AVG: een halfjaar verder

Op 25 mei 2018 heeft de privacywet Algemene Verordening Gegevensbescherming (AVG, ook wel bekend als de General Data Protection Regulation, of GDPR) zijn intreding gedaan. Bedrijven hadden tot dan de tijd om compliant te zijn.

Een halfjaar na dato is het nog voor veel bedrijven onduidelijk wat er precies is veranderd. Tijd voor een opfrisser. In deze blog leest u wat de AVG inhoudt, welke maatregelen Proserve heeft genomen om compliant te zijn en krijgt u tips over wat u zelf kunt doen om te voorkomen dat u in overtreding bent.

Wat is de AVG?

De AVG is de Europese privacyregelgeving. De wet heeft de Wet Bescherming Persoonsgegevens (WBP) vervangen. Deze stamde nog uit 2001, een tijd waarin internet nog geen grote rol speelde in onze samenleving en waarin er veel minder data werden gegenereerd dan nu.

De oude regelgeving is in de AVG behoorlijk op de schop gegaan. In een notendop komt het erop neer dat mensen meer controle krijgen over hun persoonlijke gegevens. Er gelden voor bedrijven meer regels voor het beschermen van de privacy van degenen over wie ze data verzamelen.

De belangrijkste punten uit de AVG:

  • U moet een goede reden hebben om data te verwerken – Om persoonsgegevens te verwerken, moet u daar een goede reden voor hebben. Gegevens die u moet verwerken om de overeenkomst met uw klant uit te voeren, vormen een goede grondslag. Als u bijvoorbeeld een webshop heeft, dan slaat u het adres van uw klant op. Dit heeft u nodig om uw product te kunnen leveren, en dit is dan ook een goede grondslag; u hoeft hiervoor geen expliciete toestemming aan uw klant te vragen. Het opslaan van de geboortedatum van uw klant heeft u wellicht niet nodig om uw product te kunnen leveren; dit gegeven mag u dan niet vragen aan uw klant. Maar het analyseren van de prestaties van uw website, het verzenden van een e-mailnieuwsbrief met nieuwe informatie over een eerder gekocht product is weer wel een goede grondslag.
  • Het verwerken van bijzondere persoonsgegevens, zoals informatie over iemands gezondheid of een vingerafdruk, mag niet, tenzij dit door de wet expliciet is toegestaan. Bijvoorbeeld een medisch specialist die patiëntgegevens opslaat als dat nodig is om een patiënt te helpen. 
  • Mensen krijgen meer controle over hun gegevens – Mensen hebben het recht om te weten over hoe u met hun persoonsgegevens omgaat. U kunt hiervoor een Privacy Verklaring op uw website plaatsen waarin u dit in begrijpelijke (niet-juridische) taal uitlegt. U moet ook uitleggen waar mensen terecht kunnen om daar vragen over te stellen, hoe ze hun gegevens kunnen inzien, wijzigen of laten verwijderen.
  • Verruimde definitie van persoonlijke data – In de AVG worden onder persoonlijke data niet alleen gegevens verstaan die direct zijn te herleiden naar een persoon, maar ook gegevens die dat indirect mogelijk maken. Denk bijvoorbeeld aan de combinatie postcode-geboortedatum. In het geval er maar één 80-plusser in een straat woont, kan die informatie worden herleid naar die specifieke persoon.
  • U blijft verantwoordelijk voor wat uw leveranciers en partners doen –Onder de AVG blijft u te allen tijde verantwoordelijk voor de data die u verwerkt, ook als u daarvoor derden inschakelt. U kunt zich in het geval van een datalek dus niet verschuilen achter de partij die uw data opslaat. Bovendien bent u verplicht met uw leveranciers een verwerkingsovereenkomst af te sluiten, waarin u vastlegt wat voor data zij verwerken. U heeft dus goed overzicht nodig over alle leveranciers die u inschakelt om gegevens namens u te verwerken, en u moet daar goede afspraken over maken.
  • Gegevens mogen niet overal worden opgeslagen – Persoonsgegevens mogen volgens de AVG in principe alleen worden opgeslagen in EU-landen en een aantal door de EU als veilig aangemerkte landen. Goed om daarbij te weten, is dat bij de veilige landen in sommige gevallen aanvullende eisen gelden. De Verenigde Staten staan op deze lijst; echter geldt hierbij een aanvullende voorwaarde dat providers uit de VS moeten voldoen aan de eisen van het Privacy Shield. Als u dus een Amerikaanse cloud provider inschakelt om gegevens op te slaan, en deze provider voldoet niet aan Privacy Shield, dan is dit wettelijk niet toegestaan.

