VERDIEPINGSARTIKEL

Hindernissen bij het werken met inmiddels roemruchte AVG

In tegenstelling tot grote multinationals heeft u als dga waarschijnlijk geen grote afdeling beschikbaar die zorgt dat uw bv soepeltjes voldoet aan nieuwe regels. Daardoor komt er meer op uw bordje terecht, bijvoorbeeld bij de invoering van de inmiddels roemruchte Algemene Verordening Gegevensbescherming (AVG). Onderzoek laat zien dat de uitvoering van de privacywet niet altijd even gemakkelijk is. Daarom een opfrisser van de regels rondom drie mogelijke struikelblokken.


16 september 2019 6 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement online.


Als de AVG één ding voor elkaar heeft gebokst, dan is het wel dat de BV Nederland privacy weer nadrukkelijk op het netvlies heeft staan. Een veelgehoorde opmerking bij de koffieautomaat of in vergadering is plots: ‘mag dat wel volgens de AVG? 'ndere voordelen zijn minder helder, zo blijkt uit onderzoek (zie kader hieronder) dat Rendement heeft laten uitvoeren naar ervaringen met de AVG. Op de vraag welke voordelen de privacywet hun heeft opgeleverd, kruist 52% van de respondenten het vakje ‘weet niet / geen antwoord’ aan. ‘Bewust omgaan met persoonsgegevens wordt met 22% het vaakst genoemd als voordeel. Maar antwoorden als ‘alleen heel veel extra werk’ en ‘geen voordelen, alleen maar kosten en een hoop gedoe’ waren er ook. Voordelen of niet: u moet het ermee doen. BV Rendement licht er een paar knelpunten uit.

1. Verwerking van persoonsgegevens

Gevraagd naar welke verplichting uit de AVG het moeilijkst is om na te leven, steken er twee met kop en schouders boven de rest uit:

  • Het documenteren van alle verwerkingen van persoonlijke gegevens (23%).
  • Afsluiten van een verwerkersovereenkomst met alle leveranciers (21%).

Wat er precies onder de noemer ‘persoonsgegeven’ valt, blijkt nog niet overal even goed bekend (zie kader hieronder). Maar het vastleggen van alle verwerkingen van persoonsgegevens in een ‘verwerkingsregister’ blijkt ook een behoorlijke administratieve klus. Dit moet u in elk geval in het register opnemen:

    De doelen waarvoor u de persoonsgegevens verwerkt.
  • Naam en contactgegevens van uw bv of de vertegenwoordiger van uw bv, de functionaris voor de gegevensbescherming (FG) – als u die heeft aan aangesteld – en verder eventuele andere organisaties waarmee u gezamenlijk gegevens verwerkt en eventuele buitenlandse ondernemingen waar u persoonsgegevens mee deelt.
  • Een beschrijving van de categorieën van personen van wie u gegevens verwerkt (bijvoorbeeld klanten).
  • Een beschrijving van de categorieën van persoonsgegevens (onder andere naam en adresgegevens en telefoonnummers, maar ook IP-adressen).
  • De datum waarop u de gegevens moet wissen als dat bekend is.
  • De categorieën van ontvangers aan wie u persoonsgegevens verstrekt. Ook moet in het register een algemene beschrijving zitten van de technische en organisatorische maatregelen die u neemt om te zorgen dat de persoonsgegevens veilig zijn.

Over het onderzoek

Voor het onderzoek is gebruikgemaakt van antwoorden van 1.276 respondenten die de vragenlijst volledig hebben ingevuld. Zij zijn vooral werkzaam in het mkb en zijn allen beïnvloeder of beslisser ten aanzien van AVG-gerelateerde zaken. Het veldwerk is verzorgd door onderzoeksbureau Motivaction en heeft plaatsgevonden van 13 maart tot en met 1 april 2019. Motivaction is lid van de MOA en maakt deel uit van de Research Keurmerkgroep.

2. Verwerkersovereenkomsten

Dan de verwerkersovereenkomsten. De overgrote meerderheid van de ondervraagden in het onderzoek heeft inmiddels zo’n overeenkomst gesloten met leveranciers: 82%. Voor slechts 5% van de respondenten is de overeenkomst reden geweest om de samenwerking met een leverancier te staken. U moet een verwerkersovereenkomst sluiten met alle externe partijen die persoonsgegevens van uw bv ‘verwerken’. De salarisadministrateur is een voor de hand liggend voorbeeld, maar de definitie van ‘verwerken’ is nogal breed. Onder meer het verzamelen, ordenen, opslaan, raadplegen van gegevens vallen hieronder, maar ook het wissen of vernietigen van gegevens. Belangrijk is ook dat uw bv altijd zelf verantwoordelijk blijft voor een correcte verwerking van de gegevens. Verwerkersovereenkomst of niet. In zo’n overeenkomst moet u in elk geval het volgende vastleggen:

  • Een bepaling dat de verwerker de persoonsgegevens in schriftelijke opdracht van uw bv verwerkt.
  • De verwerker moet de persoonsgegevens die hij te zien krijgt verplicht geheimhouden, behalve bij een wettelijke verplichting tot mededeling.
  • De verplichting dat de verwerker ‘passende’ maatregelen moet treffen tegen verlies of onrechtmatige verwerking.
  • Een bepaling dat de verwerker voor het inschakelen van een ‘subverwerker’ (een onderaannemer) uitdrukkelijk toestemming nodig heeft van uw bv.
  • Een bepaling dat de verwerker u helpt om te zorgen dat werknemers gebruik kunnen maken van hun recht op inzage, wijziging en verwijdering van de gegevens (zie kader helemaal onderaan de pagina).

