Aan de slag met de AVG: de vereisten van de AVG in het kort

Twee personen schudden elkaar de hand voor een computer waarop een document met de titel "AVG" staat
Klik hier voor een samenvatting van dit artikel
De AVG-vereisten in het kort

De Algemene verordening gegevensbescherming (AVG) is een wet waar iedere organisatie zich aan moet houden als het opereert binnen de Europese Unie. Deze wet stelt dat organisaties:

  • Expliciet toestemming moeten vragen voor het gebruik van persoonsgegevens.
  • Niet zomaar alle persoonsgegevens mogen verwerken.
  • Veilige opslag en verwerking van persoonlijke gegevens moeten garanderen.
  • De basisrechten van betrokkenen in acht moeten nemen.
  • In sommige gevallen een functionaris gegevensbescherming moeten aanstellen.

Meer weten over de regelgeving van de AVG en hoe jouw organisatie zich hieraan kan houden? Lees dan snel verder.

Scherm met daarop de tekst AVGSinds mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. De EU-wet, in het Engels General Data Protection Regulation (GDPR), schrijft voor hoe we wereldwijd met persoonsgegevens van Europese burgers dienen om te gaan. In Nederland wordt de wet gewaarborgd door de Autoriteit Persoonsgegevens (AP).

De AVG is een update van een eerdere richtlijn uit 1995: de Data Protection Directive 95/46/EG (DPD) of ‘Wet bescherming persoonsgegevens’ in het Nederlands. De wetswijziging vormt het antwoord op een drastisch veranderde digitale wereld. Zowel de technologie als het verwachtingspatroon van de consument is de afgelopen decennia enorm veranderd.

Waren er in 1995 nog slechts 23.500 websites, tegenwoordig zijn dat er bijna 2 miljard. Naast het aantal websites is ook de hoeveelheid gegevens die online worden verzameld explosief toegenomen. Vaak betreft het persoonlijke gegevens, waardoor het belang van online privacy is gegroeid. Diverse privacyschendingen, zoals het Facebook/Cambridge Analytica-schandaal, onderstreepten dit toegenomen belang.

De AVG is in het leven geroepen om de veiligheid van onze persoonlijke gegevens te waarborgen. Ook moet het ervoor zorgen dat bedrijven er met respect voor onze privacy mee omgaan. Hoe pak je dat als bedrijf aan? Waar moet je nu op letten? In dit artikel zoomen we in op de vereisten van de AVG.

De AVG vereist expliciete toestemming

Pen naast een document met een vinkje‘Toestemming’ is een ietwat verwarrend begrip binnen de AVG. Toestemming gaat over het naleven van de regels rondom gegevensverzameling en -gebruik. Het betekent dat je als bedrijf de persoon waar je gegevens over beschikt vooropstelt.

Dit komt er vaak op neer dat je al je systemen voor gegevensverwerking moet aanpassen aan de betrokkene. Deze gebruiker moet expliciet toestemming geven voor het gebruik van zijn gegevens. Een simpele ‘opt-out’-knop op je website volstaat niet meer. Als je iemands persoonlijke gegevens wilt gebruiken, om wat voor reden dan ook, inclusief marketingdoeleinden, opslag of delen met derden, dien je daar expliciet en in eenvoudige, begrijpelijke taal toestemming voor te vragen. Je mag niet zomaar persoonsgegevens verwerken.

De AVG vereist ook gedetailleerde toestemming. Gegevens worden immers voor verschillende doeleinden gebruikt. De gebruiker moet zelf kunnen kiezen voor welke doeleinden zijn of haar gegevens gebruikt mogen worden.

De AVG stelt ook dat een gebruiker niet mag lijden als hij of zij ervoor kiest geen gegevens vrij te geven. Geef je als gebruiker geen toestemming voor het gebruik van je gegevens voor marketingdoeleinden? Dan moet je een dienst op dezelfde manier kunnen gebruiken als iemand die wél toestemming heeft gegeven. Een bedrijf mag een gebruiker dus niet bestraffen voor het weigeren van toestemming.

