AVG Jubileum

Over een paar maanden viert de Algemene verordening gegevensbescherming (AVG) wet haar éénjarig jubileum. Er is veel gesproken, geschreven en te doen geweest over de wet. Dat is niet vreemd. De ruis rondom deze wet heeft, volgens mij, voornamelijk te maken met het feit dat de AVG veel open normen kent. Welke open normen zijn er, hoe vul je ze in en welke misverstanden kom je tegen? Lees het in deze blog.

Deze open normen zul je zelf moeten invullen al of niet mede op basis van toekomstige richtlijnen van de toezichthouders of rechters. Je moet “passende” maatregelen nemen. “Transparant” zijn over je persoonsverwerkingen. Betrokkenen over datalekken informeren bij “waarschijnlijke grote risico’s”, en ga zo maar door. In de onderstaande opsomming neem ik je mee in de misverstanden die ik het afgelopen jaar tegenkwam.

1. Er is altijd toestemming nodig om persoonsgegevens te verwerken.

Om persoonsgegevens te mogen verwerken kun je kiezen uit een aantal grondslagen. Er kunnen persoonsgegevens verwerkt worden omdat dit noodzakelijk is vanwege de overeenkomst of de wet; of omdat dit in het gerechtvaardigde belang is van de onderneming. Het kan ook op basis van de toestemming, maar deze grondslag kan in de uitzendbranche vaak niet gebruikt worden. Een belangrijke voorwaarde voor de toestemming is dat deze vrij gegeven moet worden. Daar is in de verhouding baas – medewerker, werkgever – sollicitant meestal geen sprake van. Als je een baan graag wilt of wilt behouden, ben je immers makkelijk geneigd toestemming te geven. Het komt zelfs voor dat medewerkers gevraagd worden toestemming te geven voor een privacy statement. Vreemd, want met een privacy statement informeer je medewerkers over de gegevensverwerking. Daar hoort helemaal geen toestemming bij! Er is dus niet altijd toestemming nodig om persoonsgegevens te verwerken.

2. MKB bedrijven hoeven geen register bij te houden.

De Europese wetgever wil bedrijven ontzien. Daarom is in de verordening opgenomen dat bedrijven met minder dan 250 medewerkers geen register hoeven vast te leggen, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens betreft. Het MKB bedrijf verwerkt al snel gegevens waardoor er een risico is voor de rechten en vrijheden van betrokkenen, en er is veelal geen sprake van incidentele verwerking. In de praktijk wordt het MKB dus niet ontzien!

3. Je verwerkt persoonsgegevens van ons, dus er moet een verwerkersovereenkomst zijn

Als er gegevens worden verwerkt door een derde, betekent dit niet dat de derde direct een verwerker is. Dit is mijns inziens alleen pas aan de orde als deze derde dit in jouw opdracht doet en je de verwerking van die persoonsgegevens zelf had kunnen doen voor dat doel. Ik geef bij een tandartsbezoek persoonsgegevens af, maar dat maakt de tandarts nog geen verwerker. Maar hoe zit dat eigenlijk met bijvoorbeeld schoonmaakbedrijven, payrollbedrijven, doorleners of arbodiensten?

4. Het zal niet zo’n vaart lopen moet boetes

De wet zegt dat boetes moeten afschrikken, maar ook dat het proportioneel moet zijn. Een boete van 10 miljoen zal dus niet zo snel worden opgelegd aan MKB-bedrijven in Nederland. Intussen worden de eerste boetes toch uitgedeeld. In Nederland bijvoorbeeld aan Theodoor Gillissen, Uber en de politie. Ook internationaal worden er sancties uitgedeeld. Het meest aansprekend is natuurlijk de boete van 50 miljoen euro die door de Franse toezichthouders is uitgedeeld aan Google vanwege onvoldoende transparantie. Een gemiddeld onderzoek van de toezichthouder duurt 9 maanden. Dat betekent dat er de komende maanden meer boetes kunnen volgen. Er is zelfs al een website die al die boetes volgt.

5. Mensen geven niet om privacy
Mensen hechten wel degelijk waarde aan hun privacy. Desondanks laten ze zich in de praktijk vaak leiden door gemak en voordelen die in ruil voor hun persoonsgegevens te verkrijgen zijn. Vaak zien ze de risico’s niet – al of niet omdat de bedrijven niet transparant zijn in wat ze doen. Ik hoor dat meer en meer betrokken gebruik gaan maken van hun rechten om hun gegevens in te zien of te wissen. De autoriteit ontving het laatste half jaar 10000 klachten en er zijn inmiddels meerdere initiatieven die opkomen voor de rechten van betrokkenen. Zie bijvoorbeeld: My Data Done Right en De Datavakbond.

Aantonen naleving vereist

Nieuwe wetgeving gaat altijd gepaard met “aanloopproblemen”. Daar komen we wel weer overheen. Interessant is echter hoe we omgaan met de verplichting uit de AVG om naleving aan te tonen. In de wet staat dat je dit kan doen met een certificaat. Dergelijke certificeringssystemen bestaan nog niet, en kunnen door de markt worden geïnitieerd.

De Stichting AVG Garant heeft zich opgeworpen om tot zo’n certificering te komen. Dit om vooral MKB bedrijven te helpen de AVG te implementeren. Inmiddels heeft de Stichting een norm opgesteld. In maart worden er bij wijze van test twee middelgrote uitzendbureaus geaudit. Bureau Cicero onderschrijft het initiatief van de Stichting en is gevraagd deze eerste twee audits uit te voeren. Op basis van deze twee audits zal de Stichting een definitieve aanmelding voorbereiden bij de Raad voor Accreditatie. Omdat dit een goedkeuringsproces is waarbij ook de Autoriteit Persoonsgegevens en haar Europese partners zijn betrokken zal dit accreditatieproces veel tijd vragen. Ondertussen gaat de Stichting AVG Garant en Cicero, parallel hieraan, gewoon door met het ontwikkelen van het certificeringssysteem en het auditeren daarop. Hiermee willen we de implementatielast voor MKB-bedrijven zo veel mogelijk beperken en bijdragen aan het aantoonbaar verantwoord verwerken van persoonsgegevens. Zo kunt u met de gerust hart blijven ondernemen. Wilt u meer weten over de Stichting AVG Garant of certificering neem gerust contact met me op.

Theo van Leeuwen

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *