Je hebt nog 32 dagen om de AVG te implementeren #32totavg

Vandaag zijn er nog precies 32 dagen te gaan tot 25 mei 2018, de datum waarop de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht wordt. Er is nog steeds veel onzekerheid over de AVG, die van alles zou verbieden of onwerkbaar maken. De AVG noem ik altijd vooral een compliance-wet: de nadruk ligt op formele procedures, documentatie en stappen die moeten worden genomen om aan de wet te voldoen. En minstens zo belangrijk: om aan te kunnen tonen dat je aan de wet voldoet, want de AVG bepaalt expliciet dat de bewijslast bij jou ligt dat je alles op orde hebt. Een hele kluif, maar zeker niet onoverkomelijk of fundamenteel onwerkbaar.

Een van de grootste mythes rond de AVG is dat deze nieuwe wet vooral voor juristen van belang is. Dat is niet zo. De AVG is zó breed van toepassing en stelt zó veel regels dat het iedereen aangaat. Van groot bedrijf tot kleine vereniging en van eenmansdokterspraktijk tot goed doel met duizenden donateurs. Voldoen aan de AVG is geen kwestie van nieuwe juridische documenten en een mooie toestemmingsverklaring laten tekenen door uw klanten.

Een belangrijk instrument daarbij is het verwerkingsregister, de centrale plaats waarin iedere verwerking van persoonsgegevens moet zijn gedocumenteerd. Het formeel vastleggen van verwerkingen is een van de weinige echt nieuwe eisen uit de AVG. Doel hiervan is vooral organisaties te dwingen goed na te denken over wat zij doen met persoonsgegevens en waarom. Het register is daarvan de verslaglegging. Tevens biedt registreren van een verwerking de mogelijkheid te checken of deze inhoudelijk voldoet, omdat je in het register ook zaken als grondslag en bewaartermijn uitwerkt en verwijst naar gepast beveiligingsbeleid. Dan moet je daar wel over nagedacht hebben, natuurlijk.

Kort en goed neem je in het register per verwerking het volgende op:

  • Naam en contactgegevens van de verantwoordelijke entiteit; dit is niet alleen de bedrijfsnaam maar ook de concrete afdeling en de verantwoordelijke manager of business owner.
  • De doeleinden, zoals “Salarisadministratie” of “Beveiliging van pand en goederen middels camera’s met geluidssensoren” met een omschrijving van de grondslag (toestemming, overeenkomst, et cetera).
  • De grondslag voor deze verwerking, zoals toestemming of een eigen belang, inclusief onderbouwing daarvan.
  • Een omschrijving van betrokkenen, zoals personeel, klanten, bezoekers of passanten.
  • Een omschrijving van ontvangers, zoals de afdeling die het uitvoert, het beveiligingsbedrijf dat de camerabeelden uitkijkt en de politie in geval van strafbare feiten. Ontvangers in landen buiten de EU moeten apart worden genoemd (inclusief land).
  • De bewaartermijnen, inclusief motivatie waarom deze termijnen en niet korter.
  • Een beschrijving van de beveiligingsmaatregelen voor deze verwerking, u mag hierbij verwijzen naar het algemene beveiligingsbeleid.
  • Een inschatting van het risico voor betrokkenen; als u meent dat dit hoger is dan normaal dan moet je een privacy impact assessment (PIA) uitvoeren (zie hoofdstuk 5).

Vaak wordt gezegd dat de AVG van alles en nog wat gaat verbieden. Niets is minder waar. De regels worden veel strenger, maar zijn vooral gericht op verantwoording afleggen. Toestemming vragen kan prima, maar kunt u bewijzen welke toestemming is gegeven, zijn mensen adequaat voorgelicht en kennen zij hun rechten? Gegevens tien jaar bewaren: oké, maar onderbouw eens waarom dat nodig is en niet een jaartje minder? Wij noemen de AVG daarom vooral een compliance-wet. Er moet veel geregeld en gedocumenteerd worden. Wat precies en hoe, dat leest u in ons Praktijkboek AVG Compliance.

