Morgen, 25 mei 2018, eindigt de periode van twee jaar dat bedrijven de gelegenheid hadden om zich voor te bereiden op de Algemene Verordening Gegevensbescherming. Bedrijven moeten zich vanaf dit moment houden aan de complexe Europese regels die de burgers controle moeten geven over hun opgeslagen persoonsgegevens. De gemiddelde burger begrijpt wel het doel, maar niet de inhoud van de AVG. Organisaties die persoonsgegevens verwerken – en dat doen ze nagenoeg allemaal – hebben de taak om hun gegevens in kaart te brengen, hun handelen te toetsen aan de wet en om aan betrokkenen transparant en helder uit te leggen wat ze verzamelen en wat ze ermee doen. En daar zijn ze nog lang niet klaar mee.
Autoriteit Persoonsgegevens
Aleid Wolfsen is directeur van de Autoriteit Persoonsgegevens (AP), de instantie die is belast met de handhaving van de AVG. In de vele interviews en verklaringen die hij in de afgelopen weken heeft afgegeven benadrukt hij voortdurend het nut, de noodzaak en de positieve kanten van datatransparantie en de controle die de burger krijgt over 'zijn' persoonsgegevens. Tegelijk erkent hij dat er sprake is van achterstand bij organisaties. Naar zijn (optimistische) idee is ongeveer de helft van de organisaties klaar voor de nieuwe wet. Ook probeert hij de angst voor de enorme boetes van maximaal twintig miljoen euro of 4 procent van de wereldwijde omzet te temperen. Dat lijkt terecht, omdat de AP (met circa 130 werknemers) niet in staat zal zijn om alle overtredingen aan te pakken.
Verwachte procedures
Hoewel Wolfsen zijn redelijkheid ruim tentoonspreidt, vindt Brussel dat de touwtjes veel strakker moeten worden aangehaald dan door hem voorgesteld. Hoe loffelijk het doel van de AVG ook is, het is een feit dat organisaties de impact hebben onderschat en achter de feiten aan lopen. Veel verenigingen, bedrijven en overheidsorganen, waaronder de Belastingdienst, geven aan dat ze nog niet klaar zijn met de inventarisatie (de Privacy Impact Assessment, PIA), en hun procedures nog niet hebben aangepast. Hoe ernstig dat is, zal vanaf morgen gaan blijken als betrokkenen al dan niet massaal hun nieuwe rechten gaan uitoefenen. Naar verwachting zullen er ook AVG-procedures gevoerd gaan worden vanuit louter financiële beweegredenen bij 'slachtoffers' en advocatenbureaus.
Nieuwe rechten betrokkenen
Betrokkenen (voor bedrijven zullen dat vooral hun klanten zijn, voor veiligheidskundigen de werknemers) hadden onder de oude Wet bescherming persoonsgegevens uit 1995 al een heleboel rechten, maar die wet was opgesteld in een tijd dat digitale verwerking, profiling en automatische koppelingen nog nauwelijks aan de orde waren. Bovendien werd die wet nauwelijks gehandhaafd. Sinds de explosie van het internet, de grootschalige datamining en handel in bewerkte, gefilterde en geïnterpreteerde persoonsgegevens door 'dienstverleners' zijn burgers zich bewuster van misbruik. De nieuwe AVG vervangt de Wbp en voegt enkele rechten toe: het recht op dataportabiliteit (het meenemen van opgeslagen gegevens naar een andere dienstverlener) en het recht op vergetelheid (vernietiging van niet langer noodzakelijke gegevens).
