Ondernemers kloppen regelmatig bij ons aan als het gaat om de AVG. Bres Advocaten krijgt dan vragen over implementatie en toepassing. Het leek me daarom handig om dit stappenplan beschikbaar te stellen ter indicatie.*
Stap 1. Verwerkt ons bedrijf persoonsgegevens?
Wat zijn persoonsgegevens? De AVG geeft aan dat een persoonsgegeven elk gegeven is over een identificeerbare natuurlijke persoon. Dit betekent dat met de informatie duidelijk is (of kan worden) om welke persoon het gaat; er kan naar de persoon worden herleid. In sommige gevallen kan het ook gaan om e-mailadressen van bedrijven, bijvoorbeeld janklaassen@janklaassen.nl.
Er zijn ook bijzondere persoonsgegevens. Dat zijn gegevens die zien op bijvoorbeeld ras, medische gegevens, lidmaatschap van een vakbond, etc. Deze gegevens worden door de AVG extra beschermd en mogen in beginsel niet verwerkt worden.
Verwerking betekent het verzamelen, vastleggen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, vernietigen, etc. Met andere woorden elke bewerking in de gegevens is een verwerking.
Stap 2. Mag ons bedrijf de gegevens wel verwerken?
U zult een doel moeten vaststellen waarom u persoonsgegevens vaststelt en u zult het moeten baseren op één van de zes grondslagen:
- Toestemming
- Noodzakelijk voor de uitvoering van de overeenkomst
- Wettelijke verplichting
- Verwerking is noodzakelijk ter bescherming van vitale belangen
- Noodzakelijk voor vervulling van een taak van algemeen belang of openbaar gezag
- Ter behartiging van gerechtvaardigde belangen
In het bedrijfsleven komt het veelvuldig voor dat de gegevens nodig zijn voor de uitvoering van de overeenkomst. Bijzondere persoonsgegevens mogen in beginsel niet worden verwerkt (zie stap 1).
Stap 3. Welke rol heeft ons bedrijf?
De AVG heeft het over verschillende rollen:
- de verwerkingsverantwoordelijke; bepaalt doel en middelen;
- de verwerker; verwerkt uitsluitend in opdracht;
- de betrokkene; degene van wie de gegevens worden verwerkt.
Uw bedrijf kan verschillende rollen hebben van zowel de verwerkingsverantwoordelijke als de verwerker. Als verwerkingsverantwoordelijke bent u verantwoordelijk voor de correcte uitvoering van de AVG. Ook als een ondergeschikte of een derde de persoonsgegevens verwerkt. Leg daarom goed vast hoe u (intern) met de persoonsgegevens omgaat. Leg ook met derden (extern), zoals uw IT-leverancier, vast bij wie welke verantwoordelijkheden liggen.
Stap 4. Wat is een verwerkingsregister?
Indien uw bedrijf meer dan 250 medewerkers heeft, dan is een verwerkingsregister verplicht. Als u minder dan 250 medewerker heeft dan is een verwerkingsregister verplicht wanneer:
– er op regelmatige basis persoonsgegevens worden verwerkt en/of;
– er persoonsgegevens worden verwerkt die een hoog risico inhouden voor betrokkenen en/of;
– als er bijzondere persoonsgegevens worden verwerkt.
Uw bedrijf moet de gegevensverwerkingen in kaart brengen. Dat betekent dat u moet documenteren welke persoonsgegevens worden verwerkt en met welk doel dat wordt gedaan. Verder moet u noteren met wie de gegevens worden gedeeld en waar de gegevens vandaan komen.
Stap 5. Wat is een verwerkersovereenkomst?
Uw bedrijf dient passende maatregelen te nemen. Zowel intern als extern dient duidelijk te zijn hoe de regels van de AVG binnen uw bedrijf worden gewaarborgd.
Het uitvoeren van verwerkingen door een verwerker moet worden geregeld in een verwerkersovereenkomst. Dit vraagt om maatwerk.
Stap 6. Wat is een DPIA?
Een data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
Niet voor elke gegevensverwerking dient uw bedrijf een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen. Dat is in ieder geval zo als een organisatie:
– systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
– op grote schaal bijzondere persoonsgegevens verwerkt;
– op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Stap 7. Moet ik een Functionaris voor de Gegevensverwerking aanstellen?
Een Functionaris voor de gegevensverwerking is de persoon die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Op grond van de AVG is een FG in drie situaties verplicht:
- Overheden en publieke organisaties;
- Kernactiviteit is op grote schaal individuen volgen;
- Bij verwerking van bijzondere persoonsgegevens.
Als uw bedrijf hier niet onder valt dan kan het wel nuttig zijn om iemand aan te stellen of in te huren die gespecialiseerd is in de bescherming van persoonsgegevens. Let er wel op dat u die persoon wel anders betitelt, anders gelden de verplichtingen uit de AVG over de FG voor deze persoon. U kunt die persoon bijvoorbeeld ‘de AVG-projectleider’ noemen.
Stap 8. Wat is de Autoriteit Persoonsgegevens?
De Autoriteit Persoonsgegevens (hierna: AP) is de toezichthouder in Nederland van de AVG. Vanaf 25 mei 2018 gaat de AP toezicht houden. Dat kan betekenen dat wanneer uw bedrijf niet voldoet aan de regels van de AVG een boete kan worden opgelegd.
Ook moet u een datalek bij de AP melden. Een datalek is een inbreuk in verband met persoonsgegevens. Er moet zich een daadwerkelijk beveiligingsincident hebben voorgedaan. Een datalek kan voor betrokkenen grote gevolgen hebben. Bij uitzondering hoeft een datalek niet worden gemeld, namelijk als het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor betrokkenen.
Stap 9. Wat zijn de rechten van betrokkenen?
Betrokkenen hebben meer rechten om uit te oefenen. Het is belangrijk dat u betrokkenen informeert over welke rechten zij hebben en hoe zij hun rechten kunnen uitoefenen.
Het gaat om de volgende rechten:
- Dataportabiliteit; het recht om gegevens over te dragen;
- Vergetelheid; het recht om vergeten te worden;
- Rectificatie en aanvulling; het recht om de persoonsgegevens te wijzigen;
- Beperking van de verwerking; het recht om minder gegevens te laten verwerken;
- Geautomatiseerde besluitvorming en profilering; het recht op een menselijke blik bij besluiten;
- Bezwaar; het recht om bezwaar te maken tegen de gegevensverwerking.
Uw bedrijf dient hiervoor intern beleid en extern beleid te schrijven. Als een betrokkene een bepaald recht wil uitoefenen, dan moet u hierop binnen een maand kunnen reageren (tenzij het zeer complex is dan heeft u drie maanden). U mag hiervoor geen kosten berekenen aan de betrokkenen.
Stap 10. Waar kan ik nadere informatie vinden?
Uiteraard kunt u contact met mij opnemen als u hulp wenst bij het implementeren van de AVG in uw bedrijf. Bij voorkeur kunt u dat doen via het sturen van een e-mail aan m.beukers@bresadvocaten.nl.
Verder heeft de AP een belangrijke website ontwikkeld waarop veel informatie te vinden is: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving
*Het bovenstaande stappenplan is een basishandleiding en wordt aangeboden ter indicatie van de stappen die een bedrijf moet nemen. U kunt er geen rechten aan ontlenen. Ik adviseer uw bedrijf graag maatwerk. Mocht u als ondernemer nog vragen hebben naar aanleiding van deze blog, dan kunt u mij het beste een e-mail sturen.