Gegevensbescherming: wat jouw bedrijf te wachten staat in 2018

De Europese Commissie en het Europees Parlement hebben besloten dat de huidige wetgeving niet langer aansluit op de constante veranderingen in de digitale wereld. Om een Europese regelgeving te creëren voor de bescherming van persoonsgegevens is een nieuwe Europese privacyverordening aangenomen: de Algemene Verordening Gegevensbescherming (AVG), ofwel General Data Protection Regulation (GDPR). De GDPR is op 25 mei 2016 in werking getreden en zal naar verwachting op 25 mei 2018 van kracht worden. Maar wat betekent dat voor jouw bedrijf? Lees hier wat er gaat veranderen en hoe je je kunt voorbereiden.

Data protectionBescherming van persoonsgegevens in Europa

Voorheen werd de privacy van persoonsgegevens van individuen beschermd binnen de Europese Unie (EU), gebaseerd op Richtlijn 95/46/EG. Dit is de richtlijn rondom de bescherming van persoonsgegevens voor elk land binnen Europa. De landen baseren daarop hun eigen, lokale wetgeving. De Wet bescherming persoonsgegevens (Wbp) binnen Nederland is hier een mooi voorbeeld van.

Wat verandert er in 2018?

Alle organisaties worden geacht om vanaf 25 mei 2016 hun bedrijfsvoering met de GDPR in overeenstemming te brengen en krijgen daarvoor tot 25 mei 2018 de tijd. Er staan een aantal interessante veranderingen in de GDPR:

  • De verordening voorziet in zeer strenge sancties tegen verwerkingsverantwoordelijken of verwerkers die de gegevensbeschermingsregels overtreden. De boete die de nationale toezichthouder voor verwerkingsverantwoordelijken geeft, kan oplopen tot €20 miljoen of 4 procent van de algemene jaaromzet.
  • De GDPR geldt ook voor organisaties die niet in de EU gevestigd zijn, maar wel diensten of producten aanbieden binnen de EU of gedrag van individuen binnen de EU monitoren.
  • Een deel van de administratieve lasten voor organisaties wordt verminderd. De verplichting om verwerking van persoonsgegevens te melden bij de lokale toezichthouders is verdwenen. Organisaties moeten zelf een overzicht bijhouden van al hun verwerking van persoonsgegevens.
  • Het ‘recht om vergeten te worden’: in de GDPR staat dat alle organisaties die persoonsgegevens verwerken, deze op verzoek moeten verwijderen indien aan bepaalde voorwaarden wordt voldaan.
  • De GDPR is een verordening, en niet slechts een EU-richtlijn. Hierdoor is deze, in tegenstelling tot richtlijn 95/46/EG, rechtstreeks geldig. Dit is gunstig voor organisaties die in meerdere landen opereren. De regelgeving is dus overal gelijk. Lokale overheden krijgen wel de kans om wetgeving aan te passen aan eigen behoeftes omtrent de bescherming van persoonsgegevens. Een voorbeeld hiervan is de Autoriteit Persoonsgegevens. Maar het zou heel goed kunnen dat andere instanties hier ook bij betrokken gaan raken.
  • Het verbod van artikel 24 in de Wbp op de verwerking van identificatienummers zoals het BSN wordt opgeheven. In de GDPR bestaat dat verbod niet, wat inhoudt dat voortaan vrijer gebruik van identificatienummers mogelijk is. Lokale overheden mogen wel aanvullende voorwaarden stellen aan het gebruik van identificatienummers.

Wat betekent het voor de huidige wetgeving?

Vanaf 25 mei 2018 moet iedereen zich aan deze wet houden. Tot die tijd is de privacywetgeving van Nederland zoals de Wet bescherming persoonsgegevens (Wbp) en Wet basisregistratie personen (Wbrp) van toepassing zoals we die nu kennen. De Nederlandse wetten gelden formeel nog wel, maar worden door de EU-privacyverordening ‘overruled’. EU-verordeningen zijn wetten die direct in alle lidstaten van toepassing zijn. Wetten als de Wbp en de Wbrp mogen daarom vanaf 25 mei 2018 niet meer als vanouds worden toegepast. Dit betekent dat de bestaande privacywetgeving moet worden herzien.

OGD helpt! In aanloop naar de invoering van de GDPR in 2018 publiceren wij interessante informatie die helpt om uw organisatie klaar te stomen. Klik op onderstaande link om als eerste op de hoogte te worden gebracht, onder andere via blogposts en webinars.

Be preparedHoe kun je je alvast voorbereiden?

De GDPR heeft een grote impact op organisaties die persoonsgegevens beheren en verwerken. De overgangsperiode tot 2018 is bedoeld om organisaties de ruimte te geven zo goed mogelijk te voldoen aan alle onderdelen van de verordening. Voor een goede voorbereiding moeten onder andere de volgende processen worden ingericht:

  • Breng goed in kaart welke en hoeveel persoonsgegevens er worden bijgehouden binnen jouw organisatie en op welke manier.
  • Zorg voor een procedure voor datalekken. Deze maakt duidelijk welke stappen de organisatie neemt bij het vermoeden van of kennisneming van een incident dat (mogelijk) aangemerkt wordt als een datalek. Tips over het maken van een procedure voor datalekken vindt je hier.
  • Ga na of de organisatie een Functionaris Gegevensbescherming (ook wel Data Protection Officer of Privacy Officer) moet aanstellen. Dat wordt in ieder geval verplicht voor organisaties die bij het uitvoeren van hun kernactiviteiten bijzondere persoonsgegevens (zoals gezondheidsgegevens) verwerken.
  • Bij meer dan 250 medewerkers (of wanneer er gevoelige data wordt verwerkt), moet een register worden gemaakt waarin de verschillende verwerkingen binnen de organisatie worden bijgehouden, inclusief het doel, de grondslag en de genomen beveiligingsmaatregelen.
  • Controleer de privacyverklaring van de organisatie. Deze moet veel meer gedetailleerde informatie bevatten dan nu verplicht is. Bovendien moet de verklaring in begrijpelijke taal worden geschreven.
  • De overeenkomsten met hosting- en cloudproviders en andere leveranciers die persoonsgegevens verwerken moeten worden gecontroleerd. In de bewerkersovereenkomsten met deze dienstverleners moet veel meer geregeld zijn dan nu is voorgeschreven, onder meer ten aanzien van het inschakelen van derde partijen door de providers en de beveiligingsmaatregelen die de bewerker moet nemen.
  • Nagaan of het nodig is om intern beleid te formuleren over het uitvoeren van een Privacy Impact Assessment (PIA). Bij gebruik van een nieuwe techniek voor het verwerken van persoonsgegevens of bij het koppelen van gegevensbronnen moet er eerst een onderzoek worden uitgevoerd naar de privacy-effecten als er door de nieuwe verwerking een groot risico voor de privacy van personen kan ontstaan.

 

Rohiet JakhariRohiet Jakhari is Risk & Compliance Officer bij OGD ict-diensten.

 

  • RonTuijnman

    Interessant artikel. Wel graag even een storend stijlfoutje corrigeren: Er staan een aantal interessante veranderingen in de AVG:
    moet zijn
    Er staat een aantal interessante veranderingen in de AVG:
    staat dus, het is namelijk maar één aantal…
    Kan d’r niks aan doen: het blijft me in het oog springen… 🙂

    • Beste Ron,

      Hartelijk dank voor je reactie. Bij het schrijven van onze teksten houden we voor dit soort dilemma’s het advies van het Genootschap Onze Taal aan. In dit geval zijn allebei de vormen correct. Zie ook: https://onzetaal.nl/taaladvies/aantal.

      In ieder geval heel erg bedankt voor je opmerkzaamheid, dat houdt ons scherp! 🙂

      – Maurice Wehrmeijer, OGD ict-diensten

      • RonTuijnman

        Jij ook bedankt! Weer wat geleerd: ik was in de veronderstelling dat mijn zienswijze de enig juiste was – niet dus! Thanx!
        Blijft een prima artikel!

  • Elizabeth Ruthiee Reese

    Mooi samengevat! Je mist volgens mij nog processen en procedures opstellen: recht van betrokkene. Recht op vergetelheid, klant inzage, dataportabiliteit etc…

    • Beste Elizabeth,

      Bedankt voor je reactie! Wat je zegt klopt helemaal. De AVG zorgt voor een hele cultuuromslag binnen organisaties waarbij alle processen en procedures moeten worden aangepast of aangescherpt.

      Binnenkort plaatsen we nieuwe blogposts over de komst van de AVG en wat het betekent voor organisaties. Daarin zullen ook die punten worden meegenomen!

      – Rohiet Jakhari, OGD ict-diensten

  • Pingback: Gegevensbescherming anno 2018 – Aletta()

  • Rika de Groot

    Dank voor het verhelderende artikel. Ik kijk uit naar de aangekondigde nieuwe blogposts. De link naar PIA leidt tot een 404 error. Ik heb op de site van Norea wel het volgende gevonden: https://www.norea.nl/download/?id=522
    Is dit het door u bedoelde document?

    • Beste Rika,

      Bedankt voor uw reactie. Dat is inderdaad het juiste document, ik ga de downloadlink gelijk even aanpassen. Fijn dat u even de moeite heeft genomen om te melden dat de link niet meer werkte!

      Overigens plaatsen we deze week een nieuwe blogpost over wanneer het nodig is om een melding te maken bij de Autoriteit Persoonsgegevens. Belangrijk om te weten, zeker met de ransomware-aanvallen van afgelopen maand.

      – Maurice Wehrmeijer, OGD ict-diensten

  • Sim Coenradi

    Interessant artikel. Waar ik tegenaan loop is dat ik alleen maar lees wat overheden moeten doen. Ik ben secretaris van een vereniging die belangen behartigt van gepensioneerden en slapers bij een pensioenfonds. Daar lees ik nergens wat over behalve algemeenheden dat iedereen die dit soort gegevens verzameld moet gaan voldoen aan de nieuwe regelgeving. Heb jij enig idee hoe dat zit?

    • Beste Sim,

      Ik begrijp je punt. Alle organisaties moeten aan het GDPR voldoen, waarbij er strengere eisen worden gesteld aan organisaties die veel persoonsgegevens verwerken. In essentie moeten alle organisaties een dataregister bijhouden met daarin alle verwerkingen van persoonsgegevens. Ook moet de organisatie kijken naar welke verwerkingen er moeten worden doorgegeven aan Autoriteit Persoonsgegevens. Het kan bijvoorbeeld wel zijn dat een aantal verwerkingen een wettelijke basis hebben (o.b.v. Wet financieel toezicht, pensioenwet etc.) Maar denk ook aan een procedure datalekken en verwerkersovereenkomsten met onderaannemers. Als je meer inhoudelijk wilt weten wat van toepassing is op jouw organisatie kun je contact opnemen met Robert Schmidt, Adviseur Security & Compliance: +31 (0)88 65 32930.

      – Rohiet Jakhari, OGD ict-diensten

  • Jonathan Van Rij

    Zijn er nog uitzonderingen voor een ZZP’er? Ik ontwikkel in opdracht van een klant aan een applicatie die medische gegevens verwerkt. Ik kan bijvoorbeeld niet een Functionaris Gegevensbescherming aannemen.

    • Maurice Wehrmeijer

      Beste Jonathan,

      Ja, een ZZP’er wordt niet gezien als een grootschalig verwerkende organisatie en dus geldt de verplichting tot het benoemen van een functionaris voor de gegevensbescherming niet. Autoriteit Persoongegevens schrijft het volgende over de regelgeving:
      “Als organisatie bent u volgens de Algemene verordening gegevensbescherming (AVG) onder meer verplicht een functionaris voor de gegevensbescherming (FG) te benoemen en een data protection impact assessment (DPIA) uit te voeren als u op grote schaal: individuen volgt; of bijzondere persoonsgegevens van individuen verwerkt.
      Voor beide aspecten geldt dat dit een kernactiviteit van de organisatie moet zijn. In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt.”

      En:

      “Voorbeeld van een niet-grootschalige verwerking
      De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig.”

      Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg#wat-ziet-de-avg-als-een-grootschalige-verwerking-van-persoonsgegevens-6019

      In concept versies van de AVG werd er nog gesproken over aantallen personen die het verwerken uitvoeren. In de definitieve versie is dat niet opgenomen en dus geeft dit wat minder houvast. Zie ook een blogpost van de vooraanstande ict-jurist Arnoud Engelfriet: Hij schrijft daarin: “Er zijn dus géén getalsmatige criteria, zoals in eerdere concepten van de Verordening nog wel stonden. Diverse artikelen verwijzen hier nog naar, bijvoorbeeld dat je pas een functionaris nodig hebt vanaf 500 medewerkers of als je van 250 mensen of meer persoonsgegevens verwerkt. Dat is dus allemaal niet meer uit de wet af te leiden.”

