Een van de zaken die afgelopen jaar veel aandacht heeft gehad is wel de privacywetgeving (AVG of GDPR) die sinds 25 mei 2018 gehandhaafd wordt. Ik zeg wel privacywetgeving, maar eigenlijk is dat het helemaal niet. Het gaat om de bescherming van persoonsgegevens. Het woord ‘privacy’ komt slecht éénmaal voor in de volledige (Nederlandse) tekst van de AVG, en dan ook nog in de naam van een verwijzing naar een extern document. Toch hebben we het allen over de privacywetgeving, en dat is niet zo raar. Deze Europese wet geeft de burgers meer rechten en de gegevensverwerkers meer plichten ten aanzien van de verwerking van persoonsgegevens. Daarmee is er een directe invloed op de privacy van de burgers.
Rechten
De wet geeft de burgers meer rechten. Eigenlijk hadden we die rechten al grotendeels in de Wbp, maar ze zijn, onder dreiging van hoge boetes, in de AVG beter en transparanter gesteld. De meest spraakmakende rechten, zoals het recht op wissen van gegevens, het recht op portabiliteit van je persoonsgegevens en het recht op bezwaar en geautomatiseerde besluitvorming hebben veel aandacht gekregen in de media. Vele bedrijven hebben onder druk van goed bedoelende (zelfbenoemde) experts bergen e-mails de deur uitgedaan om maar toestemming te krijgen voor de verwerking van uw persoonsgegevens. Of dat terecht was? Vaak niet. Eén ding zijn we wel wijzer geworden, wet weten nu een beetje wie er allemaal persoonsgegevens van ons verwerkt. Zoek de mailtjes nog maar eens na en verbaas je van wie je allemaal een mailtje hebt gehad.
De vraag rijst al snel of deze wet niet een beetje overdreven is allemaal. Nou, nee. Eigenlijk is de wet in grote lijnen hetzelfde als de voorgaande wet, de wet bescherming persoonsgegevens (Wbp). Ook daar staat veel in zoals het in de nieuwe wet staat, alleen is er een zekere noodzaak voor de bedrijven gekomen om er mee bezig te gaan. Ook in de ‘oude’ wet was er een sanctie mogelijk, al is deze nu een stuk hoger dan toen. Inderdaad, dat zet wel druk. Maar wat moet je er als ondernemer nu mee. Hoe moet je voldoen aan de wet? Mag je nu niets meer? De vragen zijn helder, alleen de antwoorden zijn vaak veel lastiger. Ik zal toch een poging wagen.
Dat mag niet meer van de AVG.
Een veel gehoorde reden om geen gegevens te delen is “Dat mag niet meer van de AVG!” Maar is dat zo? Vraag jezelf als burger, maar zeker ook als ondernemer nu eens af of dat wel zo is. Waar in de AVG staat dat het delen van gegevens niet meer mag? Je mag nog steeds delen, als het doel waarom de persoonsgegevens verzameld zijn en het doel waarvoor je ze wilt gebruiken (delen) verenigbaar zijn met elkaar.
Voorbeeld 1: U heeft een nieuwe bril aangeschaft. Bij de aflevering kreeg u een papier om toestemming te geven voor het gebruik van uw gegevens, voor het doen van een mailing waarin ze u de kans geven uw ogen en bril te controleren. Is het vragen van toestemming hier zinnig? Neen. U bent een overeenkomst aangegaan met de opticien voor de levering van een bril, welke op maat (sterkte) is gemaakt. Het gebruik van deze gegevens om een oproep voor controle te doen is wat dat aangaat volledig verenigbaar met het oorspronkelijke doel voor het verzamelen van de gegevens. Er is dus geen toestemming nodig in dit geval!
Voorbeeld 2: Een Arts in het ziekenhuis weigert de uitslagen van een onderzoek naar de huisarts te sturen, met als reden “Dat niet meer mag van de AVG!” Volledig de plank misgeslagen! De huisarts was verwijzer, en voor beide behandelaars geldt dat ze eenzelfde doel hebben, namelijk de gezondheid van de patiënt. De daarbij verzamelde gegevens zijn in dat geval dus noodzakelijk en rand voorwaardelijk voor een verdere behandeling bij de huisarts.
Wat betekent dit voor de ondernemer?
De ondernemer is ontegenzeggelijk hard geraakt door deze wet. Als professional in dit vakgebied moet ik echt bekennen dat veel ondernemers harder geraakt zijn dan op voorhand werd aangenomen. De teksten zijn voor de gewone ondernemer als een woud vol bomen en slingerstruiken; er is geen doorkomen aan. Dan zijn er ook nog de cowboys in het veld die even snel geld willen verdienen aan deze ondernemers. Ze roepen iets populistisch en omdat ook de media iets van dezelfde strekking zegt, zal het wel waar zijn. Helaas wordt de ondernemer vaak de verkeerde kant op gestuurd, of wordt totaal verkeerd voorgelicht. Waar zit dan de pijn voor de ondernemer?
1. Omvang van de verwerkingen.
Wel die pijn zit op een plek die vaak niet wordt benoemd. Als eerste zit de pijn in de aanname of je wel of geen persoonsgegevens verwerkt. Als je veel klanten hebt, dan verwerk je dus persoonsgegeven, maar wat is dan veel? De vraag is of je die afweging moet maken. Als je over een paar jaar wat groter bent gegroeid en alleen maar nieuwe klanten erbij hebt gekregen ben je ongemerkt toch veel persoonsgegevens aan het verwerken. Een oude klant staat namelijk nog steeds in je debiteuren bestand en daarmee verwerk je zijn gegevens. Het is dan ook raadzaam om ook als je kleiner bent je verwerkingen in kaart te brengen en die lijst (het Register van Verwerkingen zoals de AVG dat noemt) bij te houden. Het gaat erom dat je je processen hier en daar aanpast, zodat het min of meer automatisch gaat.
2. Rechten van betrokkenen.
De burgers, uw klanten, hebben rechten volgens de AVG. Die hadden ze ook al in de Wbp, dus daar zou u al aan moeten hebben voldaan als het goed is. Als eerste het recht op informatie. De AVG kent daar twee versies van, de actieve en de passieve. U moet als ondernemer de klant laten weten dat u zijn gegevens opneemt in een gegevensverzameling (bijvoorbeeld een debiteurenbestand), met welk doel, op basis van welke grondslag, hoe lang u die gegevens bewaart en op welke wijze hij zijn rechten daarop kan uitoefenen. Een klant mag bijvoorbeeld met regelmatige tussenpozen een verzoek tot informatie indienen bij u. Om te weten wie wanneer een verzoek heeft ingediend en of hij niet stiekem elke week een verzoek indient om u te frustreren, moet u hiervan een lijst bijhouden (Register van Rechtenverzoeken). Ook dat is een van de processen die u in de organisatie moet implementeren.
Een klant kan ook vragen om een overzicht van persoonsgegevens die u van hem verzameld en geregistreerd heeft. Ook dan moet u hetzelfde, inclusief de gegevens, kunnen oplepelen. Als de gegevens niet juist zijn, heeft de klant recht om die te laten wijzigen. Dat is ook voor u handig, zo heeft u de juiste gegevens en kunt u beter zakendoen. De klant heeft ook een recht om zijn gegevens te laten verwijderen, maar denk erom dat is niet absoluut! U kunt namelijk geen gegevens verwijderen die u wettelijk moet vastleggen of bewaren, zoals voor de belastingdienst. Dat moet u dan ook weten en ook kunnen melden. Daarmee kunt u aantonen dat u zich aan de wet houdt. Zo zijn er nog een paar van deze rechten waarvoor u procedures moet opstellen. Vaak bestaan ze al, maar dienen ze aangepast en formeel vastgesteld te worden.
3. Aantonen dat je aan de wet voldoet.
U moet volgens de wet kunnen aantonen dat u zich aan die wet houdt. Dat is de meest lastige van alle eisen. Je moet namelijk aantonen dat de maatregelen die volgens de wet genomen (moeten) worden, ook in het verleden effectief zijn geweest. Deze maatregelen kunnen zowel van technische als van organisatorische aard zijn. Het is daarom dan ook van belang om een zogenaamde “Privacy en Security Boekhouding” te voeren. Het invoeren daarvan kost in een kleinere onderneming minder moeite dan als de onderneming wat groter is. Door deze boekhouding goed te voeren kun je bij het opstellen van de jaarrekening vrij eenvoudig iets zeggen over de status van je privacy- en securitybeleid, en je daarmee niet alleen maatschappelijk profileren maar ook verantwoorden.
