan religie, afkomst, vakbondslidmaatschap enzovoorts.


Wat is toestemming?

Contract met aangevinkte optie‘Toestemming’ is een ietwat verwarrend begrip binnen de AVG. Toestemming gaat over het naleven van de regels rondom gegevensverzameling en -gebruik. Het betekent dat je als bedrijf de betrokkene (de persoon waar je gegevens over beschikt) vooropstelt. Dit komt er vaak op neer dat je al je systemen voor gegevensverwerking moet aanpassen aan de betrokkene. Deze gebruiker moet expliciet toestemming geven voor het gebruik van zijn gegevens. Een simpele ‘opt-out’-knop op je website volstaat niet meer. Als je iemands persoonlijke gegevens wilt gebruiken, om wat voor reden dan ook (inclusief marketingdoeleinden, opslag of delen met derden), dien je daar expliciet en in eenvoudige, begrijpelijke taal toestemming voor te vragen.

De AVG vereist ook gedetailleerde toestemming. Gegevens worden immers voor verschillende doeleinden gebruikt. De gebruiker moet zelf kunnen kiezen voor welke doeleinden zijn of haar gegevens gebruikt mogen worden. De AVG stelt ook dat een gebruiker niet mag lijden als hij of zij ervoor kiest geen gegevens vrij te geven. Geef je als gebruiker geen toestemming voor het gebruik van je gegevens voor marketingdoeleinden? Dan moet je een dienst op dezelfde manier kunnen gebruiken als iemand die wél toestemming heeft gegeven. Een bedrijf mag een gebruiker kortom niet bestraffen voor het weigeren van toestemming.

Als bedrijf ben je volgens de AVG ook verplicht je systemen zó in te richten dat een gebruiker in een later stadium zijn eerder verleende toestemming eenvoudig kan intrekken – bijvoorbeeld telefonisch of via een e-mail.


Basisrechten van betrokkenen in het kort

De persoon op wie de gegevens betrekking hebben, noemen we de ‘betrokkene’. Volgens de AVG heeft een betrokkene acht basisrechten. Dit zijn ze in het kort:

  1. Het recht op (duidelijke) informatie over je gegevens
  2. Het recht op toegang tot je gegevens
  3. Het recht op rectificatie van je gegevens (aanpassen van gegevens)
  4. Het recht op dataverwijdering (wissen van gegevens)
  5. Het recht op de beperking van gegevensverwerking
  6. Het recht op gegevensoverdracht (gegevens overdragen naar een andere partij)
  7. Het recht om bezwaar te maken tegen het gebruik van gegevens
  8. Het recht om ‘nee’ te zeggen tegen geautomatiseerde besluitvorming, inclusief profilering

De AVG en boetes

Eén van de redenen dat de AVG veel bedrijven angst inboezemt, is de mogelijke boete die je krijgt als je de wet schendt. Zo’n boete kan ontzettend hoog oplopen. De AVG en toezichthouders onderscheiden twee boetecategorieën. Dit zijn:

Categorie 1:

2% van de wereldwijde jaaromzet óf 10 miljoen euro, afhankelijk van welk bedrag hoger is.

Mogelijke redenen voor de boete:

  • Data-inbreuken, bijvoorbeeld na een gegevenslek
  • Geen gebruik maken van de diensten van een functionaris gegevensbescherming (als nodig)
  • Geen Data Protection Impact Assessment (DPIA) uitvoeren (als nodig)
  • Niet de juiste documentatie bijhouden

Categorie 2:

4% van de wereldwijde jaaromzet óf 20 miljoen euro, afhankelijk van welk bedrag hoger is.

Mogelijke redenen voor de boete:

  • Gegevens verwerken zonder toestemming
  • Niet handhaven van consumentenrechten volgens de AVG-regels
  • Gegevens naar buiten de EU sturen zonder je aan de AVG te houden (zie hoofdstuk 5 van de wettekst voor meer informatie)

Heb ik een functionaris gegevensbescherming nodig?

AVG en GDPR ConsultantEen functionaris gegevensbescherming (Engels: Data Protection Officer (DPO) is een werknemer of externe consultant die je bedrijf adviseert en helpt bij het voldoen aan de AVG. Zij kunnen bijvoorbeeld een ‘Data Protection Impact Assessment’ (DPIA) voor je uitvoeren. Hiermee brengen ze in kaart wat de mogelijke privacyrisico’s van gegevensverwerking binnen jouw bedrijf kunnen zijn. Het uitvoeren van zo’n DPIA door een DPO is in bepaalde situaties een vereiste van de AVG.

Het aanstellen van een functionaris gegevensbescherming is volgens de AVG verplicht voor:

  • overheidsinstanties en publieke organisaties
  • organisaties die op grote schaal gegevens verwerken
  • organisaties die gegevens verwerken die in een bijzondere categorie vallen (gevoelige persoonlijke gegevens)

Ook als een bedrijf niet verplicht is een functionaris aan te stellen, kan het toch nuttig zijn een privacyspecialist aan te nemen. Deze mensen zijn immers compleet op de hoogte van de wet en alle mogelijke privacyrisico’s die je als bedrijf kunt lopen. In plaats van een functionaris, zou je ook kunnen overwegen een MSSP in te huren. Verschillende MSSP’s zijn gespecialiseerd in AVG-compliance, waarbij ze daarnaast ook zorg dragen over jouw algemene cybersecurity.


De AVG: lust of last?

Computer met AVGVoldoen aan de AVG is geen eenmalige taak waarbij je een checklist afgaat en wat hokjes afvinkt. Je kunt de AVG beter zien als een bewustwordingsproces: je krijgt langzaam maar zeker een steeds beter begrip van hoe en waarom je persoonsgegevens binnen je bedrijf verwerkt. Bij het voldoen aan de AVG ben je een groot deel van de tijd bezig met het documenteren van processen en het in kaart brengen en categoriseren van gegevens. Dat kan tevens het beveiligingsbewustzijn binnen je bedrijf vergroten. Bij het voldoen aan de AVG kunnen beveiligingskwetsbaarheden aan het licht komen. Het oplossen van deze problemen is niet alleen goed voor je klant, maar ook voor je bedrijf.

Toegegeven: voldoen aan de AVG is lang niet altijd gemakkelijk. Maar als je boetes wilt vermijden en wilt aantonen dat je de privacy van je klanten respecteert, is het toch belangrijk je aan de AVG-regels te houden. Weet je niet helemaal goed hoe je daaraan moet beginnen? Dan hebben we hier 6 AVG-tips speciaal voor het mkb voor je.

Een laatste noot: als je twijfelt of jouw bedrijf wel aan de AVG voldoet, schakel dan vooral een deskundige in die persoonlijk advies kan geven!

Hoofdauteur:

Meer artikelen uit het ‘Zakelijk’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen