De AVG in een notendop: de theorie en de praktijk

Inleiding

De Algemene Verordening Gegevensbescherming (AVG). De afgelopen maanden is vrijwel dagelijks wel een artikel verschenen of een bijeenkomst georganiseerd rondom deze nieuwe wet. De aandacht gaat daarbij veelal uit naar de theorie. En dat is vooral veel tekst, aannames en ophef. In dit artikel bespreken wij eerst kort deze theorie. Daarna nemen wij u mee naar iets veel belangrijkers, de gevolgen voor de praktijk. Is de impact voor een MKB-ondernemer wel zo groot als het soms lijkt?

De AVG treedt bijna in werking. Op 25 mei 2018. De AVG is de opvolger van de Wet bescherming persoonsgegevens en kent striktere regels dan haar voorganger. Nu de inwerkingtreding steeds dichterbij komt, is het van belang dat u goed bent voorbereid. Wat kunt u als bedrijf verwachten en sterker nog, wat wordt er van u verwacht?

De theorie

Kort gezegd is de AVG op u van toepassing indien u persoonsgegevens verwerkt met behulp van een computer. Bij persoonsgegevens moet u denken aan gegevens waarmee een natuurlijk persoon kan worden geïdentificeerd, zoals naam of adres. De persoonsgegevens kunnen van klanten zijn maar ook van werknemers. Bij verwerking moet u bijvoorbeeld denken aan verzamelen of opslaan van persoonsgegevens. Het vermelden van een afspraak met een klant met een telefoonnummer in uw digitale agenda is al voldoende om onder het toepassingsbereik van de AVG te vallen. De AVG beoogt een zo’n groot mogelijke privacybescherming te bieden aan natuurlijke personen.

Als ondernemer wordt u in de AVG aangemerkt als ‘verwerkingsverantwoordelijke’. De verwerkingsverantwoordelijke kan een natuurlijk persoon of een rechtspersoon zijn die persoonsgegevens verwerkt. De verwerking moet daarbij rechtmatig, behoorlijk en transparant zijn. Wil de verwerking rechtmatig zijn, dan moet er ofwel toestemming zijn gegeven of de verwerking moet noodzakelijk zijn. De verkregen toestemming moet ondubbelzinnig zijn. Dit betekent dat de toestemming expliciet moet zijn verkregen.

Indien u geen expliciete toestemming heeft gekregen voor de verwerking van persoonsgegevens, dan kunt u alsnog rechtmatig persoonsgegevens verwerken indien u voldoet aan het vereiste van noodzakelijkheid. Zo dient dan in de eerste plaats de verwerking proportioneel te zijn. U moet met het verwerken van de persoonsgegevens uw doel kunnen bereiken en het doel dat u wilt bereiken moet in verhouding staan met de verwerking. Ook dient de verwerking te voldoen aan de eis van subsidiariteit: kan het doel dat u voor ogen heeft niet worden bereikt zonder dat daar verwerking van persoonsgegevens nodig is? Indien zowel aan de proportionaliteit en subsidiariteit is voldaan mag – u zonder expliciete toestemming van de betrokkene – toch persoonsgegevens verwerken.

Naast het mogen verwerken van persoonsgegevens heeft u als verwerkingsverantwoordelijke ook een aantal plichten. Om aan te kunnen tonen dat u de verordening juist naleeft moet u een register bijhouden waarin de verwerkingen staan vermeld. In dit register staan geen persoonsgegevens maar activiteiten omtrent de verwerkingen. Volgens artikel 30 van de AVG geldt er een uitzondering op de registratieplicht. Deze uitzondering zal in de praktijk echter bijna nooit aan de orde zijn.

Daarnaast moet de verwerkingsverantwoordelijke passende beveiligingsmaatregelen treffen, zodat de persoonsgegevens niet op straat komen te liggen. Hierbij moet u denken aan zowel technische als organisatorische maatregelen. Ten aanzien van de technische maatregelen geldt dat u uw computers (ICT) goed moet beveiligen. Bij organisatorische maatregelen moet u denken aan de afspraken binnen uw organisatie, zoals het niet mee naar huis nemen van klantgegevens. Mocht er onverhoopt toch sprake zijn van een zgn. ‘datalek’, dan moet u dit melden bij de Autoriteit Persoonsgegevens.

