Handleiding GDPR | Algemene verordening gegevensbescherming (AVG)
Het Ministerie van Justitie en Veiligheid heeft een uitvoerig document gepubliceerd waarin uitleg wordt gegeven over alle veranderingen omtrent de nieuwe GDPR/AVG-wetgeving, die in mei van dit jaar van kracht wordt. Het document loopt vanuit een juridisch oogpunt door de complete lijst van alle vereisten die gepaard gaan met de invoering van de nieuwe privacywetgeving, en geeft duidelijkheid over wat bedrijven en hun personeel allemaal moeten doen om volledig compliant te zijn.
Per 25 mei 2018 treedt de Europese General Data Protection Regulation (GDPR) in werking. Binnen Nederland wordt de nieuwe wet ingevoerd onder de naam Algemene Verordening Gegevensbescherming (AVG). Daarmee is de verordening is in ons land de opvolger van de Wet bescherming persoonsgegevens. Het doel van de AVG is om twee belangen te waarborgen: de bescherming van natuurlijke personen in verband met de verwerking van hun gegevens, en het vrije verkeer van persoonsgegevens binnen de EU.
De Europese GDPR is tot stand gekomen als reactie op de vele en grote veranderingen die zich de afgelopen jaren hebben voltrokken in de (online) digitale wereld. Door de opkomst van allerlei nieuwe technologieën beschikken we vandaag de dag over talloze nieuwe mogelijkheden, die vele voordelen bieden, zowel voor organisaties als voor hun klanten. Tegelijk gaan al deze mogelijkheden ook gepaard met nieuwe risico’s, met name op het gebied van privacy en cybercriminaliteit. De GDPR/AVG is mede bedoeld om dergelijke dreigingen beter het hoofd te kunnen bieden.
Allerlei persoonlijke data van klanten staat tegenwoordig digitaal opgeslagen bij diverse bedrijven en instellingen, wat natuurlijk de nodige (privacy)risico’s en met zich meebrengt. In de AVG worden voor burgers de rechten uitgebreid ten aanzien van de verwerking en opslag van hun persoonsgegevens. Daarnaast worden de regels omtrent datalekken verscherpt, zo moeten deze voortaan nauwkeurig worden gedocumenteerd.
Gebruiksaanwijzing
Om managers en ondernemers te helpen op tijd voorbereid te zijn op alle veranderingen, heeft het Ministerie van Justitie en Veiligheid (JenV) een 98 pagina’s tellende handleiding uitgebracht waarin volledig wordt uiteengezet hoe de nieuwe wet en de daarvoor benodigde maatregelen moeten worden geïmplementeerd en gemonitord. Het document, getiteld ‘Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening Gegevensbescherming’, is samengesteld door adviesbureau Considerati onder auspiciën van het Ministerie van JenV. Daarnaast is ook een externe klankbordgroep geraadpleegd bij de totstandkoming van de handleiding.
De uitgebreide gebruiksaanwijzing loopt stap voor stap langs de verschillende punten die van belang zijn voor zij die te maken zullen krijgen met de AVG. Dit is meteen ook het eerste punt waar het document op ingaat: op wie is de AVG eigenlijk precies van toepassing? In zijn algemeenheid kan worden gezegd dat de wet geldt voor iedereen die zich bezighoudt met de opslag en verwerking van persoonsgegevens van EU-burgers. Het kan hierbij gaan om zowel bedrijven en instellingen als om personen, zoals bijvoorbeeld zzp’ers. Wel zijn er enkele uitzonderingen. Zo geldt de wet niet wanneer de verwerking uitsluitend is bedoeld voor zuiver persoonlijke of huishoudelijke activiteiten die geen samenhang hebben met zakelijke activiteiten. Daarnaast is het verwerken van persoonsgegevens door de politie bij het opsporen van strafbare feiten uitgezonderd van de verordening. Hierop is de afzonderlijke Wet politiegegevens van toepassing.
De overgang naar de nieuwe wetgeving heeft, ook nu al, een grote impact op bedrijven en instellingen. Om te zorgen dat de organisatie op tijd goed is ingericht om te voldoen aan de strengere regels, zijn er vaak grote aanpassingen nodig ten aanzien van processen, systemen, werkwijzen, cultuur, personeel en beleid. Ondernemingen die hun zaken na 25 mei niet op orde hebben, lopen een hoog risico: wanneer er sprake is van verwijtbaar handelen, kunnen er in gevallen van non-compliance hoge boetes worden uitgedeeld, oplopend tot wel €20 miljoen, of zelfs 4% van de wereldwijde jaaromzet van een onderneming indien dit meer is dan €20 miljoen.