4. Oei! Datalekken!
Veel ondernemers haken hier af. Het fenomeen datalekken is veelvuldig in de media aan bod geweest. Telkenmale gaat het dan steevast over welke boete de toezichthouder dan op zal gaan leggen. Toegegeven, ook ik kijk uit naar de eerste echt serieuze boete vanuit de toezichthouder op dit dossier. Niet om te kunnen vingerwijzen, maar om de ernst van de zaak te benadrukken. Een datalek is niets minder dan een foutieve handeling in een proces waar persoonsgegevens bij betrokken zijn. Dat betekent ook dat je de kans hebt om van tevoren na te denken over de risico’s die je met het verwerken van persoonsgegevens kan lopen. Denk even aan de mailing waarbij alle mailadressen in de ‘Aan’ regel zijn opgenomen. Hiermee lek je direct persoonsgegevens. Ga je mailen naar meer dan één adres, zet dan de lijst met namen in de ‘BCC’ Zo kan niemand het mailadres van een ander zien en lek je geen gegevens. Een simpele oplossing voor een veel voorkomend probleem. Maar als je dan het vermoeden van een datalek hebt, hoe ga je dan daarmee om? Het opstellen van een protocol Datalekken is daarvoor het meest geschikt. Vooraf moet worden bedacht wat er nodig is om een eventueel datalek te stoppen, en bepaald wanneer is het wel en niet nodig is om het datalek te melden. Bedenk dat de toezichthouder liever heeft dat er een datalek is dat gemeld is en waar hard aan een oplossing wordt gewerkt, dan dat ze een melding van een datalek krijgen die onder de pet is gehouden. De boete is wat mij betreft in het laatste geval echt terecht van toepassing. Een dergelijk protocol is eigenlijk al vanaf 1 januari 2016 verplicht.
Conclusie
Ik hoop dat alle lezers dit punt gehaald hebben ondertussen. Diegene die nog niet is afgehaakt is zich bewust geworden van de uitdagingen en de vragen omtrent goed ondernemerschap. De lijst van zaken die op een ondernemer af komen is hiermee zeker nog niet compleet, want ook tijdens het schrijven van dit stuk, of zelfs het lezen ervan, zal er wel weer iets veranderen aan de wetgeving of interpretatie van de verschillende wetten. Wat belangrijks dat u als ondernemer er zich bewust van bent dat u niet alle wetten kunt bijhouden en zeker niet wat dat betekent voor uw organisatie. Mede daarom is er in de wet ook een 3-tal artikelen ingeruimd voor een nieuwe beroepsgroep: de Functionaris voor de Gegevensbescherming of kort FG. De drie artikelen behelzen de aanstelling, de taken en de verantwoordelijkheden van deze functionaris. Is hij verplicht? Zeker niet altijd, maar, en de wetgever heeft het in de overdenkingen en in de uitvoeringswet er wel over, u kunt altijd zelf een (parttime) FG aanstellen. Door een externe FG aan te stellen kunt u uw behoefte die u door de wet krijgt opgelegd uitbesteden aan een functionaris die weet wat er nodig is voor het bedrijf. Deze functionaris is geen advocaat, maar heeft wel gedegen kennis van de wet, kan meepraten over organisatorische zaken en wat die betekenen in de context van de wet, weet hoe je de wet kan inrichten binnen de onderneming en kan de accountant bijstaan op het gebied van de controle op de boeken.
Wat moet u als ondernemer nu met dit verhaal in de toekomst? Als eerste is het verstandig om nog voor de jaarrekening een en ander op een rijtje te zetten. Bepaal waar u in het landschap van de privacy staat met uw onderneming. Hoe doet u het toch nu toe? Is het alleemaal heel erg onduidelijk? Schroom dan niet om hulp in te roepen; je laat de slager toch ook niet je badkamer verbouwen? Een professional kan snel bepalen waar u staat en welke weg er afgelegd moet worden. Hoe die weg eruitziet, bepaalt u grotendeels zelf.
Over de schrijver
Ik ben als oprichter en eigenaar van Mea Mundo (latijn voor “mijn wereld”), een zelfstandige externe FG en professional op het gebied van privacy en security. Ik kan u zeker van dienst zijn om, in een verkennend gesprek, helder te krijgen wat uw behoefte is op het gebied van privacy en security en hoe uw privacy landschap er uit ziet. Ik kan u helpen om de processen die nodig zijn voor de verwerking van persoonsgegevens te identificeren en goed in te richten en de benodigde procedures ten behoeve van de privacy en security af te stemmen op uw onderneming. Voor een continue ondersteuning kan ik diverse diensten aanbieden, eventueel in de vorm van een abonnement; ook als uw bedrijf behoefte heeft aan een externe (formele) FG.
(disclaimer)
Bovenstaande tekst pretendeert niet compleet te zijn, maar is slechts een bloemlezing van valkuilen en hindernissen waar een ondernemer mee te maken kan krijgen en slechts een beperkte set aan handvatten die de verordening levert om tot een goede gegevensbescherming te komen. Er is bewust geen rechtstreekse verwijzing naar artikelen geplaatst om het makkelijker leesbaar te houden.