Ook kent de AVG een ‘verwerker’, eerder in de Wet bescherming persoonsgegevens bekend als bewerker. Een verwerker is een natuurlijk persoon of een rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Tussen de verwerkingsverantwoordelijke en verwerker dient een (schriftelijke) overeenkomst te zijn gesloten. Daarbij mag de verwerker niet onder direct gezag staan van de verwerkingsverantwoordelijke. In de verwerkersovereenkomst dient in ieder geval de volgende aspecten te worden vermeld: het onderwerp en de duur van de verwerking, de aard en het doel van verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de rechten en plichten van de verwerkingsverantwoordelijke.

In de AVG wordt gerept over de verplichting om voor uw onderneming een zgn. functionaris voor gegevensbescherming (hierna: FG) aan te stellen. De FG houdt toezicht op correcte naleving van de AVG. De vraag is of deze verplichting geldt voor elke onderneming. Drie organisaties zijn in ieder geval verplicht om een FG aan te stellen, namelijk de overheid, organisaties die hoofdzakelijk zijn belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op groot schaal van betrokkenen vereisen’, of organisaties die zijn belast met grootschalige verwerking van bijzondere of strafrechtelijke gegevens.

Ook als u niet verplicht bent om een FG aan te stellen is het toegestaan vrijwillig een FG aanstellen. De FG moet wel de nodige kennis en expertise hebben. Het aanstellen van een FG kan handig zijn in de gevallen wanneer u zelf niet over de nodige kennis beschikt of simpelweg niet genoeg mankracht heeft om de verordening juist na te leven. Voor kleinere ondernemingen die niet specifiek op het hiervoor genoemde terrein werkzaam zijn, is dit dus eigenlijk niet aan de orde.

Tot hier de theoretische kant van de AVG. Leuk en aardig, maar u zult als ondernemer ongetwijfeld met een aantal praktische en prangende vragen zitten. Hierna beantwoorden wij een aantal vragen  waar u in de praktijk mogelijk tegenaan kunt lopen.

De praktijk

Hoe toon ik aan dat mijn onderneming voldoet aan de AVG?

U moet door middel van een register kunnen aantonen dat uw onderneming aan de AVG voldoet. In dit register moeten ten minste uw gegevens, de verwerkingsdoeleinden en de categorieën van persoonsgegevens staan. Uw onderneming kan hierdoor in één oogopslag aantonen wat uw verwerkingsactiviteiten zijn. Daarnaast zijn er nog andere voorwaarden, waarbij het op schrift stellen van uw beveiligingsmaatregelen de belangrijkste is. Het register is vormvrij, u kunt het inrichten zoals u zelf wilt. Op internet zijn de nodige voorbeelden te vinden.

Moet aan een klant informatie worden verstrekt als ik zijn persoonsgegevens verwerk?

Het uitgangspunt is dat u de klant altijd moet informeren over de verwerking. Het is derhalve dan ook aan te raden dit te allen tijde te doen om nalatigheid te voorkomen. De meest belangrijke gegevens die u moet verstrekken zijn uw contactgegevens, het doel en de grondslag van de verwerking. Hierbij dient u de informatie tijdig te verstrekken. De meest praktische en eenvoudige wijze om uw klanten te informeren is om op uw website een zgn. privacyverklaring op te nemen. Ook van een dergelijke verklaring zijn op internet voldoende voorbeelden te vinden. Wellicht ten overvloede: het gaat hierbij niet om het recht op inzage van de persoonsgegevens zelf.

Is opnieuw toestemming van de klant nodig om bestaande klantgegevens te behouden? 

Wanneer de AVG ingaat hoeft u niet opnieuw toestemming aan de klant te vragen voor de persoonsgegevens die u reeds ondubbelzinnig heeft gekregen. U dient echter wel zorg te dragen dat bestaande persoonsgegevens conform de AVG in voldoende mate worden beschermd. Wanneer u persoonsgegevens voor andere doeleinden gebruikt, moet u uw klanten hierover informeren en daarbij de nodige informatie verstrekken.