Data Protection Officer
Een belangrijke nieuwe plicht voor veel van de bedrijven en instellingen die te maken krijgen met de AVG, is het aanstellen van een Data Protection Officer (DPO), wiens taak het is om toe te zien op de naleving van de regels. Op deze manier moet de DPO ook in de gaten houden dat de verschillende elementen binnen een organisatie goed zijn gewapend tegen de hedendaagse cyberdreigingen. Dit betreft bijvoorbeeld het zorgen dat de medewerkers zorgvuldig met gegevens omspringen en het buiten de (digitale) deur houden van cybercriminelen.
Zo’n DPO is verplicht wanneer minimaal één van de volgende criteria van toepassing is op de organisatie: (1) de gegevensverwerking geschiedt door een overheidsinstantie of -orgaan, (2) de kerntaken van de organisatie, of het bedrijf waaraan de verwerking wordt uitbesteed, bestaan uit “verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen” en (3) de al dan niet uitbesteedde kerntaken bestaan uit de verwerking op grote schaal van “speciale categorieën van (persoons)gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten”.
Dit betekent ten eerste dat gemeentelijke, provinciale en landelijke overheden sowieso een DPO moeten aanwijzen. Daarnaast kan bij de tweede voorwaarde worden gedacht aan organisaties als ziekenhuizen, vervoersbedrijven, verzekeringsmaatschappijen en online zoekmachine aanbieders. De derde situatie kan wederom worden gedacht aan ziekenhuizen, maar bijvoorbeeld ook aan onderzoeksinstellingen die gebruik maken van gezondheidsgegevens.
Verwerkingsverantwoordelijke en verwerker
Ten aanzien van de toepassing van de AVG is daarnaast het onderscheid tussen de verwerkingsverantwoordelijke en de verwerker van belang. In de handleiding staat te lezen dat de verwerkingsverantwoordelijke degene is die ‘doel en middelen’ bepaalt voor de verwerking. “Met andere woorden, de verwerkingsverantwoordelijke bepaalt hoe en waarom er persoonsgegevens worden verwerkt.” Hiermee is dit de (rechts)persoon die juridisch gezien letterlijk de verantwoordelijkheid draagt voor compliance met de AVG en de aantoonbaarheid hiervan.
De verwerker geniet een andere status: “De verwerker handelt in opdracht van de verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens, zonder onder diens rechtstreeks gezag te staan.” Dit betekent dat bij deze verwerker – die in veel gevallen bestaat uit een derde partij – de plicht ligt om de instructies van de verwerkingsverantwoordelijke goed op te volgen. Ook moet de verwerker de verwerkingsverantwoordelijke helpen bij het uitvoeren van een deel van de aan de AVG verbonden plichten, waaronder de invulling van de rechten van de betrokkene, het uitvoeren van effectbeoordelingen ten aanzien van de gegevensbescherming en het melden van datalekken.
Aangezien de rolverdeling daarmee zo is ingericht dat de verwerker handelt op basis van de instructies van de verwerkingsverantwoordelijke, is die laatste partij normaal gesproken primair aansprakelijk. Ook op de verwerker zijn echter enkele bepalingen uit de verordening direct van toepassing, waardoor deze ook verantwoordelijk kan worden gesteld voor overtredingen. Dit is bijvoorbeeld mogelijk wanneer de verwerkende partij eigenhandig beslissingen neemt ten aanzien van de dataverwerking. Bovendien bevat de AVG enkele plichten die (ook) zelfstandig gericht zijn aan de verwerker. Het gaat daarbij om de beveiliging van gegevens, het bijhouden van een register van verwerkingsactiviteiten en het aanstellen van de DPO.
Legitimiteit gegevensverzameling en rechten betrokkenen
Verder geeft de handleiding antwoord op allerlei uiteenlopende vragen omtrent de legitimiteit en veiligheid van gegevensverwerking. Zo wordt er gekeken naar de doelen waarvoor persoonsgegevens mogen worden verzameld, op welke manier hier toestemming voor kan worden verkregen en wat hierbij belangrijke aandachtspunten zijn. Vervolgens is er ook uitgebreide aandacht voor de rechten die gelden voor de personen over wie de opgeslagen gegevens gaan. Wanneer moet er bijvoorbeeld gehoor worden gegeven aan hun verzoeken, en binnen welke gestelde termijn?
Zo kent de AVG het recht op informatie, volgens welke de verwerkingsverantwoordelijke de plicht heeft om het publiek te informeren over de gegevensverwerkingen. “Meer specifiek hebben betrokkenen het recht om te weten wat er met hun persoonsgegevens gebeurt en waarom. Ook moeten zij bewust worden gemaakt van de risico’s van de gegevensverwerking, de regels die ervoor gelden, de waarborgen en de manier waarop zij hun rechten met betrekking tot de verwerking van gegevens kunnen uitoefenen.”