      Bron: https://www.security.nl/posting/495406/Juridische+vraag%3A+Wanneer+is+het+verplicht+een+data+protection+officer+aan+te+stellen%3F

      Ik hoop je hiermee geholpen te hebben!

      – Pieter Laros, OGD ict-diensten

    • Beste Jonathan,

      Ja, een ZZP’er wordt niet gezien als een grootschalig verwerkende organisatie en dus geldt de verplichting tot het benoemen van een functionaris voor de gegevensbescherming niet. Autoriteit Persoongegevens schrijft het volgende over de regelgeving:
      “Als organisatie bent u volgens de Algemene verordening gegevensbescherming (AVG) onder meer verplicht een functionaris voor de gegevensbescherming (FG) te benoemen en een data protection impact assessment (DPIA) uit te voeren als u op grote schaal: individuen volgt; of bijzondere persoonsgegevens van individuen verwerkt.
      Voor beide aspecten geldt dat dit een kernactiviteit van de organisatie moet zijn. In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt.”

      En:

      “Voorbeeld van een niet-grootschalige verwerking
      De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig.”

      Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg#wat-ziet-de-avg-als-een-grootschalige-verwerking-van-persoonsgegevens-6019

      In concept versies van de AVG werd er nog gesproken over aantallen personen die het verwerken uitvoeren. In de definitieve versie is dat niet opgenomen en dus geeft dit wat minder houvast. Zie ook een blogpost van de vooraanstande ict-jurist Arnoud Engelfriet: Hij schrijft daarin: “Er zijn dus géén getalsmatige criteria, zoals in eerdere concepten van de Verordening nog wel stonden. Diverse artikelen verwijzen hier nog naar, bijvoorbeeld dat je pas een functionaris nodig hebt vanaf 500 medewerkers of als je van 250 mensen of meer persoonsgegevens verwerkt. Dat is dus allemaal niet meer uit de wet af te leiden.”

      Bron: https://www.security.nl/posting/495406/Juridische+vraag%3A+Wanneer+is+het+verplicht+een+data+protection+officer+aan+te+stellen%3F

      Ik hoop je hiermee geholpen te hebben!

      – Pieter Laros, OGD ict-diensten

      • Jonathan Van Rij

        Hoi Pieter, bedankt voor de toelichting!

  • M van Engelen

    Dank voor deze introductie op de AVG. Vanaf hoeveel gegevens/relaties geldt dit?

    • Helaas is je vraag niet goed te beantwoorden. De AVG en de uitleg die de Artikel 29 Working party er aan geeft bieden namelijk geen uitkomst. Op de site van de Autoriteit persoonsgegevens is een deel van de uitleg te vinden:

      Criteria grootschalige gegevensverwerking
      Wilt u bepalen of uw organisatie volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt? Kijk dan naar deze criteria:
      • het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
      • de hoeveelheid gegevens die u verwerkt;
      • de duur van de gegevensverwerking;
      • de geografische reikwijdte van de verwerking.
      Voorbeelden van grootschalige verwerkingen
      Hieronder vindt u een aantal voorbeelden van verwerkingen die de Europese toezichthouders als grootschalig zien:
      • Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
      • Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
      • Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.
      • Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
      • Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.
      • Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten. Zoals inhoud, verkeer en locatie.

      (Bronnen: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg#wat-ziet-de-avg-als-een-grootschalige-verwerking-van-persoonsgegevens-6019 en https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243_rev01_enpdf_0.pdf )

      Zoals je kan lezen worden er alleen voorbeelden gegeven van situaties waarbij de AVG van toepassing is en zijn er dus geen concrete aantallen waar aan we kunnen refereren.

      Mogelijk kan je wat meer informatie verschaffen over de situatie waar je je in bevindt. Dat geeft ons de mogelijkheid om met je mee te denken en gezamenlijk tot een concreter antwoord te komen.