Plichten verwerkers
Niet alleen namen, geboortedata en adressen zijn persoonsgegevens, maar ook IP-adressen, mailadressen en allerlei andere data die aan een individu gekoppeld worden vallen onder dat brede begrip. Gezondheidsgegevens, gegevens over ras, geloof en vakbondslidmaatschap zijn zelfs zogenaamde 'bijzondere persoonsgegevens', die in principe niet mogen worden verwerkt. Verwerkers van persoonsgegevens moeten transparant en rechtmatig handelen en ze moeten een grondslag hebben om die gegevens te verwerken. Daarnaast moeten ze in heldere taal duidelijk maken wat ze precies verwerken en waarom. Verwerkende bedrijven moeten een privacyverklaring hebben, een Functionaris Gegevensbescherming (FG) en verwerkersovereenkomsten sluiten met organisaties die gegevens verstrekt krijgen (administratiekantoren, accountants, enz. maar niet met bijvoorbeeld de Belastingdienst of een arbodienst voor wat betreft hun wettelijke taken).
Ook voor de zelfstandige veiligheidskundige
Bij het MKB en vooral onder ZZP’ers is de achterstand veel groter dan de 50% die de AP schat. Ook ZZP’ers zijn bedrijven en zij moeten dus aan de verplichtingen in de AVG voldoen. De 'registerplicht' (schriftelijk bijhouden wat je doet) geldt niet voor bedrijven met minder dan 250 werknemers, maar de 'tenzij-bepalingen' maken dat de meeste ZZP’ers er toch niet onderuit komen. ZZP Nederland verwijt de overheid late en onvoldoende toegankelijke informatieverstrekking en bepleit zes maanden uitstel (14 mei). De vrees voor torenhoge boetes is niet direct op zijn plaats, zeker niet als bedrijven van goede wil zijn en hun betrokkenen zich niet met klachten melden bij de toezichthouder. Tekortkomingen kunnen vanaf 25 mei formeel worden beboet, maar de AP heeft aangegeven in het komende jaar bij kleinere 'mismatches' vooral handhavende maatregelen te nemen in de vorm van waarschuwingen met bijbehorende termijn voor correctie.
Zie ook het artikel in het komende nummer van het tijdschrift DeVeiligheidskundige en de website van de Autoriteit Persoonsgegevens. Er doen veel tendentieuze spookverhalen de ronde en deskundigen spreken elkaar tegen of geven aan het (nog) niet te weten.
Bronnen: website AP, ZZP Nederland, NOS Journaal, Stand.nl, verschillende VK’s
Tip 1
Zorg dat je weet wát je administreert en waarom. Leg het doel en de bewaartermijn vast, zorg dat je dat documenteert en dat je er een helder verhaal bij hebt. Leg dat (ook als VK) voor aan de FG, communiceer het met de OR en met betrokkenen zelf.
Tip 2
Werknemers zijn betrokkenen waarmee een ‘overeenkomst’ is gesloten, namelijk een arbeidscontract. Als je salaris betaalt, moet je over een bankrekeningnummer beschikken, zo simpel is het. Voor andere doelen (inzetbaarheid, veiligheid, enz.) kan een wettelijke grondslag of een gerechtvaardigd belang bestaan. Achterhaal en formuleer die grondslag helder en sla niets méér op dan voor dat doel strikt noodzakelijk.
Tip 3
Weet wat je waar opslaat en met wie je het eventueel deelt (zo min mogelijk). Zorg dat je weet waar al die informatie is en hoe je het kunt exporteren of vernietigen. Dat moet dan in de hele keten, ook in de back-ups van een verwerker waar een overeenkomst mee bestaat. Gegevens die noodzakelijk zijn en blijven behoeven niet te worden vernietigd.
Tip 4
Pas op met het gebruik van 'persoonlijke toestemming' als grondslag voor het verwerken van persoonsgegevens. De administratie is lastig (bij vijftienjarige stagiaires moet toestemming van de ouders komen). Toestemming kan worden ingetrokken – en wat dan? – en het is niet mogelijk om voor het betreffende doel alsnog een andere grondslag te gaan hanteren.
Tip 5
Zorg voor up-to-date beveiligingssoftware, een goede papiervernietiger, sloten op kasten en kantoren en selectieve inlogprocedures voor computers en databases. En meld datalekken die kunnen leiden tot ernstige nadelige gevolgen bij de AP.