Welke impact heeft de nieuwe AVG op mijn onderneming?

Eén van de belangrijkste veranderingen die de AVG met zich mee brengt zijn de strengere eisen die worden gesteld aan toestemming. Met name het verstrekken van persoonsgegevens aan derde partijen wordt aan banden gelegd. In de praktijk betekent dit dat een consument expliciet toestemming moet geven voor de verwerking van zijn gegevens door andere partijen dan die waar zij zaken mee doen.

Minimaal net zo belangrijk is het feit dat een consument de mogelijkheid krijgt om zijn toestemming net zo snel in te trekken als hij deze gegeven heeft. Er zijn echter een aantal uitzonderingen te bedenken waarbij organisaties wel zonder toestemming data mogen delen, namelijk als zij de persoonsgegevens verstrekken:

• Om een overeenkomst uit te voeren;
• Om te voldoen aan een wettelijke verplichting;
• Voor een vitaal belang;
• Om een publiekrechtelijke taak uit te voeren;
• Bij een gerechtvaardigd belang.

Ook krijgen consumenten het recht om een organisatie te vragen om al hun persoonsgegevens te verwijderen. Maar de nieuwe regelgeving gaat nog iets verder: klanten kunnen ook eisen dat de verwijdering wordt doorgegeven aan alle partijen waarmee de betreffende organisatie data heeft gedeeld.

Daarnaast wordt verantwoordelijkheid steeds meer in de voeten van organisaties geschoven. Zo verschuift de bewijslast: ondernemingen moeten voortaan zelf kunnen aantonen dat zij de juiste maatregelen hebben genomen om aan de AVG te voldoen. Ondernemingen zijn straks ook zelf verantwoordelijk voor het uitvoeren van een privacy impact assessment, mocht dit volgens de regelgeving noodzakelijk zijn. 

Wanneer de gegevensverwerking van de organisatie waarschijnlijk een hoog privacyrisico oplevert, ben je als onderneming verplicht om een privacy impact assessment uit te voeren. Organisaties moeten zelf gaan bepalen of zij aan de criteria voor hoge privacyrisico's voldoen. Herken je jouw organisatie in minimaal 2 van de volgende 10 criteria? Dan kun je ervan uit gaan dat een privacy impact assessment noodzakelijk is.

1. Beoordelen van mensen op basis van persoonskenmerken;
2. Geautomatiseerde beslissingen;
3. Stelselmatig en grootschalig monitoren;
4. Gevoelige gegevens;
5. Grootschalige gegevensverwerkingen;
6. Gekoppelde databases;
7. Gegevens over kwetsbare personen;
8. Gebruik van nieuwe technologieën;
9. Doorgifte van persoonsgegevens buiten de EU;
10. Blokkering van een recht, dienst of contract.

Vanuit de NOREA Kennisgroep Privacy is er een document ontwikkeld waarin onder een vragenlijst staat die je kunt gebruiken bij het uitvoeren van een assessment. De nieuwe regelgeving biedt in ieder geval de volgende basisvereisten voor een PIA als leidraad:

• Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan.
• Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen: Is het verwerken van persoonsgegevens op deze manier noodzakelijk om de beoogde organisatiedoelen te bereiken?
• Een beoordeling van de privacyrisico's voor de betrokkenen.
• De beoogde maatregelen om (1) de risico's aan te pakken en (2) aan te tonen dat je als organisatie aan de AVG voldoet.

Als organisatie kun je ervoor kiezen om een functionaris voor de gegevensbescherming aan te stellen. Voor sommige organisaties, zoals overheidsinstanties en publieke organisaties, is dit verplicht. De FG moet de bescherming van de gegevensverwerking gaan waarborgen. Het is verstandig om een FG aan te stellen, ongeacht of dit verplicht is of niet. Een FG kan ook aangesteld worden voor meerdere bedrijfsonderdelen of een groep organisaties, onder de voorwaarde dat deze altijd goed bereikbaar is voor alle aangesloten partijen. Let op: de FG is niet verantwoordelijk voor het uitvoeren van een PIA.

Naar verwachting krijgt de FG een sleuteltaak binnen organisaties. Daarom is het uitermate belangrijk dat hij zijn werk zonder problemen kan uitvoeren. Als ondernemer doe je er goed aan om de FG in ieder geval het volgende te bieden:

• Actieve steun vanuit het management;
• Voldoende tijd om de taken uit te voeren;
• Voldoende praktische ondersteuning;
• Heldere communicatie aan al het personeel over de FG;
• Scholing.