Arnoud

30 reacties

  1. Ook ik ben bezig met de implementatie.

    Ik schrik een beetje van ‘Een belangrijk instrument daarbij is het verwerkingsregister, de centrale plaats waarin iedere verwerking van persoonsgegevens moet zijn gedocumenteerd’

    Dat ben ik nog niet eerder tegengekomen. Ieder verwerking van persoonsgegevens? Dus: mailtje van eventuele nieuwe klant (naam ten tel nr) komt binnen = 1e verwerking mailtje van die klant wordt door secretaresse gelezen en in mijn inbox gezet = 2e verwerking ik lees het mailtje en antwoord erop = 3e verwerking mailtje word in afgehandelde mails geplaatst = 4e verwerking er wordt een afspraak gepland en bevestigd= 5e en 6e verwerking oei, afspraak verplaatst en verplaatsing bevestigd = 7e en 8e verwerking emailtje naar klant ter opvolging na afspraak = 9e verwerking klant antwoordt: nee ik ga niet bestellen: 10e verwerking Conform mijn GDPR policy wordt het mailtje na 6 maanden verwijderd = 11e verwerking

    En dat moet ik dan allemaal gaan registreren en documenteren? Wanneer en door wie en waarom. Alleen omdat die mogelijke klant zijn naam en emailadres in de email staan? Serieus? Dat is toch onwerkbaar?

    1. Met ‘verwerking’ wordt in deze context bedoeld het soort bedrijfsproces waarbinnen wordt verwerkt. In jouw voorbeeld zou het dus zijn “klant- en relatiemanagement, onder meer per e-mail”. Daarbinnen verwerk je namen, adressen et cetera om te komen tot overeenkomsten, onderhandelingen et cetera.

    2. Het register hoeft alleen als je bedrijf 250 werknemers of meer heeft. En uit de opsomming van wat erin moet staan, maak ik op dat het gaat om de soort dingen die je verwerkt, niet elk concreet voorkomen ervan. Zie artikel 30, http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679, in het bijzonder lid 5. Ook van belang in dezen is de Uitvoeringswet AVG, “https://www.eerstekamer.nl/behandeling/20180313/gewijzigd%5Fvoorstel%5Fvan%5Fwet%5F2”, artikel 2a (erin gezet op voorstel van Kamerlid Seegers van de CU. Herstel, Van der Staaij van de SGP).

      (Zoals u allen ziet, ik klaag niet meer, maar studeer. En dat rijmt en is een verbetering.)

  2. Ha Arnaud, Dank voor alle informatie op deze blog, erg hulpzaam! Wat betreft het vewerkingsregister merk ik dat het op veel websites niet als #1 prioriteit naar voren komt. Ik werk bij een bedrijf waarbij vooral relatiemanagement een grote rol speelt; netwerk is de key. Moeten wij vanaf nu van ieder nieuw contact, waarvan wij via kaartje of linkedin of persoonlijke overdracht van info de gegevens in een database opslaan, hiervan de verwerking registreren, en dus ook altijd toestemming vragen om contactgegevens op te slaan en zo ja voor hoe lang? Daarbij komend; moeten wij van iedereen van wie wij deze contactgegevens al hebben, alsnog toestemming voor het bewaren daarvan vragen, maar dezelfde bijkomende specificaties en vragen? We zijn maar een klein bedrijf, maar wel met een groot netwerk…! Geldt het toestemming vragen ook voor leden van een vereniging of cooperatie? Geldt lidmaatschap als overeenkomst en dus rechtsgrond om contactgevens op te slaan? Wij hebben met hen geen bewaartermijn afgesproken, dit gebeurt toch bijna nooit met lidmaatschap gegevens? Bij voorbaat dank!

  3. Hoe kunnen kleine, non-profit organisaties hier het beste mee omgaan? Ik ben vrijwilliger voor een kleine milieu-organisatie. We werken ook met data > van mensen die bijvoorbeeld geabonneerd zijn op onze nieuwsbrief. Sinds kort werken we met MailChimp. Wat betekent dit ivm de nieuwe AVG?GDPR? Wij zijn verantwoordelijk voor een datalek, toch? Via Mailchimp kunnen mensen zich wel makkelijker in- en uitschrijven en hun gegevens wijzigen. We slaan ook persoonsgegevens op onze server op. Het gaat om namen, adressen, emailadressen. We werken ook met google analytics. Dit heeft dus ook consequenties. Hoe kunnen wij het beste voldoen aan die nieuwe wet? Is hier specifieke kennis voor nodig?