Als bedrijf ben je volgens de AVG ook verplicht je systemen zó in te richten dat een gebruiker in een later stadium zijn eerder verleende toestemming eenvoudig kan intrekken, bijvoorbeeld telefonisch of via een e-mail.

Noodzaak bij beveiliging gegevens

Smartphone met daarop het icoon van een incognito mannetjeDe AVG gaat uit van de beginselen ‘privacy door ontwerp’ en ‘privacy door standaardinstellingen’. Deze staan beter bekend onder de Engelse termen ‘privacy by design’ en ‘privacy by default’. In het kort betekent dit dat privacy en gegevensbescherming meegenomen dienen te worden bij het ontwikkelen van beleid of systemen.

De inbreuk op iemands privacy dient zo klein mogelijk te zijn bij jouw verwerkingsactiviteiten. Bovendien moeten de gegevens technisch goed beveiligd zijn. ‘Passende technische en organisatorische maatregelen treffen’ blijft echter vaag. Hoe ziet dit er in de praktijk uit?

Mogelijke maatregelen die je als organisatie kunt treffen

Organisatorische maatregelen kunnen het volgende omvatten:

  • Pseudonimiseer de persoonsgegevens.
  • Verleen niet iedere werknemer toegang tot de gegevens. Geef alleen toegang wanneer dit noodzakelijk is.
  • Zorg ervoor dat je het vermogen hebt bij een incident de toegang tot de persoonsgegevens tijdig kunt herstellen.
  • Zorg ervoor dat je het vermogen hebt om de vertrouwelijkheid, beschikbaarheid en integriteit van je verwerkingssysteem of dienst te garanderen.
  • Test je procedures en evalueer je maatregelen regelmatig.

Technische maatregelen kunnen deze zaken omvatten:

Lees ook onze eigen tips om je bedrijf cybersecure te houden. Ook geven we tips voor thuiswerken.

Op welke bedrijven is de AVG van toepassing?

De AVG biedt bedrijven een kader voor gegevensverwerking dat werkt met een aantal vereisten. Deze zijn allemaal opgesteld met het oog op privacy. Deze wet geldt in principe voor alle bedrijven in de Europese Unie, maar daar houdt het niet bij op.

Wat als mijn bedrijf buiten de EU gevestigd is?

Hoewel de AVG een Europese wet is, is hij niet alleen van toepassing binnen de EU. De AVG geldt voor elk bedrijf dat gegevens van EU-ingezetenen verwerkt. Is je organisatie buiten de EU gevestigd, maar lever je goederen of diensten aan iemand binnen de EU? Dan heb je met de AVG te maken. Op deze manier worden alle inwoners van de EU ten alle tijden door dezelfde wet beschermd.

Het mkb en de Algemene verordening gegevensbescherming

De AVG is van toepassing op bedrijven van alle vormen en maten, inclusief eenmanszaken. De Europese wet gaat niet over organisatieomvang, maar over de hoeveelheid en het soort gegevens dat een organisatie verwerkt. De AVG maakt wel een uitzondering voor kleinere organisaties die 250 werknemers of minder hebben. Die bedrijven krijgen een versoepeling van de documentatieplicht, maar alleen als de rechten van de gebruiker daarmee niet onder druk komen te staan en de gegevens slechts af en toe verwerkt worden.

In de praktijk moeten ook (middel)kleine ondernemingen gewoon een verwerkingsregistratie bijhouden. Zij hoeven dit alleen niet wanneer voldaan wordt aan alle drie eisen:

  • De verwerking van persoonsgegevens is incidenteel. In de praktijk is dit zelden het geval. Denk maar aan de persoonsgegevens van medewerkers. Deze moeten altijd worden bijgehouden.
  • Er worden geen persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de personen in kwestie.
  • Er is geen sprake van verwerking van persoonsgegevens in de categorie ‘bijzondere persoonsgegevens’. Hieronder valt informatie over iemands religie, gezondheid, politieke voorkeur of strafrechtelijke gegevens.

