Is het AVG-stof neergedaald?

Weer een blog over de Algemene Verordening Gegevensbescherming. Tijdens de vakantie was er (gelukkig) weinig AVG-nieuws, maar hier en daar sijpelen de berichten over datalekken toch door. Het UWV lekte laatst nog ‘per ongeluk’ de gegevens (waaronder de burgerservicenummers) van 2.400 klanten in Noord-Holland. Helaas zie ik in mijn dagelijkse praktijk dat veel ondernemers nog niet aan de AVG voldoen. Nu de vakantie voorbij is wordt het tijd om dit veelkoppige monster aan te pakken met de AK-oplossing.

Onduidelijkheid

Over veel onderwerpen van de AVG en de Nederlandse Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) bestaat nog twijfel en onduidelijkheid. Overigens niet op de laatste plaats bij de wetgever en de Autoriteit Persoonsgegevens zelf. Vooral de praktische uitvoering van de wettelijke voorschriften is nog erg onzeker. Die onzekerheid leidt tot vragen als:

• Welke maatregelen moet ik volgens de AVG treffen?
• Ben ik een verwerker of een verwerkingsverantwoordelijke?
• Hoe ga ik om met verzoeken of klachten van betrokkenen?
• Wat moet ik doen bij een datalek?

Die onzekerheid maakt ook dat deze vragen erg lastig te beantwoorden zijn; zelfs voor ervaren juristen die zich in de materie hebben verdiept. Inmiddels is overigens wel duidelijk dat Nederland geen gebruik zal maken van de uitzondering die de AVG biedt voor kleinere ondernemingen. Iedere onderneming moet dus aan de AVG voldoen.

Maatregelen

De AVG (in het Engels: ‘General Data Protection Regulation’ en afgekort: ‘GDPR’) is gecompliceerde wetgeving met veel open normen. Zo moet iedere organisatie: ‘passende organisatorische en technische maatregelen’ nemen ter bescherming van persoonsgegevens. Die maatregelen zijn weer afhankelijk van het soort persoonsgegevens dat wordt verwerkt. Kort gezegd: bijzondere persoonsgegevens (zoals etnische afkomst, seksuele voorkeur en strafrechtelijk verleden) verdienen een verdergaande bescherming dan algemene persoonsgegevens (zoals naam, adres en woonplaats). Iedere organisatie moet voor zichzelf een inschatting maken of de genomen maatregelen afdoende zijn en voldoende bescherming bieden. Alleen weet niemand met absolute zekerheid of de Autoriteit Persoonsgegevens de getroffen maatregelen óók afdoende zal vinden. En daarmee is er nog veel onduidelijk en dus onzeker. Het adagium: “voldoe aan de strengste normen, want dan zit je altijd goed”, is in theorie aardig bedacht, maar praktisch (bijvoorbeeld gelet op de kosten) niet altijd werkbaar.

Verwerker

Het onderscheid tussen de ‘verwerkingsverantwoordelijke’ en de ‘verwerker’ is van groot belang. De AVG stelt namelijk verplicht dat er tussen de verwerkingsverantwoordelijke en de verwerker een zogenoemde ‘verwerkingsovereenkomst’ wordt gesloten. Op het eerste gezicht lijkt de scheidslijn tussen deze begrippen duidelijk, maar in praktijk is het dat niet. Degene die persoonsgegevens verwerkt is volgens de AVG een ‘verwerkingsverantwoordelijke’. Degene die in opdracht van deze verwerkingsverantwoordelijke persoonsgegevens verwerkt zonder dat er sprake is van een gezagsverhouding, is volgens de AVG een ‘verwerker’. Het onderscheid wordt onder andere vertroebeld door het feit dat er slechts sprake is van een ‘verwerker’ als de door deze partij verrichte diensten primair zijn gericht op het verwerken van gegevens en niet als die verwerking onderdeel uitmaakt van een meer omvattende dienst. Enkele voorbeelden: de accountant die slechts de loonadministratie voor zijn opdrachtgever doet (en daarmee de persoonsgegevens van het personeel van zijn opdrachtgever verwerkt) is een verwerker. De postbezorger (die de persoonsgegevens van degene aan wie de brief of het pakketje is gericht verwerkt, maar slechts ter uitvoering van een meer omvattende dienst: het bezorgen van post of een pakketje) is geen verwerker. Als dezelfde accountant die de loonadministratie doet ook de tussentijdse cijfers doet, de boekhouding bijwerkt en/of jaarrekeningen opstelt, is hij voor die diensten weer geen verwerker.

Verzoeken en klachten van burgers

Personen van wie de persoonsgegevens worden verwerkt, hebben verschillende rechten. Zij kunnen de instantie die hun gegevens verwerkt om inzage vragen. Ook kunnen zij vragen om bepaalde gegevens te veranderen of zelfs te verwijderen. Maar wat te doen als er daadwerkelijk een dergelijk verzoek binnenkomt? En welk risico loopt u als u niet adequaat reageert op deze verzoeken of klachten?

De AK-oplossing

AK Advocaten heeft een standaard AVG pakket ontwikkeld. In dit pakket zitten de navolgende standaarddocumenten, die u als ondernemer zelf verder kunt invullen:

• Stappenplan;
• Verwerkingsactiviteitenregister;
• Inventarisatielijst;
• Overzicht bewaartermijnen;
• Privacyverklaring;
• Gegevensbeschermingsbeleid;
• Protocol meldplicht datalekken;
• Protocol omgaan met verzoeken;
• Verwerkersovereenkomst;
• Toevoeging arbeidsovereenkomst;
• Toevoeging algemene voorwaarden;
• Cookiemelding.

Het is geen absolute garantie dat u met deze documenten voldoet aan de AVG, maar de belangrijkste stappen in de goede richting zijn dan wel genomen. Uiteraard zijn de in de AVG-wetgeving gespecialiseerde advocaten van AK bereid u te helpen bij het in- en aanvullen van deze documenten. Fotocredits: Jacob Lund / Adobe Stock