Wat betekent de AVG voor jouw onderneming?

Vertel mij meer over:

• Wat is de AVG?
• AVG of AVG-wet?
• Wat wordt er geregeld in de AVG?
• De AVG voor bepaalde sectoren
• Welke boetes staan er op het overtreden van de AVG?
• Wanneer moet ik een datalek melden?
• Hoe gaat DataChecker om met de AVG?

Wat is de AVG?

De afkorting AVG staat voor Algemene verordening gegevensbescherming. In deze verordening is alles wat met privacy te maken heeft, vastgelegd.

AVG of AVG-wet?

Vaak horen we mensen spreken over de AVG-wet. Toch klopt de term ‘AVG-wet’ niet helemaal. De AVG zelf is namelijk geen wet. De ‘v’ in AVG staat namelijk voor verordening en een verordening bevat regels die gelden in alle lidstaten van de Europese Unie. We noemen dat ook wel de ‘rechtstreekse werking’ van de verordening. Voor iedereen in de Europese Unie is de regelgeving met een Europese verordening dus gelijk. Als verordeningen in strijd zijn met de nationale wetgeving, dan zijn de regels in de verordening leidend.

De Europese verordening waar het hier allemaal om draait, heet eigenlijk de General Data Protection Regulation (GDPR). Iedere lidstaat werkt de regels uit de verordening uit in de nationale wetgeving. In ons geval staat die nationale uitwerking in de Uitvoeringswet Algemene verordening gegevensbescherming. Hierin vinden we alles wat in de GDPR is vastgelegd, vertaald naar ons eigen rechtssysteem. Als mensen het hebben over de AVG-wet, verwijzen ze dus eigenlijk naar de uitvoeringswet. Het is niet fout, maar het is goed je ervan bewust te zijn dat de verordening zelf dus al een rechtstreekse werking heeft.

Wat wordt er geregeld in de AVG?

Voorheen was onze nationale wetgeving rondom privacy geregeld in de Wet bescherming persoonsgegevens (Wbp). Met de komst van de Algemene verordening gegevensbescherming is de Wet bescherming persoonsgegevens komen te vervallen. De AVG is op veel vlakken vooral een verruiming van de Wbp. Zo is het onder de AVG makkelijker om voor jezelf op te komen als het gaat om de verwerking van persoonsgegevens. De privacyrechten die mensen hebben, zijn met de komst van de AVG aanzienlijk versterkt en uitgebreid. Dat brengt ook met zich mee dat er in de AVG meer verantwoordelijkheden (dan voorheen onder de Wbp) bij organisaties komen te liggen. Tot slot biedt de AVG privacytoezichthouders de mogelijkheid om boetes tot 20 miljoen euro op te leggen. Onder de Wbp was dit niet in alle EU-landen op dezelfde manier geregeld.

Samenvattend kun je stellen dat je in de AVG alles vindt over de verplichtingen van organisaties als het gaat om het verwerken en opslaan van persoonsgegevens. De Uitvoeringswet AVG regelt hoe je kunt optreden tegen overtreding van de regels en je vindt er welke toezichthouders kunnen ingrijpen bij privacyschendingen. 

Maar welke privacyrechten hebben we het nu eigenlijk over? In de AVG vind je de regels met betrekking tot het opslaan en de verwerking van persoonsgegevens. Zo mag je alleen persoonsgegevens opslaan als daar een geldige grondslag voor bestaat. Een van de geldige grondslagen is toestemming van de gebruiker. Heb je deze toestemming niet, dan moet er een vitaal belang, wettelijke verplichting, overeenkomst, algemeen belang of gerechtvaardigd belang zijn om de gegevens te mogen verwerken. Iedereen moet bovendien kunnen weten welke grondslag de basis vormt voor het opslaan van zijn gegevens. In een privacyverklaring leg je daarom vast welke persoonsgegevens je verzamelt, met welk doel en hoelang je deze persoonsgegevens bewaart.

De AVG voor bepaalde sectoren

In sommige sectoren worden bijzondere persoonsgegevens verzameld, zoals medische of financiële gegevens. Bij de vergaring van deze bijzondere persoonsgegevens is het nog belangrijker dat er zorgvuldig mee wordt omgegaan, omdat het lekken van deze gegevens grote gevolgen kan hebben. We zullen daarom een aantal sectoren uitlichten die te maken hebben met bijzonder gevoelige persoonsgegevens en we vertellen je waar je rekening mee moet houden als je in deze sectoren gegevens wilt verwerken volgens de regels van de AVG.