      – Pieter Laros, OGD ict-diensten

      • M van Engelen

        Pieter, dank voor deze info. De voorbeelden zijn natuurlijk duidelijk en refereren aan grotere organisaties. Wij beheren ca. 350 Nederlandse adressen plus (vanaf medio 2018) 100 internationale adressen van personen, bedrijven en maatschappelijke organisaties die een project ondersteunen in de Filipijnen (Youngfocus.nl). Dit kan in 2018 uitgroeien tot ca. 1.000 relaties. Aantal medewerkers: 2.

        De be-/verwerking van gegevens is bij ons gepland en eenduidig. Het aantal mensen dat bij de gegevens kan is beperkt en onafhankelijk van wetgeving wil ik ook dat ons relaties hun privacyrecht kunnen uitoefenen.

  • Henri Drenth

    Welke persoonsgegevens van de medewerkers in een bedrijf mogen intern verspreid worden zonder de regels van deze wetgeving te overtreden

    • Beste Henri,

      Hartelijk dank voor je reactie. Aangezien dit een specifieke vraag is, kan een van onze adviseurs hier het beste op antwoorden. Om contact op te nemen, kun je onderaan op de pagina https://ogd.nl/diensten/advies het formulier invullen. Een van hen neemt dan zo spoedig mogelijk contact met je op.

      Nogmaals bedankt!

      – Rohiet Jakhari, OGD ict-diensten

  • Beste Frank,

    Bedankt voor je reactie. Om een juist antwoord op deze vraag te kunnen geven, wil ik je doorverwijzen naar onze adviseurs. Op de pagina https://ogd.nl/diensten/advies kun je onderaan de pagina het contactformulier invullen, en dan neemt een van hen contact met je op.

    Nogmaals bedankt!

    – Rohiet Jakhari, OGD ict-diensten

  • Jack Lamers

    Hoe zit het met deze regeling voor medewerkers van een bedrijf, die tijdens hun werkzaamheden toegang hadden tot bepaalde gegevens en deze gegevens bij vertrek mee willen nemen?

    Voorbeeld, Henk is een arts in opleiding en verzamelt tijdens zijn opleiding diverse informatie waarbij onvermijdelijk persoonsgegevens worden gebruikt (gesprekken met personen die worden geregistreerd). Nadat Henk besluit de organisatie te verlaten, wil hij een backup van al zijn persoonlijke bestanden (afgeschermd gedeelte van het netwerk waar enkel hij toegang heeft, hij is dus data eigenaar en kan deze inzien terwijl hij in dienst is) en zijn mailbox.

    Voorziet deze wet in regels of dit A) wel mag, B) niet mag of C) wel mits er geen persoonsgegevens in de data zitten (en wie moet dat controleren, als systeembeheerder hoor ik die gegevens niet onder ogen te krijgen)?

    Hopelijk is de vraagstelling duidelijk?

    • Beste Jack,

      Bedankt voor je reactie. Aangezien dit een specifieke vraag is, kan een van onze adviseurs hier het beste op antwoorden. Om contact op te nemen, kun je onderaan op de pagina https://ogd.nl/diensten/advies het formulier invullen. Een van hen neemt dan zo spoedig mogelijk contact met je op.

      Nogmaals bedankt!

      – Rohiet Jakhari, OGD ict-diensten

  • Nico Dijkhuizen

    Ik heb twee vragen over de AVG; betreffende een vereniging.
    1. Als de grondslag Toestemming van betrokkene is moet je dat kunnen aantonen. Geldt dat alleen voor nieuwe leden ook voor de bestaande? Je krijgt nooit een 100% response en dan zou je die leden moeten verwijderen?
    2. Kan je als verenging om 1 hierboven te vermijden, kiezen voor Gerechtvaardigd belang. Onze (patienten) verenging kan niet functioneren zonder de relevante registratie van persoonsgegevens.

    • Beste Nico,

      Bedankt voor je reactie. Dit is een vrij specifieke vraag, en om je vraag het beste te beantwoorden kun je het best in gesprek gaan met een van onze adviseurs. Om contact op te nemen, kun je onderaan op de pagina https://ogd.nl/diensten/advies het formulier invullen. Een van hen neemt dan zo spoedig mogelijk contact met je op.

      Nogmaals hartelijk dank!

      – Rohiet Jakhari, OGD ict-diensten

  • Bo A

    ik vroeg me af in hoeverre roddelbladen deze wet schenden?’