Op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) in. Bijna elk bedrijf krijgt met de AVG te maken, maar veel ondernemers zijn nog niet goed voorbereid. De Autoriteit Persoonsgegevens helpt ondernemers graag om met de nieuwe wet aan de slag te gaan. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, zegt tegen ondernemers: “Als je vindt dat de klant koning is, dan moet je zijn data ook op die manier behandelen.”
De AVG brengt allerlei verplichtingen met zich mee voor bedrijven en organisaties. Brengt de nieuwe wet ook voordelen? En wat zijn de belangrijkste veranderingen ten opzichte van de Wet bescherming persoonsgegevens (Wbp)?
“Door de AVG krijgen burgers meer privacyrechten. Het recht op inzage en het recht op correctie en verwijdering wordt uitgebreid. Bovendien kunnen zij een klacht bij de Autoriteit Persoonsgegevens indienen als organisaties niet goed omgaan met hun persoonsgegevens. We hebben straks in de hele Europese Unie dezelfde wetgeving.
Dat is belangrijk, want als iedereen alles van iedereen weet gaat dat ten koste van onze vrije samenleving. Bescherming van data beschermt ook onze waarden als gelijkheid, gelijkwaardigheid, solidariteit en onze democratische rechtsstaat. Met de AVG blijven de hoofdlijnen van de huidige wet Wbp grotendeels intact. Maar voor nieuwe producten geldt ‘privacy by default’ en ‘privacy by design’. Dit betekent dat je bij het ontwerpen van nieuwe producten rekening houdt met de bescherming van privacygevoelige informatie. Uitgangspunt is dat je niet meer persoonsgegevens opslaat dan je nodig hebt. Een ander verschil is dat met de nieuwe wet organisaties verplicht kunnen worden een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris is in drie gevallen verplicht:
- Overheden en publieke organisaties
- Organisaties en bedrijven die vanuit hun kernactiviteiten op grote schaal individuen volgen. Denk hierbij aan cameratoezicht en monitoring van iemands gezondheid via wearables.
- Organisaties en bedrijven die op grote schaal bijzondere persoonsgegevens verwerken en voor wie dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.”
Hoe helpt de Autoriteit Persoonsgegevens ondernemers die vragen hebben over de AVG?
“De Autoriteit Persoonsgegevens geeft veel voorlichting over de AVG. Op de website www.autoriteitpersoonsgegevens.nl staat bijvoorbeeld een 10-stappenplan AVG. Daarnaast geven we presentaties aan brancheorganisaties en grote ondernemersverenigingen. In de maand januari starten we een voorlichtingscampagne en introduceren we nog meer hulpinstrumenten, zoals een regelhulp. De Autoriteit Persoonsgegevens is elke werkdag ’s ochtends en ’s middags telefonisch bereikbaar voor vragen over de AVG. En voor de functionaris voor de gegevensbescherming (FG) zijn we na 25 mei zelfs dag en nacht bereikbaar.”
Wat is de eerste stap die een ondernemer moet zetten?
“Vraag jezelf als eerste stap af welke data je nodig hebt en voor welk doel. Als je een ICT-bedrijf inhuurt, geef dan opdracht dat je je product privacyvriendelijk wilt hebben én beveiligd. Mijn tip aan veel bedrijven is: check je verwerkersovereenkomst. Een verwerker is een partij aan wie de gegevensverwerking is uitbesteed. Je moet als ondernemer jezelf ervan vergewissen dat de data die gebruikt wordt veilig is. AVG is weliswaar ingewikkelde materie, maar gebruik ook je gezond verstand: heb ik deze data echt nodig? En mag ik deze data zomaar gebruiken of moet ik om toestemming vragen? Dan kom je al een heel eind met de vraag wat wel en niet mag. Op het vlak van financiën vinden we een boekhouding vanzelfsprekend. Niet alleen omdat het moet, het geeft je ook inzicht in waar je mee bezig bent. In deze data gedreven wereld is het dus niet meer dan normaal dat je ook voor gegevens een boekhouding bijhoudt, een databoekhouding.