Wat kunt u doen om AVG-compliant te zijn?

  • Leg een intern privacyregister aan – Breng intern in kaart welke persoonsgegevens er in uw organisatie en bij derde partijen worden bewerkt. Niet alleen is het verplicht een dergelijk overzicht met meta-informatie (“Privacy Register”) op te stellen, het helpt u ook te bepalen of u wel een gegronde reden heeft om bepaalde informatie te verzamelen. Wees extra alert op bijzondere gegevens!
  • Weet waar uw data staan opgeslagen – Zoals gezegd kunt u er bij Proserve op vertrouwen dat uw data binnen de EU worden opgeslagen. Maar geldt dat ook voor uw andere leveranciers? Weet u bijvoorbeeld waar precies de data in uw e-mailmarketingsoftware worden opgeslagen? En welke data bepaalde plugins in uw Wordpress-site verwerken en waar ze die opslaan?
  • Kies uw datapartners zorgvuldig – Behalve de locatie waar ze data opslaan, zijn er nog een aantal zaken om op te letten bij uw datapartners. Hoe veilig slaan zij data op? Stel verwerkingsovereenkomsten met deze partners op, waarin u vastlegt wat voor soort persoonsgegevens zij verwerken en dat ze erop toezien dat dit op een veilige manier gebeurt.
  • Bepaal of u een functionaris persoonsgegevens nodig heeft – In de AVG is de verplichting opgenomen dat bedrijven in specifieke gevallen een functionaris persoonsgegevens (FG) moeten aanstellen. Over het algemeen geldt dit bij overheden en bedrijven die op grote schaal profiling uitvoeren, maar het kan sowieso geen kwaad om uit te zoeken of dit ook het geval is voor uw bedrijf. Ook als u niet onder deze verplichting valt, kunt u ervoor kiezen om een FG aan te stellen. U laat daarmee zien dat u privacy serieus neemt.

Het belang van AVG-compliancy

Zoals gezegd kan het niet naleven van de AVG u hoge boetes bezorgen, maar dat zou niet de belangrijkste reden moeten zijn om compliant te zijn. De AVG is immers niets meer dan een update van verouderde privacywetgeving naar de maatstaven van de 21e eeuw. Elk bedrijf dat belang hecht aan de privacy van zijn klanten zou deze nieuwe wetgeving alleen daarom al moeten verwelkomen.

Wat doet Proserve om compliant te zijn?

Als Proserve zijn wij verwerker van veel data en het is onze verantwoordelijkheid om daar zorgvuldig mee om te gaan, iets wat we ook in het verleden altijd al hebben gedaan. Wij beschikken over verschillende beveiligingscertificeringen, waaronder ISO 27001 en NEN7510. We hebben een uitgebreid privacyregister aangelegd en sluiten verwerkersovereenkomsten met onze leveranciers af. Verder hebben wij onze klanten uitgenodigd om met ons een verwerkersovereenkomst af te sluiten, mits zij Proserve gebruiken om persoonsgegevens op te slaan.

Klanten van Proserve hebben de garantie dat hun data in Nederland worden opgeslagen, tenzij zij dat zelf anders aangeven. Zo bent u er dus zeker van dat uw data binnen de EU-grenzen staan opgeslagen en aan de locatie-eisen van de AVG voldoen.