Verder is het van belang dat de FG onafhankelijk kan werken. In de praktijk betekent dit in de eerste instantie dat hij geen functie binnen de organisatie heeft waarin hij het doel en de middelen van de gegevensverwerking bepaalt. Verder zijn de volgende punten van belang:

• De FG mag geen instructies ontvangen vanuit het management over hoe hij zijn taken uit zou moeten voeren.
• De FG mag niet worden ontslagen als gevolg van de uitoefening van zijn specifieke taken.
• Er mag geen belangenverstrengeling zijn.

Een FG moet voldoen aan een aantal randvoorwaarden en kan dus niet zomaar aangesteld worden. Het concrete kennisniveau dat een FG moet hebben is afhankelijk van de grootte van de organisatie en de mate van gevoeligheid van de te verwerken gegevens. De minimale vereiste expertises zijn:

• Kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
• Begrip van de gegevensverwerkingen die de organisatie uitvoert;
• Begrip van IT en informatiebeveiliging;
• Kennis van de organisatie en de sector waarin die actief is;
• Vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

De belangrijkste taak van de FG wordt intern toezicht houden op het naleven van de privacywet. De FG kan dit als volgt aanpakken:

• Informatie verzamelen over gegevensverwerkingen binnen de organisatie;
• Deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;
• Informatie, adviezen en aanbevelingen geven geven aan de organisatie.

Uit dit laatste punt kunnen we opmaken dat de FG een voornamelijk adviserende rol binnen de organisatie toebedeeld krijgt. In de volgende situaties kun je als organisatie de FG om advies vragen:

• De afweging om wel of geen PIA uit te voeren;
• Het kiezen van een onderzoeksmethode die geschikt is voor de PIA;
• De vraag of de organisatie de PIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
• De waarborgen die nodig zijn om de risico's voor betrokkenen te beperken;
• De vraag of de uitkomsten van de PIA in overeenstemming zijn met de wet.

Uiteraard moet het rapport over de PIA het advies van de FG bevatten, alsmede wat hiermee is gedaan.

Zodra de AVG in werking treedt krijgen consumenten het recht om te allen tijde hun persoonsgegevens op te vragen bij een organisatie. Let op: het betreft hier alleen de digitale gegevens die een organisatie van een persoon heeft.

Concreet betekent dit nieuwe recht dat organisaties de gegevens moeten verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie. Hierbij komt de verplichting dat de gegevens in een gestructureerd, veelgebruikt en machineleesbaar format aangeleverd worden. De nieuwe verordening geeft hiervoor geen vaste bestandsformaten aan.

Houd er rekening mee dat de term persoonsgegevens niet beperkt blijft tot naam- en adresgegevens. Alle metagegevens die zijn verzameld (denk aan: locaties, tijdstip, contacten) dienen ook te worden meegeleverd aan de betreffende persoon. Gegevens die een onderneming zelf heeft gegenereerd, bijvoorbeeld als gevolg van een data-analyse, vallen hier dan weer niet onder en hoeven dan ook niet meegestuurd te worden bij een aanvraag. Hiervoor kan een consument een inzageverzoek indienen.

Tot slot doe je er verstandig aan om betreffende klanten te informeren over wat zij met hun data kunnen en/of moeten doen, zodra zij deze opgevraagd hebben. Denk bijvoorbeeld aan het adviseren over welke gegevens noodzakelijk zijn om over te dragen aan een andere organisatie. Het komt voor dat in het overzicht ook informatie over andere personen staat (denk aan belgeschiedenis). In deze gevallen is het essentieel dat gegevens niet bij de verkeerde personen terecht komen.

Het implementeren van de nieuwe regelgeving zal voor organisaties veel voeten in de aarde hebben, zeker nu alles nog in de kinderschoenen staat. Zodra de AVG in de praktijk in werking treedt kun je er echter wel de volgende voordelen uithalen als organisatie:

• Minder administratieve- en nalevingskosten;
• Meer rechtszekerheid;
• Er komt een gelijk speelveld in de hele EU;
• Er is nog maar één toezichthouder waarmee je zaken hoeft te doen. De belangrijkste voorwaarde is wel dat de toezichthouder zich in dezelfde EU-lidstaat bevindt als de hoofdvestiging van de onderneming.

Ben jij ook aan het voorbereiden op de nieuwe regelgeving? Aan de hand van deze 10 stappen kun je jouw organisatie volledig 'AVG-proof' maken.