Door een nieuwe Europese verordening zijn de privacyregels veel strenger geworden. Alle organisaties moeten daaraan voldoen. Advocaat en privacyspecialist Jeroen Sprangers legt uit wat er verandert, wat je zelf kunt doen en hoe REIN je kan helpen.
Wat houdt de Algemene Verordening Gegevensbescherming (AVG) in?
De nieuwe regels gaan op 25 mei 2018 in en dan wordt de Algemene verordening gegevensbescherming (AVG) ook gehandhaafd.
De AVG zorgt onder meer voor:
- versterking en uitbreiding van privacyrechten;
- meer verantwoordelijkheden voor organisaties;
- dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Wat betekent de AVG voor mijn organisatie?
Privacy gaat over de bescherming van persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (een mens van vlees en bloed). Denk aan een naam, een identificatienummer, locatiegegevens, of een of meer elementen die kenmerkend zijn voor de identiteit van iemand. Iedere organisatie heeft daar dus mee te maken.
Privacy werknemers
Een werknemer heeft een groot recht op privacy op de werkvloer en een werkgever mag alleen in de (privé)mail van de werknemer kijken wanneer hij daar goede afspraken met de werknemer over heeft gemaakt. Voor een werkgever is het belangrijk om in bepaalde gevallen wel in de (privé)mail van werknemers te mogen kijken. Bijvoorbeeld indien een werknemer ontslag krijgt of zijn baan opzegt (om te controleren of er geen bedrijfsgeheimen naar privé worden gemaild) of bijvoorbeeld bij een datalek.
Inzage in persoonsgegevens van personeel
Een organisatie die geen persoonsgegevens verwerkt maar wel personeel heeft, deelt die persoonsgegevens (salaris, NAW-gegevens) met derden. Denk aan je accountant, de salarisverwerker, maar bijvoorbeeld ook de eigen ICT-partner die bij storingen kan meelezen op de beeldschermen. De nieuwe wetgeving verplicht je afspraken met dergelijke partijen te maken, bijvoorbeeld door middel van het gebruik van een verwerkersovereenkomst. Deze vastgelegde afspraken moet je kunnen tonen in geval van een controle of bijvoorbeeld bij een datalek.
Privacy klanten
De meeste organisaties verwerken ook persoonsgegevens van derden, bijvoorbeeld van de eigen klanten. Een belangrijk aspect van de privacywetgeving ziet toe op het beperken van de personen die die persoonsgegevens kunnen inzien. Dit noemt men ‘privacy by design’. De gedachte is dat we onze computersystemen en processen zo inrichten (design) dat we alleen daar waar het noodzakelijk is, inzicht in de persoonsgegevens krijgen (privacy). Dit staat haaks op de laatste 20 jaar aan ontwikkelingen in softwaresystemen. Die zijn er immers op gericht om zoveel mogelijk data te kunnen raadplegen, te kunnen koppelen en te kunnen delen. Iedere organisatie moet dus eigenlijk goed inzichtelijk maken of het wel nodig is dat afdeling A ook inzicht moet kunnen verkrijgen in de data van afdeling B, of dat het juist niet wenselijk is.
Verwerkersovereenkomst
Ook voor de privacy van klanten is een verwerkersovereenkomst met leveranciers van groot belang; juist over klantgegevens wil je extra goede afspraken maken. Op deze wijze laat je je klanten ook zien dat je hun privacy serieus neemt.
Cookies en AVG
Veel organisaties gebruiken marketing-tools die invloed hebben op de privacy van (potentiële) klanten. Denk aan cookies op een website en Google Analytics om het websitebezoek te monitoren. Maar ook aan e-mailmarketing. Het is belangrijk om dit allemaal vast te leggen in een privacy en cookieverklaring. Een website bezoeker moet vervolgens toestemming geven om zijn gegevens te gebruiken voor marketing-tools.
Wat als ik niet aan de AVG voldoe?
Bedrijven die niet aan de regels voldoen, kunnen hoge boetes opgelegd krijgen. Bijvoorbeeld wanneer een werknemer een USB-stick in de trein vergeet (datalek) en de Autoriteit Persoonsgegevens vervolgens bij een controle erachter komt dat men niet aan alle regels voldoet.
Maar misschien nog wel belangrijker: de reputatie van de organisatie kan ernstige schade oplopen als blijkt dat niet zorgvuldig met privacy wordt omgegaan.
Een goed privacybeleid straalt professionaliteit en betrouwbaarheid uit. Klanten zijn eerder geneigd van een bedrijf te kopen dat laat zien dat de privacy op orde heeft dan van een bedrijf dat dit niet goed geregeld heeft.
Voldoen aan de Algemene Verordening Gegevensbescherming (AVG)
Veel ondernemers hebben het gevoel dat ze ‘niets meer mogen’ door de nieuwe privacyregels en zien door de bomen het bos niet meer. REIN helpt je graag op weg om zelf aan de slag te gaan om te voldoen aan de privacyregels.
Organisaties moeten allereerst met eigen werknemers duidelijke afspraken maken. Een normale arbeidsovereenkomst ziet daar in de praktijk niet op. Daar staat hooguit een relatie- en/of concurrentiebeding in en iets over geheimhouding. Maar niet de (verplichte) afspraken over de wijze waarop we omgaan met persoonsgegevens. Dat kunnen bijvoorbeeld afspraken zijn over het thuisgebruik van computers of de minimale voorwaarde waar de eigen Ipad of smartphone aan moet voldoen. Denk daarbij aan minimale beveiligingseisen, maar ook de afspraak dat kinderen diezelfde gegevensdragers niet mogen gebruiken voor spelletjes.
Een privacyprotocol maken
Een goed ingericht privacyprotocol kan er tevens voor zorgen dat de werkgever ook arbeidsrechtelijk veel sterker staat , doordat bijvoorbeeld de kaders voor bijvoorbeeld het toch mogen inzien van (prive)mails van werknemers kunnen worden afgesproken.
Een verwerkersovereenkomst opstellen
Verder moeten organisaties duidelijke afspraken met derden (bijvoorbeeld accountant en ICT-leverancier) maken over hoe zij moeten omgaan met de persoonsgegevens. Dit doe je in een verwerkersovereenkomst.
Alle organisaties zijn verder onder meer verplicht:
- in privacypolicies vast te leggen wat je met data gaat doen, etc.;
- mogelijk een data protection officer aan te stellen;
- jaarlijks een audit te doen (DPIA);
- de systemen in te richten voor het:
- vergeetrecht, kopierecht, reproductierecht, en
- een register bij te houden met gegevens over welke data je van wie verwerkt met welk doel en onder welke afspraken.
Niet alle regels gelden voor alle organisaties. Zo moeten alleen bepaalde organisaties een data protection officer aanstellen of een audit doen.
Wil jij weten of jouw organisatie AVG Proof is? Neem contact op met Jeroen.
Jeroen Sprangers
Advocaat & curator