Vallen persoonsgegevens die in een e-mail staan onder het toepassingsbereik van de AVG?

E-mailberichten met persoonsgegevens dienen ook conform de AVG te worden verwerkt. Dit betekent dat een goede ordening en bewaring van uw e-mailsysteem van belang is. Uw klant heeft namelijk het recht op inzage. Dit betekent dat uw klant te allen tijde zijn persoonsgegevens bij u kan opvragen.

Vallen telefoonnummers die in een zakelijke mobiele telefoon staan onder het toepassingsbereik van de AVG? 

Telefoonnummers op uw zakelijke mobiele telefoon vallen niet onder het toepassingsbereik van de AVG en hoeven derhalve niet conform de AVG te worden verwerkt. Wanneer u echter deze telefoonnummers ook opslaat op uw zakelijke computer, valt u wel onder de AVG en dient u de regels van AVG in acht te nemen.

Is toestemming gegeven als de klant zijn visitekaartje afgeeft? 

De toestemming van een klant moet expliciet zijn gegeven. Het enkele feit dat de klant zijn visitekaartje aan u verstrekt, betekent nog niet dat de klant ook toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. In de meeste gevallen zal het verwerken van persoonsgegevens door u echter een noodzakelijkheidsgrondslag behelzen, zoals het uitvoeren een overeenkomst door uw bedrijf, waardoor u alsnog de persoonsgegevens mag verwerken.

Welke persoonsgegevens mag ik van een klant verwerken bij inschrijving voor een nieuwsbrief die per
e-mail wordt verzonden? 

Het verwerken van persoonsgegevens moet altijd tot een minimum worden beperkt. U verwerkt alleen de persoonsgegevens die strikt noodzakelijk zijn om uw doel te kunnen bereiken. Voor het verzenden van een nieuwsbrief mag u echter nooit bijzondere persoonsgegevens verwerken. Hierbij kunt u denken aan ras of etnische afkomst, religieuze overtuigen of gegevens over gezondheid. Om een nieuwsbrief te verzenden moet u van de klant toestemming vragen om zijn persoonsgegevens te verwerken. Hierbij gaat het om een geautomatiseerde verwerking. Dit betekent dat er geen tussenkomst is van een persoon. De toestemming kunt u dan vragen door middel van het laten aanvinken van een hokje met daarbij de vraag of toestemming wordt verleend.

Ben ik gehouden persoonsgegevens van een klant te verwijderen als hierom wordt gevraagd? 

Nieuw in de AVG is het recht van vergetelheid. Dit houdt in dat de klant van u mag verlangen dat u zijn persoonsgegevens wist wanneer hij hierom vraagt of wanneer u niet hebt voldaan aan een rechtmatige inschrijving. Het ligt ook niet in de redelijkheid wanneer persoonsgegevens van een klant voor altijd op het internet ‘rondzwerven’. Wanneer persoonsgegevens van een klant niet langer nodig zijn om uw doel te bereiken, bent u gehouden om deze persoonsgegevens uit eigen beweging te vernietigen dan wel wissen. Het bewaren van een dossier gedurende een x-aantal jaren, zodat een klant in de toekomst eventueel nog info uit zijn of haar dossier kan opvragen, kan dus een doel op zich zijn.

Mocht u naar aanleiding van dit artikel nog vragen hebben over de AVG, schroom dan niet om vrijblijvend contact met ons op te nemen. Wij kunnen (een) passend(e) antwoord(en) geven op uw vragen.

Yetis Cenik en Hidde Voerman, maart 2018

Nieuwsbrief

U moet javascript aan hebben staan om dit formulier te kunnen versturen.
SteentjesWoltersMulder Zilverlinde 1
7131 MN Lichtenvoorde
Postadres Postbus 24
7130 AA Lichtenvoorde
© 2018 - SteentjesWoltersMulder Advocaten & Mediators - Advocatenkantoor uit de Achterhoek heeft haar website laten maken door Ebbers Media.