Het zou mooi zijn als elke startende ondernemer zich bij de voorbereiding bewust is van de AVG en dit ook meeneemt in zijn ondernemingsplan. Begin daarom met lezen van het 10-stappenplan (PDF) of maak gebruik van de regelhulp. Ook als je als zzp’er of mkb’er al vijf jaar je eigen bedrijf hebt en een groot bestand hebt van opdrachtgevers is goed voorbereiden op de AVG van belang. Begin met het inventariseren van de data die je hebt. Je moet je afvragen op welke grond je deze data hebt.”
Hoe zit het met de controles die de Autoriteit Persoonsgegevens gaat doen?
“We kunnen onderzoek doen naar aanleiding van klachten. En wij gaan steekproefsgewijs controles doen bij organisaties en bedrijven. Belangrijk is de vraag of de beveiliging op orde is. Onze controles zullen risico gestuurd zijn. Bij deze controle is basaal:
- De databoekhouding: je moet je databoekhouding bijhouden, net zoals je je financiële boekhouding bijhoudt.
- De functionaris voor de gegevensbescherming: als een bedrijf een FG moet hebben, wie is de FG?
Betrouwbaarheid is essentieel en de overheid heeft daarin een voorbeeldfunctie. De Autoriteit Persoonsgegevens gaat (minstens) net zo streng zijn voor de overheid als voor bedrijven.”
U heeft zelf in het telefoonteam van de Autoriteit Persoonsgegevens gezeten en vragen beantwoord. Kunt u voorbeelden noemen van hoe het niet moet?
“Wat ik een duidelijk voorbeeld vind van onzorgvuldig omgaan met persoonsgegevens, is een huisarts die een verzekeraar moest informeren over de ziekte van zijn patiënt. Hij stuurde toen per abuis het hele medische dossier, inclusief die van andere familieleden, naar de verzekeraar. Een ander voorbeeld is een kinderdagverblijf dat in de nieuwsbrief naar de ouders schreef dat een leidster afwezig was wegens een maagverkleining. Dit is privacyinformatie die je als kinderdagverblijf niet hoort te verspreiden.
En dan nog iets over het burgerservicenummer (BSN). Dit is een persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en de overheid. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Je mag niet vragen om een kopie van iemands paspoort bij bijvoorbeeld het afsluiten van een abonnement bij een sportschool. Voordat je een product aan een klant verkoopt mag je niet allerlei persoonlijke gegevens van een klant vragen. Je ziet, het mooie van de AVG is dat het een sanering van data is.”
Zitten er belangrijke nieuwe ontwikkelingen aan te komen voor ondernemers op het gebied van privacy?
“Ik wil er graag twee noemen. De eerste is de EU-richtlijn PSD2 (Payment Service Directive 2). Dit is een wetsvoorstel dat nieuwe soorten dienstverleners de kans biedt actief te worden op de betaalmarkt. Het gaat om twee nieuwe diensten, namelijk betaal-initiatie-diensten (zoals betalen via je telefoon) en rekening-informatie-diensten (het geven van toegang aan derde partijen over bankgegevens van je betaalrekening). Uiteraard zijn deze diensten alleen mogelijk met toestemming van de gebruiker. Een tweede ontwikkeling is de e-privacyverordening. Dit gaat over elektronische communicatiegegevens die als persoonsgegevens kunnen worden aangemerkt, zoals bijvoorbeeld cookies. Het is een verordening die is aangenomen in het Europees Parlement. Deze zal naar verwachting medio 2019 ingaan.”
Tot slot, welke tip geeft u ondernemers mee?
“Bedenk altijd dat als je klant koning is, je zijn data ook zo behandelt. Hoe zou je zelf behandeld willen worden als je klant zou zijn? Denk logisch na. Voorkom bijvoorbeeld zwakke wachtwoorden op computers. Helaas komt dit nog steeds voor. Of verstuur e-mail met encryptie als het om gevoelige informatie gaat. Als je slordig omgaat met gegevens verlies je vertrouwen. Ik hoop dat veel ondernemers aan de slag gaan met de AVG en daarvoor van binnenuit gemotiveerd zijn.”
Meer informatie
