Blog over recht en ICT

      rechtenict@juridict.nl

AVG Compliant

De Algemene Verordening Gegevensbescherming (AVG) is met ingang van 25 mei jl. in werking getreden. Naarmate deze datum dichterbij kwam, werd er steeds meer aandacht besteed aan de komst van de AVG, niet in de minste plaats door tal van bedrijven die met de verwijzing naar de torenhoge boetes, diensten en producten aanboden om het onheil af te wenden. Ondanks deze “hulp” zijn er nog steeds veel organisaties die zoeken naar een juiste aanpak.

Ook afgelopen week kreeg ik nog regelmatig vragen over de AVG, vooral van kleinere organisaties waaronder MKB bedrijven en vrije beroepsbeoefenaars. Deze vragen hebben vooral betrekking op de eisen die de AVG specifiek aan hun bedrijfsvoering stelt. Ik heb de meest gestelde vier vragen hieronder opgenomen.

Verwerkingsregister

De eerste vraag is of kleinere organisaties nu ook een verwerkingsregister moeten aanleggen. In de meeste gevallen is het antwoord op deze vraag “Ja”. Een uitzondering geldt voor bedrijven die slechts incidenteel persoonsgegevens verwerken. In de praktijk zal er slechts in een beperkt aantal gevallen een beroep op deze uitzondering gedaan kunnen worden. Vrijwel alle organisaties zullen een verwerkingsregister moeten aanleggen en onderhouden.

Het opstellen en onderhouden van dit register is relatief eenvoudig. In het register moet, op grond van art. 30 AVG, onder andere het volgende worden opgenomen:

  • De contactgegevens van de verwerkingsverantwoordelijke (of zijn vertegenwoordiger) en eventueel ook de functionaris voor de gegevensbescherming.

  • De verwerkingsdoeleinden. Voorbeelden hiervan zijn direct markering, personeelsadministratie, etc.

  • Een beschrijving van de categorieën van betrokkenen (zoals bijvoorbeeld klanten, patiënten, werknemers) en van de persoonsgegevens (zoals bijvoorbeeld naw-gegevens, ip-adressen).

  • De categorieën van partijen aan wie de gegevens zullen worden verstrekt.

  • Indien gegevens aan derde landen worden verstrekt: vermelding van het derde land en waar nodig documentatie omtrent de genomen passende waarborgen voor de bescherming van persoonsgegevens in dit derde land.

  • De beoogde bewaartermijnen.

  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Verwerkersovereenkomst

Een tweede vraag is of er verwerkersovereenkomsten moeten worden afgesloten met leveranciers. In een aantal gevallen is dit nodig. Wanneer je een toeleverancier inschakelt om persoonsgegevens te laten (of te kunnen) verwerken dan moet er in veel gevallen een verwerkersovereenkomst worden gesloten. Denk hierbij bijvoorbeeld aan het laten voeren van een personeelsadministratie, het extern laten beheren van een ICT systeem of het afnemen van een ICT systeem in “de cloud”.

Op grond van art. 28 AVG dien je binnen de verwerkersovereenkomst tenminste de volgende zaken af te spreken:

  • het onderwerp en de duur van de verwerking;

  • het doel en de aard van de verwerking;

  • het soort persoonsgegevens waarop de verwerkersovereenkomst betrekking heeft;

  • de categorieën van verwerking van de betreffende betrokkenen;

  • de rechten en verplichtingen van de verwerkingsverantwoordelijke.

In tegenstelling van wat soms wordt gedacht, hoeft de verwerkersovereenkomst geen losse overeenkomst te zijn: integendeel! Bij het sluiten van nieuwe overeenkomsten waarbij persoonsgegevens meespelen is het raadzaam om de verwerkersovereenkomst een integraal onderdeel te maken van de overeenkomst.

Privacyverklaring

Een derde, veel terugkomende vraag is of er een privacyverklaring nodig is. In de meeste gevallen is deze vraag met “Ja” te beantwoorden. Door middel van een privacyverklaring kun je bijvoorbeeld je klanten informeren over welke privacygevoelige gegevens er worden verzameld en met welk doel dit gebeurd. Art. 12 AVG noemt enkele vormvereisten waaraan een privacyverklaring moet voldoen. Hieruit kunnen we opmaken dat je als “verwerkingsverantwoordelijke” de betrokkene op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm dient te informeren. Dit in duidelijke en eenvoudige taal. Dit dient dus geen lijvig boekwerk te zijn en kan vrij eenvoudig worden opgesteld.

Functionaris gegevensbescherming

De vierde terugkomende vraag is of het nu echt nodig is om een Functionaris gegevensbescherming (FG) aan te nemen of in te huren. Dit is in de meeste gevallen helemaal niet nodig. De verplichting om een FG aan te stellen geldt voor overheidsinstanties en voor bedrijven van wie de kernactiviteit bestaat uit grootschalige gegevensverwerking. Een voorbeeld hiervan is een ziekenhuis dat nu eenmaal veel patiëntgegevens verwerkt. Tenzij het duidelijk is dat je als organisatie niet verplicht bent om een FG aan te wijzen, raadt de Artikel 29-werkgroep verantwoordelijken en verwerkers aan om in een interne analyse vast te leggen of er al dan niet een FG aangesteld moet worden. Dit om aan te kunnen tonen dat met de betreffende factoren goed rekening is gehouden. De Artikel 29-werkgroep is het onafhankelijke advies- en overlegorgaan van Europese privacytoezichthouders waaronder de Autoriteit Persoonsgegevens (AP).

AVG compliant

Veel kleine organisaties kunnen er met relatief eenvoudige middelen voor zorgdragen dat zij aan de AVG regelgeving voldoen. De uitkomst is veelal dat het niet nodig is om enorme stapels met papier te gaan produceren. Geef die zaken vorm die voor jouw organisatie nodig zijn, leg dit op een gestructureerde manier vast en onderhoud het ook goed. Controleer uiteraard vooraf goed om welke zaken het in jouw situatie gaat. Raadpleeg hiervoor bijvoorbeeld de Regelhulp van de Autoriteit Persoonsgegevens of laat je hierbij desnoods even bijstaan.