    1. Dag Heleen, Wanneer je werkt met WordPress, zijn er inmiddels goede alternatieven: In plaats van MailChimp zou je ook La Posta (laposta.nl) kunnen gebruiken. In plaats van Google Analytics zou je ook WP-Statistics (wp-statistics.com) kunnen gebruiken of nóg beter Statify (https://wordpress.org/plugins/statify/) De laatste registreert geen bezoekers, maar bezoeken. In plaats van Gmail is het de moeite waard eens te kijken naar Posteo.net Voor 1 Euro per maand een goed (Duits) alternatief. Ik ben geen jurist, maar ik hoop dat dit een beetje helpt.

      1. Beste Marianne,

        Dank voor je reactie en tips! Ik zal het eens uitzoeken en met andere vrijwilligers overleggen! We zijn alleen net overgegaan naar Mailchimp en hebben qua lay-out daar dus een nieuwsbrief opgemaakt die een beetje op de vorige leek. Maar het kan zijn dat we bij de start van een nieuwere organisatie met nieuwe website ook over kunnen gaan naar bijvoorbeeld La Posta voor onze nieuwsbrief. Voor onze mail gebruiken we geen gmail overigens. We hebben nu nog een oude website maar gaan dit jaar wel over naar een WordPress-website. Dus dan zouden we die plugins ook goed kunnen gebruiken!

        Mailchimp moet zich toch ook aan de privacyregels houden?

        Met vriendelijke groet,

        Heleen

  4. Iets wat ik nog steeds niet goed begrijp is waar de drempel ligt van wie er precies allemaal geraakt worden door de AVG. Een privepersoon met een mobiele telefoon of een e-mailadres houdt zich bezig met de verwerking van gegevens van alle personen die hem of haar bellen of e-mailen, maar ik neem niet aan dat iedere privepersoon in Europa nu een documentje moet publiceren met “als je mij mailt dan ga ik die e-mail en alle daaruit voortvloeiende informatie eeuwig bewaren”, en inzageplicht moet nakomen van mailtjes die hij of zij van mij heeft. Hoe zit het met de familie-whatsapp-groep? Het prikbord van de bridgeclub? Het internetforum van Ford Focus-liefhebbers? De openbare ontwikkelings-mailinglijst van een stuk open source software?

    Er ligt vast ergens een grens, maar waar is die?

  5. Hoe zit het met de familie-whatsapp-groep?

    Zie artikel 2, lid 2c:
    “2. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:
    […]
    c) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;”

  6. Wat mij stoort en verbaast, is dat in artikel 43 van de Uitvoeringswet AVG enkele keren het woord “uitsluitend” staat, terwijl dat in Overweging (153) en Artikel 85 van de Verordening zelf niet het geval is. Ook in bijvoorbeeld de Franse en Engelse versie van de Verordening staat dat er niet.

    Ik heb ook de Memorie van Toelichting van de Uitvoeringswet hierop doorgenomen, maar kan geen reden vinden.

    Zou dit zomaar een onbewust verzinseltje van de Nederlandse wetgever zijn, of een bewuste verscherping van de regels? Het woord heeft m.i. wel consequenties.

  7. maar zeker niet onoverkomelijk of fundamenteel onwerkbaar.

    Ik had gisteren al weer notities gemaakt voor een boos blog over artikel 13 “bij de verkrijging van de persoonsgegevens” (in het Frans explicieter: “au moment où les données en question sont obtenues”), waaruit ik afleidde dat voortaan elke e-mail aan een zakelijk adres beantwoord zou moeten worden met het terugmailen van het privacybeleid, en dat dat bij elke pinbetaling in de supermarkt integraal door de caissière zou moeten worden voorgelezen;

    tot me vandaag pas lid 4 opviel: “De leden 1, 2 en 3 zijn niet van toepassing wanneer en voor zover de betrokkene reeds over de informatie beschikt.”