Hierbij geldt ook weer een onderscheid: of de gegevens worden bij de betrokkene zelf verzameld – hiervan is sprake in de meeste gevallen, bijvoorbeeld als iemand zijn gegevens invult op een website – of de gegevens worden buiten de betrokkene om verkregen – bijvoorbeeld via andere personen of organisaties of omdat ze op het internet staan. In dergelijke gevallen moet de persoon hiervan op de hoogte worden gebracht, tenzij dit al is gedaan door de partij waar de informatie wel is verkregen.
Recht om vergeten te worden
De AVG zorgt voor een aanzienlijke uitbreiding van de rechten van personen ten aanzien van de over hen opgeslagen gegevens. Wat niet nieuw is in Nederland, is het in de AVG opgenomen recht op rectificatie, dat stelt dat de betrokkene het recht heeft organisaties op te dragen foutieve dan wel incomplete gegevens te corrigeren of aan te vullen. Daarnaast kent de nu al geldende wetgeving ook al het recht op verwijdering, bijvoorbeeld wanneer de verwerking onrechtmatig is.
Een belangrijke nieuwe uitbreiding binnen de AVG is het recht om ‘vergeten te worden’, dat in het verlengde ligt van het al bestaande recht op verwijdering, en primair in het leven geroepen is zodat mensen op het internet niet voor altijd (ten onrechte) met hun verleden worden geconfronteerd. In dit tijdperk waarin alles wordt vastgelegd is het vaak bijna onmogelijk aan het verleden te ontsnappen, wat voor mensen veel blijvende ellende kan opleveren.
Het gaat hierbij om situaties waarin de verwerkingsverantwoordelijke persoonsgegevens van de betrokkene openbaar heeft gemaakt, bijvoorbeeld door ze online te zetten, en de betrokkene heeft verzocht de gegevens te wissen. De verwerkingsverantwoordelijke moet hierbij ook “redelijke technische en organisatorische maatregelen” nemen om andere verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene vergeten wil worden, wat erop neerkomt dat iedere koppeling naar en kopie of reproductie van de gegevens gewist moet worden.
Vooral bij de verwerking van gegevens van kinderen wordt dit recht zwaar gewogen, “omdat de betrokkene zich waarschijnlijk destijds nog niet volledig bewust was van de verwerkingsrisico’s”. Er zijn wel enkele uitzonderingen van toepassing op dit recht, zoals wanneer de verwerking van de gegevens nodig is voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie, of het nakomen van een wettelijke verwerkingsverplichting, het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag.
Naleving en Sancties
Tot slot wordt in de handleiding ingegaan op de wijze waarop het toezicht op de naleving is ingericht en welke maatregelen er kunnen worden genomen tegen bedrijven die de regels in de AVG niet naleven. De GDPR bepaalt dat iedere lidstaat van de Europese Unie minimaal één toezichthoudende instantie moet oprichten, die is belast met het toezicht op de toepassing van de wet. In Nederland is dit de al langer bestaande Autoriteit Persoonsgegevens, die tot 2016 bekendstond onder de naam College bescherming persoonsgegevens (CBP).
De voornaamste taak van deze toezichthouder is het monitoren en handhaven van de toepassing van de Verordening. Dit gebeurt onder meer via onderzoek, zoals het uitvoeren van controles, en de behandeling van klachten van betrokkenen. Daarnaast moet de Autoriteit Persoonsgegevens organisaties voldoende op de hoogte stellen van hun verplichtingen, de bekendheid bij het brede publiek over gegevensbescherming bevorderen en adviseren over wetgeving en beleid op dit terrein.
De toezichthouder beschikt over de bevoegdheid waarschuwingen uit te delen, boetes op te leggen en de verwerking van data stop te zetten. Bij het opleggen van een ‘administratieve boete’, moet de Autoriteit Persoonsgegevens er hierbij op toezien dat deze “doeltreffend, evenredig en afschrikwekkend is”. Hierbij wegen onder meer de “aard en de ernst van de overtreding, de opzettelijke of nalatige aard en de genomen maatregelen” mee. Uiteraard zijn organisaties te allen tijde verplicht mee te werken bij de uitvoering van de taken van deze toezichthouder.
Dit zijn enkele van de voornaamste thema’s die aan bod komen in de uitgebreide handleiding. Omdat het nog altijd een behoorlijk lijvig document betreft, heeft ICT-dienstverlener Centric overigens recentelijk de kernpunten uit de verordening opgedeeld vijf categorieën – compliancy, transparency, security, governance en organization – aan de hand waarvan het vervolgens vijf ‘frameworks’ heeft opgesteld. Dit om organisaties een meer behapbaar overzicht te bieden. Daarbij wordt echter wel benadrukt dat deze geen vervanging vormt voor de AVG-handleiding van het Ministerie van JenV. Voor organisaties die met de nieuwe wetgeving te maken krijgen, blijft het dus van belang deze goed te bestuderen.
Bekijk de handleiding van Het Ministerie van Justitie en Veiligheid via de site van Rijksoverheid.