Voordat we inzoomen op de verschillende sectoren is er als werkgever nog iets waar je rekening mee moet houden. Zo gaat de AVG namelijk niet alleen over de gegevensverwerking van je klanten, maar ook over het vastleggen van gegevens over je medewerkers. Heb je bovendien meer dan 250 werknemers in dienst, dan ben je zelfs verplicht om een register van verwerkingsgegevens bij te houden. Voor bedrijven met minder dan 250 werknemers geldt deze verplichting niet, tenzij de verwerking van persoonsgegevens niet incidenteel is. Leg je dus standaard van al je klanten de contactgegevens vast, dan betekent dit dat al je een verwerkingsregister moet bijhouden.

Soms kan het daarnaast nodig zijn om een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Deze FG is verplicht als je op grote schaal individuen volgt of hun gegevens opslaat. Ook als je op grote schaal bijzondere persoonsgegevens verwerkt, zoals informatie over de geloofsovertuiging, gezondheid en genetische gegevens, dan dien je een functionaris aan te stellen die toeziet op de juiste verwerking van de gegevens.

AVG in de zorgsector

In de zorg heb je vaak te maken met bijzondere persoonsgegevens, zoals medische gegevens. Omdat het hier gaat over bijzondere persoonsgegevens, worden aan de verwerking hiervan nog strengere eisen gesteld. Zo mag niet iedere zorgverlener automatisch toegang hebben tot de medische gegevens van patiënt X. Alleen de zorgverleners die een behandelrelatie hebben met deze patiënt mogen volgens de AVG toegang hebben tot de gegevens. Net als in de andere sectoren geldt ook in de zorg dat je nooit meer gegevens mag opslaan dan daadwerkelijk noodzakelijk is én dat je de gegevens niet langer bewaart dan nodig. Het is daarbij niet alleen van belang dat je de gegevens op de juiste manier verwerkt, maar vooral ook dat je op de juiste manier vastlegt hoe je de gegevens verwerkt.

AVG voor makelaars

Net als in alle andere sectoren geldt ook voor makelaars dat je alleen de gegevens mag vastleggen die je nodig hebt. Bij iedere registratie moet je je dus afvragen of de informatie die je vraagt, wel echt noodzakelijk is. Voor een bezichtiging is het misschien heel interessant om te weten of de kijkers de woning ook daadwerkelijk kunnen kopen en of ze over voldoende financiële middelen beschikken, maar noodzakelijk is het niet. Met de komst van de AVG mag je voor een bezichtiging dus niet meer vragen om financiële gegevens. Een telefoonnummer en een naam zijn meer dan voldoende om een afspraak voor de bezichtiging te kunnen maken.

Volgens de AVG moet je in de privacyverklaring, waarin je de verwerkte gegevens vastlegt, ook vastleggen hoelang je bepaalde persoonsgegevens bewaart. Dat is natuurlijk afhankelijk van verplichtingen die voortvloeien uit andere wetten. De wettelijke bewaartermijnen kun je vinden in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en de Algemene wet inzake rijksbelastingen (AWR).

AVG voor uitzendbureaus

In de uitzendbranche was het tot voor kort nog heel gebruikelijk om zo’n beetje alle gegevens van de flexwerkers op te slaan. Door de komst van de AVG is het noodzakelijk om eens kritisch naar al deze gegevens te kijken en te beoordelen of je ze wel echt nodig hebt. Het maakt daarbij uit of een uitzendkracht nog steeds voor het uitzendbureau werkt of dat hij geen arbeid meer voor het uitzendbureau verricht. Van een niet voor je bureau werkzame kandidaat heb je immers geen BSN of informatie over de godsdienst nodig. Deze gegevens moet je dan ook verwijderen of anonimiseren.