AVG’s definitie van persoonlijke gegevens

Lijst met een vergrootglas en schildWat bedoelt de AVG met ‘persoonlijke gegevens’? De AVG onderscheidt twee categorieën persoonlijke gegevens. Het is belangrijk om als bedrijf onderscheid te maken tussen deze twee categorieën, omdat ze invloed hebben op wat je als bedrijf wel en niet met die informatie mag doen. De twee categorieën zijn:

  • Persoonlijke gegevens.
  • Gevoelige of bijzondere persoonlijke gegevens.

Persoonlijke gegevens (GDPR-artikel 4/1)

Een gegeven is persoonlijk zodra je er een individu mee kunt identificeren. Tot deze zogenaamde ‘identifiers’ behoren onder andere een naam, adres en geboortedatum, maar ook iemands IP-adres. Persoonlijke gegevens zijn ook gegevens die kenmerkend zijn voor de economische, culturele of fysiologische identiteit van een persoon. Denk hierbij aan inkomen of vrijetijdsbesteding.

Bijzondere persoonsgegevens (GDPR-artikel 9)

Het is belangrijk om onderscheid te maken tussen de persoonlijke gegevens hierboven en ‘gevoelige’ bijzondere persoonsgegevens, waarvoor de AVG strikte regels hanteert. Gevoelige persoonlijke gegevens omvatten genetische gegevens, biometrische gegevens en gegevens die betrekking hebben op iemands persoonlijke voorkeuren of achtergrond. Denk aan religie, afkomst, vakbondslidmaatschap enzovoorts.

Basisrechten van betrokkenen in het kort

Vrouwe JustitiaDe persoon op wie de gegevens betrekking hebben, noemt de wet de ‘betrokkene’. Volgens de AVG heeft een betrokkene acht basisrechten. Dit zijn ze in het kort:

  1. De betrokkene heeft recht op duidelijke informatie over zijn gegevens.
  2. De betrokkene heeft recht op toegang tot zijn gegevens.
  3. Een betrokkene heeft het recht zijn gegevens aan te passen en te rectificeren.
  4. Ook heeft de betrokkene het recht om zijn gegevens te (laten) verwijderen.
  5. De betrokkene heeft het recht gegevensverwerking te beperken.
  6. De betrokkene mag zijn eigen gegevens overdragen aan een andere partij.
  7. Ook heeft de betrokkene het recht om bezwaar te maken tegen het gebruik van zijn gegevens.
  8. De betrokkene heeft bovendien het recht om ‘nee’ te zeggen tegen geautomatiseerde besluitvorming. Hieronder valt ook profilering.

Hoe je deze rechten waarborgt, lees je in hoofdstuk 7 van de handleiding van het AVG.

Boetes van de Autoriteit Persoonsgegevens

Geld in een gat op een computerschermEen van de redenen dat de AVG veel bedrijven angst inboezemt, is dat ze een boete riskeren door de Autoriteit Persoonsgegevens als ze de wet schenden. Zo’n boete kan ontzettend hoog oplopen. De AVG en toezichthouders onderscheiden twee boete-categorieën. Dit zijn:

Boete-categorie 1

2% van de wereldwijde jaaromzet óf 10 miljoen euro, afhankelijk van welk bedrag hoger is.

De Algemene verordening gegevensbescherming geeft deze mogelijke redenen voor de boete:

  • Data-inbreuken, bijvoorbeeld na een gegevenslek.
  • Geen gebruik maken van de diensten van een functionaris gegevensbescherming als dit wel nodig is.
  • Geen Data Protection Impact Assessment (DPIA) uitvoeren als dit wel nodig is.
  • Niet de juiste documentatie bijhouden.

Boete-categorie 2

4% van de wereldwijde jaaromzet óf 20 miljoen euro, afhankelijk van welk bedrag hoger is.

De Algemene verordening gegevensbescherming geeft deze mogelijke redenen voor de boete:

  • Persoonsgegevens verwerken zonder toestemming.
  • Niet handhaven van consumentenrechten volgens de AVG-regels.
  • Gegevens naar buiten de EU sturen zonder je aan de AVG te houden. Dit wil zeggen dat je gegevens alleen mag versturen wanneer je kunt garanderen dat zowel de technische als organisatorische beveiliging minstens even hoog zijn als in de EU.

Heb ik een functionaris gegevensbescherming nodig?