Kopie

moet sluiten, verlengen of er misschien opnieuw over moet onderhandelen zijn er nog een paar nuttige overwegingen. Bijvoorbeeld: maak concrete afspraken over de termijn waarbinnen de verwerker een datalek bij u moet melden. Ook heldere afspraken over aansprakelijkheid zijn belangrijk. Daarnaast moet u ook vastleggen wat er met de gegevens moet gebeuren bij beëindiging van de overeenkomst met de externe partij. De gegevens mogen namelijk niet achterblijven bij de verwerker. U moet dus niet vergeten af te spreken dat de verwerker een kopie van de persoonsgegevens overdraagt aan uw bv voordat hij ze vernietigt.

Kenteken, godsdienst en IP-adres... Persoonsgegevens?

In het onderzoek is ook een kleine ‘kennisquiz’ ingebouwd. Met de vraag: is dit een persoonsgegeven of niet? In het algemeen blijken de respondenten daar best goed op te scoren. Zo wijst een ruime meerderheid etniciteit, godsdienst, vakbondslidmaatschap en telefoonnummer terecht aan als persoonsgegeven. Meer dan vier op de vijf respondenten zitten hier goed. Ook weet 80% van de ondervraagden dat ‘gegevens van organisaties’ géén persoonsgegevens zijn. Want de AVG gaat alleen over gegevens van natuurlijke personen. Iets minder overtuigend zijn de antwoorden bij ‘uiterlijke kenmerken van een persoon’, een kenteken van een auto en bij het IP-adres. Die wijzen respectievelijk 77%, 69% en 74% van de respondenten terecht aan als persoonsgegeven.

Misvatting

De grootste misvatting komt bij ‘gegevens over overleden personen’. Daarvan denkt 77% dat dit ook persoonsgegevens zijn. Maar strikt juridisch gezien zijn dit geen ‘natuurlijke personen’ meer. Daarom is de AVG niet van toepassing.

3. Meldplicht datalekken

Uit het onderzoek blijkt dat er wat onduidelijkheid heerst over het melden van een datalek. De meeste ondervraagden (64%) antwoorden dat een datalek altijd gemeld moet worden bij toezichthouder Autoriteit Persoonsgegevens (AP). En 72% meent dat ook degenen van wie data gelekt zijn altijd een seintje moeten krijgen. De crux zit ‘m in het woord ‘altijd’. De regel is dat u een datalek moet melden bij de AP, ténzij de kans klein is dat dit lek een risico oplevert voor ‘de rechten en vrijheden’ van betrokkenen. U moet dit risico zelf inschatten. Op de AP-site staan wel handvatten, zoals een lijst met voorbeeldsituaties. Zo hoeft u het niet te melden als bij een gegevensverwerker een usb-stick met een back-up met persoonsgegevens wordt gestolen. Als die data tenminste afdoende versleuteld zijn. Als u geen melding hoeft te doen bij de AP, hoeft u ook de betrokkenen niet in te seinen. Dat laatste hoeft alleen als het risico voor de betrokkenen ‘hoog’ is. Dat is omschreven als een risico dat het datalek kan leiden tot ‘lichamelijke, materiële of immateriële schade’ voor de betrokkenen, zoals identiteitsfraude. Overigens moet u zelf verplicht een register met datalekken bijhouden. Als u geen melding hoeft te doen bij de AP, moet u het datalek wel opnemen in dit register.

Meldloket

Als u wel een melding moet doen bij de AP, moet dat zo snel mogelijk, maar in elk geval binnen 72 uur. Lukt dat niet, dan moet u een verklaring geven voor de vertraging. U geeft het lek door via het meldloket van de AP: https://datalekken. autoriteitpersoonsgegevens.nl. In de melding moet in elk geval dit staan:

  • een beschrijving van het datalek en de vermoedelijke gevolgen ervan;
  • maatregelen die u heeft getroffen of voorstelt;
  • contactgegevens van de FG of iemand anders die meer informatie kan geven.

Veel meer informatie en handige tools voor het voldoen aan de AVG vindt u op rendement.nl/bvtools.

Verzoek om verwijdering van gegevens snel ingewilligd

Door de AVG hebben consumenten (en werknemers) er ook nieuwe ‘rechten’ bijgekregen. Zo mogen ze u om inzage vragen in gegevens die u van hen heeft. En om gegevens te verwijderen. Dat loopt nog niet echt storm, afgaand op het onderzoek: 13% heeft een inzageverzoek gekregen en 7% een verwijderingsverzoek. Alleen in uitzonderlijke gevallen mag u zo’n verzoek weigeren. U moet in principe binnen een maand schriftelijk reageren op een verzoek. Veruit de meeste respondenten blijken ruim binnen die termijn te blijven. Bij een inzageverzoek geeft 26% binnen 24 uur antwoord. Bij een verwijderingsverzoek is dat zelfs 30%. Slechts 2% heeft langer dan een maand nodig om data op te leveren of te verwijderen.