Daarnaast is het opstellen van verwerkersovereenkomsten binnen de uitzendbranche een belangrijk onderwerp. Op grond van de AVG geldt dat je met iedereen waaraan je gegevens van jouw klanten verstrekt, een verwerkersovereenkomst dienst aan te gaan. Hierin leg je vast welke gegevens je overdraagt en met welk doel. Voor het uitzenden van arbeidskrachten heb je natuurlijk in de eerste plaats te maken met inleners. Stel daarom altijd een verwerkersovereenkomst op voor de uitwisseling van gegevens met de inlener. Maar ook met de boekhouder, de softwareleverancier en de verloningspartij dien je een verwerkersovereenkomst te hebben.

Omdat arbeidsbemiddelingsbureaus, waaronder dus ook uitzendbureaus, van veel individuen de gegevens verzamelen, is het in deze branche verplicht om een Functionaris voor de Gegevensbescherming aan te wijzen.

Welke boetes staan er op het overtreden van de AVG?

De Autoriteit Persoonsgegevens (AP) controleert in Nederland of iedereen zich aan de AVG houdt. Ben je in overtreding, ofwel omdat je de gegevens niet op de juiste manier vastlegt, ofwel omdat je de gegevens niet op de juiste manier verwerkt, dan kan de AP hiervoor een boete opleggen. Andere sancties die de Autoriteit Persoonsgegevens kan opleggen, zijn een verwerkingsverbod, een last onder dwangsom en een berisping.

De maximale boete voor het overtreden van de AVG is 20 miljoen euro of 4% van de wereldwijde jaaromzet. Dat betekent dat een boete veel impact zal hebben. Des te belangrijker is het om alles in jouw bedrijf volgens de regels vast te leggen én uit te voeren.

Om je een idee te geven hoe serieus de boetes van de AP zijn, volgen hieronder een aantal boetes die in de afgelopen tijd zijn uitgedeeld. Uiteraard vertellen we je ook waarom deze boete werd opgelegd, zodat je er iets van kunt leren voor je eigen bedrijfsvoering.

• Een ziekenhuis had volgens de AP de patiëntendossiers niet goed beveiligd. Boete: € 460.000.
• Een kredietmaatschappij vroeg geld als mensen digitaal hun persoonsgegevens wilden inzien. Omdat je geen drempels voor inzage mag opwerpen, legde de AP een boete op van € 830.000.
• Een bedrijf kreeg van de AP een boete van € 600.00 omdat ze niet binnen 72 uur hebben gemeld dat er sprake was van een datalek.

Wanneer moet ik een datalek melden?

Hierboven noemden we al even de boete die de Autoriteit Persoonsgegevens aan een bedrijf heeft opgelegd voor het niet tijdig melden van een datalek. € 600.000 is niet mals en daarom is het goed om te weten wanneer je een datalek moet melden en wie je hierover moet informeren.

Wanneer je te maken krijgt met een datalek, dan ben je op grond van de AVG-wetgeving in eerste instantie verplicht om het risico van het lek in te schatten. Deze schat je in op basis van de mogelijke gevolgen van het lekken van de gegevens en de waarschijnlijkheid dat deze gevolgen zich ook daadwerkelijk voordoen. Hoe gevoeliger de gegevens zijn, hoe groter het risico is op schade.

Kom je tot de conclusie dat er nauwelijks een risico is, dan hoef je een datalek niet te melden. Is je conclusie dat er wel een risico bestaat, dan moet je het datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Je bent op basis van de AVG bovendien verplicht om de betrokkenen in te lichten als er sprake is van een hoog risico. Op de website van de AP vind je een voorbeeldlijst met mogelijke datalekken, met per situatie een advies om het wel of niet te melden.

Hoe gaat DataChecker om met de AVG?

Bij DataChecker nemen we privacy serieus. We zijn ons dan ook terdege bewust van de veiligheidsrisico’s. Onze systemen zijn zo gebouwd dat alle processen niet alleen voldoen aan de hoogste kwaliteitsnormen, maar ook voldoende veilig zijn als het gaat om gegevensuitwisseling. Onze servers zijn beveiligd en onze processen zijn verantwoordelijk en transparant ingericht. Omdat wij jouw klantgegevens niet langer willen bewaren dan nodig, hanteren we een bewaartermijn van 48 uur na de verwerking. Onze klanten kunnen de gegevens wel langer bewaren, doordat we gebruikmaken van een data-archive-tool.

Ben jij op zoek naar slimme online identificatie- en verificatieoplossingen voor de gegevensverwerking binnen jouw bedrijf? Bekijk dan hieronder de oplossingen die DataChecker biedt.