Een functionaris gegevensbescherming (Engels: Data Protection Officer (DPO)) is een werknemer of externe consultant die je bedrijf adviseert en helpt bij het voldoen aan de AVG. Deze functionarissen kunnen bijvoorbeeld een ‘Data Protection Impact Assessment’ (DPIA) voor je uitvoeren. Hiermee brengen ze in kaart wat de mogelijke privacyrisico’s van gegevensverwerking binnen jouw bedrijf zijn. Het uitvoeren van zo’n DPIA door een DPO is in bepaalde situaties een vereiste van de AVG.

Het aanstellen van een functionaris gegevensbescherming is volgens de AVG verplicht voor:

  • Overheidsinstanties en publieke organisaties.
  • Organisaties die op grote schaal persoonsgegevens verwerken.
  • Organisaties die gegevens verwerken die in een bijzondere categorie vallen, zoals de gevoelige persoonlijke gegevens of strafrechtelijke gegevens.

Ook als een bedrijf niet verplicht is een functionaris aan te stellen, kan het toch nuttig zijn een privacyspecialist aan te nemen. Deze mensen zijn immers compleet op de hoogte van de wet en alle mogelijke privacyrisico’s die je als bedrijf kunt lopen. In plaats van een functionaris, zou je ook kunnen overwegen een MSSP in te huren. Verschillende MSSP’s zijn gespecialiseerd in AVG-compliance, waarbij ze daarnaast  zorg dragen over jouw algemene cybersecurity.

De AVG: lust of last?

Voldoen aan de AVG is geen eenmalige taak waarbij je een checklist afgaat en wat hokjes afvinkt. Je kunt de AVG beter zien als een bewustwordingsproces. Je krijgt langzaam maar zeker een steeds beter begrip over het hoe en waarom je persoonsgegevens binnen je bedrijf verwerkt.

Bij het voldoen aan de AVG ben je een groot deel van de tijd bezig met het documenteren van processen en het in kaart brengen en categoriseren van gegevens. Dat kan tevens het beveiligingsbewustzijn binnen je bedrijf vergroten. Bij het voldoen aan de AVG kunnen beveiligingskwetsbaarheden aan het licht komen. Het oplossen van deze problemen is niet alleen goed voor je klant, maar ook voor je bedrijf.

Toegegeven, voldoen aan de AVG is lang niet altijd gemakkelijk. Maar als je boetes wilt vermijden en wilt aantonen dat je de privacy van je klanten respecteert, is het toch belangrijk je aan de AVG-regels te houden. Weet je niet helemaal goed hoe je daaraan moet beginnen? Dan hebben we hier 6 AVG-tips speciaal voor het mkb voor je.

Een laatste noot: als je twijfelt of jouw bedrijf wel aan de AVG voldoet, schakel dan vooral een deskundige in die persoonlijk advies kan geven!

Aan de slag met de AVG: veelgestelde vragen

Heb je een vraag die je snel beantwoord wilt hebben? Kijk dan in onze FAQ of stel hem in de reacties.

AVG staat voor ‘Algemene verordening gegevensverwerking‘. Dit is de Nederlandse benaming voor de Europese wet ‘General Data Protection Regulation’ (GDPR).

De AVG geldt voor alle Europese bedrijven. Ook bedrijven buiten de EU die wel klanten of zaken binnen de EU hebben, moeten zich houden aan deze wet.

Bepaalde organisaties moeten altijd een functionaris gegevensbescherming in dienst hebben. Het gaat hier om:

  • Overheidsinstanties en publieke organisaties.
  • Organisaties die op grote schaal gegevens verwerken.
  • Organisaties die gegevens verwerken die in een bijzondere categorie vallen.

Een functionaris of Managed Security Service Provider is echter voor elk bedrijf nuttig.

Cybersecurity analist
David is een cybersecurity-analist en een van de oprichters van VPNgids.nl. Sinds 2014 heeft hij internationale ervaring opgedaan in het werken met overheden, NGO's en de private sector als cybersecurity- en VPN-expert en adviseur. Meer over David.
Plaats een reactie
Een reactie plaatsen