Bierman Advocaten: Een ABC over de AVG
AVG | Bierman advocaten
Een ABC over de AVG
Een bestelling plaatsen bij een webshop, het aanmelden voor een nieuwsbrief of simpelweg je social media account. Het zijn allemaal voorbeelden waarbij je je persoonsgegevens verstrekt. Je vertrouwt erop dat deze gegevens op een goede manier worden verwerkt door de onderneming waar je ze achterlaat, maar is dit wel altijd het geval?
Tekst: mr. Niels van den Bogaard en Cynthia Gnidtke-Hoebink Bierman Advocaten www.bierman.nl
Mijn advies is om allereerst te beginnen met bewustwording, aldus mr. Niels van den Bogaard.
bierman advocaten | avg
In het kort: nee, jammer genoeg niet. Daarom is de AVG (Algemene Verordening Gegevensbescherming) in het leven geroe-pen. De AVG heeft als doel jouw persoonsge-gevens te beschermen binnen heel Europa.
Onmogelijke opgave voor ondernemers?
De verordening telt 88 paginas en bestaat uit 99 artikelen waarbij het grootste gedeelte gaat over de ondernemer die per-soonsgegevens verwerkt. Dat is natuurlijk nogal wat. Toch liet Jacob Kohnstamm (oud-voorzitter van het College Bescherming Persoonsgegevens (CPB) en inmiddels Autoriteit Persoonsgegevens) in een inter-view weten: Het is helemaal niet complex. Het is juist eenvoudig: 1. Verzamel niets wat niet noodzakelijk is. 2. Beveilig de gegevens goed. 3. Ga er zorgvuldig mee om en 4. Geef burgers er inzage in. Dat is wat er staat. Wat Jacob Kohnstamm hier zegt, is eigenlijk de AVG in een notendop.
Ondanks deze korte samenvatting, komt er een hoop op ondernemers af. Er zijn meer verplichtingen, er is meer verantwoorde-lijkheid en de ondernemer heeft meer werk te verrichten. Zo moet hij bijhouden welke persoonsgegevens hij verzamelt en waarom. Niet nodige gegevens mogen niet meer worden verzameld. Een voorbeeld: voor een webshop is het niet relevant jouw bloedgroep te weten, maar om jouw pakket te kunnen bezorgen zijn wel jouw adresgegevens nodig. In zon geval mag een webshop dus om je adresgegevens vragen en is dat ook toegestaan.
Wilgroei aan nieuwsbrieven
Een ander voorbeeld is de wildgroei aan nieuwsbrieven. Bijna iedereen ontving vlak vóór of op 25 mei 2018 (datum waarop de AVG in werking trad) een nieuwsbrief met daarin het bericht of je op de hoogte wilde blijven. Waarom? Omdat je voorheen mis-schien wel nieuwsbrieven ontving zonder
daar nadrukkelijk toestemming voor te hebben gegeven. Met de komst van de AVG is dit gelukkig voorbij. Ondernemers moeten kunnen aantonen dat hier toestemming voor is gegeven, anders is het versturen van nieuwsbrieven niet toegestaan.
Naast het bijhouden van gegevens komt er nog meer op ondernemers af. Denk bijvoorbeeld aan een privacy statement, een protocol datalekken, een beveiligingsplan, een register van verwerkingen en verwerkers-
overeenkomsten. Door al die verplichtingen zien ondernemers door de bomen het bos niet meer en lijkt de AVG een onmogelijke verordening om aan te voldoen. Er wordt zelfs gezegd dat geen enkele organisatie voor de volle 100% kan voldoen aan de regelgeving van de AVG. Misschien is dat een enigszins geruststellende gedachte...
Bekijk je het door de bril van de consument, dan is de AVG natuurlijk veel beter te begrij-pen. Als consument wil je erop kunnen vertrouwen dat je gegevens goed worden bewaard, ze beveiligd zijn, je niet meer infor-matie verstrekt dan nodig en dat je persoons-gegevens niet zomaar op straat komen te liggen. Die gedachte is dan ook uitgangspunt geweest voor het Europees Parlement en de Raad van de Europese Unie om de AVG in het leven te roepen. Maar voor de ondernemers is die gedachte een doekje voor het bloeden. Hoewel, als zij zich verplaatsen in de rol van de consument (dat is iedere ondernemer natuurlijk ook!), kan ook de ondernemer niet ontkennen dat de AVG een welkom middel is.
Naleving en consequenties
De Autoriteit Persoonsgegevens ziet er in Nederland op toe dat de AVG wordt nage-leefd en heeft daarvoor diverse bevoegd-heden. Naast het op de vingers tikken kan zij ondernemers ook boetes opleggen die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet!
Waar moet een ondernemer beginnen?
Zoals al eerder gezegd, is het niet gek als een ondernemer door de bomen het bos niet meer ziet. Mijn advies is om aller-eerst te beginnen met bewustwording. Bewustwording over de stromen van persoonsgegevens binnen de organisatie. Inventariseer waar en op welke wijze dat soort gegevens worden verzameld, uitgewis-seld en wat ermee gaat gebeuren. Afhankelijk daarvan moet bekeken worden of dat op een goede manier gebeurt. Worden er per-soonsgegevens gevraagd die niet nodig zijn? Worden er persoonsgegevens aan derden verstrekt zonder goede grondslag? Worden de persoonsgegevens wel goed beveiligd? Wanneer je dit inzichtelijk hebt, kan je dit makkelijker vastleggen. Vergeet niet dat dit voor zowel intern als extern geldt. Voor intern moet je denken aan een geheimhoudings-overeenkomst met je personeel/ingescha-kelde zzper, of een verwerkingsregister. In zon register houd je o.a. bij wat je van je klanten aan persoonsgegevens verzamelt en waarom. Bij extern kan je bijvoorbeeld denken aan de administrateur aan wie je de salarisadministratie uitbesteedt. Besteed je iets uit en is er sprake van een uitwisseling van persoonsgegevens, dan is het wel zo verstandig een verwerkersovereenkomst aan te gaan. Daarin zet je de afspraken met de andere partij op papier (in dit geval de admi-nistrateur) zodat ook hij zorgvuldig omgaat met de gegevens van jouw personeel. Het idee van de AVG is: een hele keten van par-tijen te hebben, waarmee wordt afgesproken dat persoonsgegevens juist worden verwerkt. Het is veel werk, maar niet onmogelijk.
Kortom: een hoop extra werk voor onderne-mers, maar een veiligere digitale wereld voor de consument. Is de AVG een onmogelijke opgave? U mag het zeggen. Bierman Advocaten
Laan van Westroijen 4
4003 AZ TIEL
T: 0344 677 188