    Wel lezen, Harmsen, en dan pas gaan mauwen.

  8. Ik ben inmiddels al behoorlijk aan het studeren op die GDPR.

    Nu ben ik wel een beetje in verwarring. Arnoud stelt dat je in het register de ontvangers moet opnemen, en hij schrijft ‘Een omschrijving van ontvangers, zoals de afdeling die het uitvoert, het beveiligingsbedrijf dat de camerabeelden uitkijkt en de politie in geval van strafbare feiten. Ontvangers in landen buiten de EU moeten apart worden genoemd (inclusief land).’

    Kan iemand mij de volgende twee dingen uitleggen: 1) Waarom ‘ontvangers’? Dat zijn toch gewoon ‘verwerkers’ in AVG termen? Of is ‘ontvanger’ nog weer iets anders dan een ‘verwerker’? (zelfs in de Handleiding Algemene verordening gegevensbescherming wordt de term ontvanger gebruikt, zonder uitleg)

    2) En moet je dan met de politie een verwerkersovereenkomst afsluiten? Ze zien je al komen (Beste politie, ik heb wel beelden van die diefstal, maar die mag ik pas aan U geven nadat we een verwerkersovereenkomst afgesloten hebben)

  9. Ontvangers zijn alle partijen die persoonsgegevens van jou ontvangen. Die kunnen dat doen in hun rol als verwerker, maar ook in een hoedanigheid van verantwoordelijke. Het is namelijk mogelijk dat je persoonsgegevens aan iemand geeft terwijl die iemand geen verwerker is. Daar moet wel een grondslag voor zijn, maar het kan. Je voorbeeld van de politie past perfect: die zijn géén verwerker, want zij bepalen zelf wat ze doen met die gegevens en hoe ze dat doen. Jij hebt geen zeggenschap over de politie, dus jij kunt niet hun verantwoordelijke zijn. Dat is dus gewoon een verstrekking aan een ontvanger die verantwoordelijke is.

    1. Ah, en ik maar denken dat iedereen die door jou toedoen de persoongegevens krijgt, een verwerker is.

      Het reisbureau in NL mag dus zomaar de naam van de gast die een boeking heeft gedaan dooremailen aan een hotel in Thailand?

        1. Altijd als je dingen leest (of ook de wizard) gaat het over de keus: verwerker of verantwoordelijke. Maar er is nog een categorie, zoals bijvoorbeeld dat hotel in Thailand.

          Ten eerste trekken die zich niets aan van GDPR, dus ze zijn in de praktijk geen van beiden. Ten tweede, zelfs al zouden ze verwerkingsverantwoordelijke zijn, dan nog hebben ze in de praktijk geen mogelijkheden om aan de vereisten te voldoen: Ze hebben alleen naam en boekingsdata van de gast, hoe moeten zij in hemelsnaam op verantwoorde wijze de rol van verwerkingsverantwoordelijke, met de diverse plichten, op zich nemen?

          Kortom er zijn vele partijen (ook binnen de EU) die minimaal noodzakelijke data doorkrijgen van anderen, maar die nooit de rol van verwerkingsverantwoordelijke kunnen opnemen. Ze hebben bijvoorbeeld niet de mogelijkheid om te checken of er wel toestemming is, omdat ze geen contactgegevens van de betrokkene hebben, en ook geen mogelijkheid om datalekken te melden, of ze kunnen niet bepalen of er een grondslag is omdat ze geen flauw idee hebben van de opdracht en de contracten tussen hun dataleverancier (zeg, bijvoorbeeld het reisbureau) en de betrokkene (de gast)

          1. Maar op zo’n hotel in Thailand is de AVG in het geheel niet van toepassing, toch? Ze zitten niet in de EU en ze richten zich niet expliciet op burgers uit de EU. Volgens artikel 3 is de AVG dan niet van toepassing.

            Als het een hotel in de EU is, dan geldt de AVG natuurlijk wel. Zo’n hotel dat persoonsgegevens krijgt, zit dus inderdaad in een kwetsbare positie. Die zal dan met de verstrekkende verantwoordelijke (het reisbureau dus) afspraken moeten maken, zoals een garantie dat het reisbureau toestemming heeft verkregen of dat de gegevens nodig zijn voor de logiesovereenkomst. Of ze schrijven voor op welke manier de gegevens verstrekt moeten worden en welke informatie het reisbureau over hen moet geven voordat ze de gegevens krijgen.

            1. Als Thailand onder artikel 45 valt, kan het m.i. in orde zijn. Anders geldt artikel 46:

              1. Bij ontstentenis van een besluit uit hoofde van artikel 45, lid 3, mag een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie door een verwerkingsverantwoordelijke of een verwerker alleen plaatsvinden mits zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

              Als betrokkene (= natuurlijk persoon) iets afdwingen in Thailand? Veel succes!

          2. Altijd als je dingen leest (of ook de wizard) gaat het over de keus: verwerker of verantwoordelijke. Maar er is nog een categorie, zoals bijvoorbeeld dat hotel in Thailand.

            Dan zijn het derden, toch? Artikel 4:

            10) „derde”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

    2. Je voorbeeld van de politie past perfect: die zijn géén verwerker, want zij bepalen zelf wat ze doen met die gegevens en hoe ze dat doen. Jij hebt geen zeggenschap over de politie, dus jij kunt niet hun verantwoordelijke zijn.

      Ik heb ook geen zeggenschap over mijn wolkenboer, hoe zij de virtualisatie van mijn VPS en de opslag ervoor regelen, dat maken zij zelf wel uit. Dus kan ik niet hun verantwoordelijke zijn en zij niet mijn verwerker. Toch verlenen ze de dienst “opslag” voor mijn VPS, dus voor de IP-nummers in mijn Apache-logfile, en IP-nummers zijn persoonsgegevens. En “opslag” is per definitie (artikel 4, punt 2) een vorm van verwerking. Of is “opslag” geen “vastlegging”?

      1. Trouwens, volgens Artikel 13 AVG moet ik de personen achter de IP-nummers in mijn Apache-logfile meteen informeren over wie ik ben en wat ik waarom met hun IP-nummer doe. Maar dat kan niet, want ik weet niet wie het zijn, ik kan ze niks sturen (wil ik ook niet, zou ook spam zijn toch?) en ik weet hun e-mailadres niet.

        Er was ergens een clausule met “onredelijk bezwarend” geloof ik, maar die kan ik even niet vinden.

  10. Juist, dat bedoel ik. Alle uitleg die je leest lijkt ervan uit te gaan dat er maar twee types partijen zijn die iets met de data doen: Verwerkingsverantwoordelijken en verwerkers. Maar er is een andere categorie, namelijk die de data krijgen en formeel geen verwerkingsverantwoordelijke zijn (zoals het hotel in Thailand) , of die misschien wel formeel verwerkingsverantwoordelijke zijn maar in de praktijk geen, of heel weinig invulling kunnen geven aan die rol (zoals hetzelfde hotel, maar dan in Italie).

    Ik weet niet eens of het hotel in Italie wel in zo’n kwestbare positie zit. Zij kunnen gewoon stellen: Wij krijgen de minmaal benodigde gegevens (niet meer dan dat) van klanten of tussenpersonen van klanten, wij hebben diverse grondslagen (eigen belang, uitvoering overeenkomst, wettelijke registratieplicht), we hebben onze beveiliging netjes in orde en we deleten de gegevens na een korte termijn die in onze privacyverklaring staat, en daarmee is voor ons de kous af.

    Ze zijn dan formeel verwerkingsverantwoordelijke, maar in de praktijk kunnen ze vrijwel geen van de taken van een verwerkingsverantwoordelijke uitvoeren.

    Ik denk dus niet zozeer dat ze kwetsbaar zijn, ze houden zich netjes aan de wet. Het probleem is meer dat het concept ‘verwerkingsverantwoordelijke’ daarmee tot vrijwel niets word uitgehold.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.