Sinds 25 mei 2018 is de AVG van kracht. Deze nieuwe wetgeving zorgt bij veel innovaties en bij nagenoeg alle samenwerkingen waar we vanuit ENSO Health bij betrokken zijn voor vragen en onduidelijkheid. Wat is er veranderd, wat mag nog wel en wat mag zeker niet?

Met dank aan Jeroen Terstegge van Privacy Management Partners hierbij een nadere duiding:

De tien grootste misverstanden over de AVG

  1. Het mag niet meer van de nieuwe privacyregels

Met stip op nummer 1: De bewering dat de regels nieuw zijn en dat nu opeens allerlei dingen niet meer mogen van de wet. Niets is minder waar. De meeste regels in de AVG, en zeker de regels die gaan over wat wel en niet mag met persoonsgegevens, zijn helemaal niet nieuw. Bijna al die regels stonden ook al in de vorige wet (de Wet bescherming persoonsgegevens uit 2000) en enkele regels stonden zelfs al in de wet van 1988 (de Wet persoonsregistraties). Grote kans dus dat als u denkt dat iets niet meer mag, u het vóór 25 mei ook al niet mocht. Alleen, u wist dat niet of het interesseerde u niet. Dit geldt trouwens ook voor de meeste rechten van betrokkenen, zoals het inzagerecht, en sommige wettelijke verplichtingen, zoals het sluiten van een verwerkersovereenkomst met een verwerker.

  1. Je kan extreem hoge boetes krijgen

Ja, maar die worden niet zomaar opgelegd. De wet zegt dat een boete ‘afschrikwekkend’ moet zijn (dus niet te laag zodat je het niet gauw nog een keer zult doen), maar ook dat een boete ‘proportioneel’ moet zijn (dus niet te hoog; niet alleen moet de boete evenredig zijn aan de ernst van het begane feit, maar je mag er in principe ook niet financieel door in de problemen raken). Die miljoenenboetes in de wet zijn vooral bedoeld voor de hele grote bedrijven die als hun core business op grote schaal onze gegevens verwerken, zoals Facebook en Google. Bovendien is een boete ook niet de meest logische sanctie. Veel logischer is dat de toezichthouder, de Autoriteit Persoonsgegevens, een zogeheten ‘last onder dwangsom’ oplegt. Zo’n dwangsom hoef je niet te betalen als je netjes en binnen de gestelde termijn het bevel van de AP opvolgt. En last, but not least, de boete was onder de vorige wet ook al hoog: maximaal 830.000 euro per overtreding (nu 20 miljoen voor bij elkaar horende overtredingen) of 10% van de jaaromzet (nu 4%).

  1. Je hebt altijd toestemming nodig

Nee, er zijn zes gronden om persoonsgegevens te mogen verwerken. Slechts één daarvan is de toestemming van de betrokkene. Je hebt dus geen toestemming nodig in de andere vijf gevallen, te weten: 1) het aangaan of de uitvoering van een overeenkomst met de betrokkene (bijv. een koopovereenkomst, een arbeidsovereenkomst of een lidmaatschap), 2) de nakoming van je wettelijke verplichtingen (bijv. het bewaren van je administratie voor de belastingdienst of het nakomen van je verplichtingen onder de Arbowet), 3) het redden van iemands leven of beschermen van zijn/haar gezondheid (kortom, niemand hoeft dood te gaan van de privacywet), 4) het uitvoeren van een wettelijke taak door een overheidsinstantie, en 5) het behartigen van een gerechtvaardigd belang van jouw organisatie of van een ander aan wie je de gegevens verstrekt (denk bijv. aan beveiliging van je bedrijf met camera’s, marketing, intern beheer of een zakelijke overeenkomst met een derde).

In de gevallen 4 en 5 moet er vooraf wel een belangenafweging gemaakt worden met de belangen van de betrokkene(n). Is de uitkomst daarvan in het voordeel van de betrokkene, dan zal je alsnog toestemming moeten vragen.  Wil je direct marketing doen per e-mail of cookies gebruiken op je website, dan heb je vaak ook toestemming nodig, maar dat was al jaren wettelijk verplicht en staat ook niet in de AVG, maar in de Telecommunicatiewet. Het feit dat je zoveel mailtjes daarover hebt gehad, had waarschijnlijk vooral te maken met twijfel of al die toestemmingen wel correct verkregen waren (en dus rechtsgeldig zijn) en verder vrij weinig met de AVG zelf. Overigens heb je bijna nooit toestemming nodig om gegevens te mogen verwerken, behalve als het wettelijk verplicht is (zoals bij e-mail marketing en cookies) of als je iets doet met gegevens wat iemand redelijkerwijs niet van jou hoeft te verwachten. In alle andere gevallen heb je waarschijnlijk genoeg aan een van de andere vijf grondslagen en hoef je dus geen toestemming te vragen. En onthoud: als je toch toestemming vraagt ook al had je het niet nodig en iemand zegt ‘nee’, dan mag je geen gegevens verwerken, punt. Doe dus je huiswerk en vraag geen toestemming als het niet hoeft.

  1. Je moet altijd toestemming hebben van de ouders voor de verwerking van gegevens over kinderen

Onzin. De AVG en aanvullend de Uitvoeringswet AVG (UAVG) stellen alleen maar dat als je toestemming gebruikt als grondslag (zie hierboven punt 3), die toestemming door de ouders gegeven moet worden zolang het kind nog geen 16 is. In geval van de andere vijf grondslagen heb je geen toestemming nodig om gegevens over kinderen te mogen verwerken en hoeven de ouders dus ook geen toestemming te geven. Wel ligt bij de belangenafweging bij het gerechtvaardigd belang de lat hoger als de betrokkene een kind is, zodat je iets sneller toch om toestemming van de ouders moet vragen om de gegevens toch voor die gerechtvaardigde belangen te mogen verwerken (denk bijvoorbeeld aan direct marketing aan kinderen).

  1. Je moet met iedere dienstverlener aan wie je persoonsgegevens verstrekt een verwerkersovereenkomst sluiten

Nee. Niet iedere dienstverlener aan wie je persoonsgegevens verstrekt, is een verwerker. In de meeste gevallen is sprake van een zogeheten ‘derdenverstrekking’ van de ene verantwoordelijke aan de andere verantwoordelijke. Maar, ik hoor het u denken, wat nou als die andere partij een datalek heeft? Heel simpel: AVG-technisch is dat niet uw probleem. Misschien heeft u wel iets uit te leggen aan de betrokkenen, maar dat gaat meer over uw reputatie dan over uw juridische verantwoordelijkheden. Had u maar beter op moeten letten toen u met die partij in zee ging. In het beste geval is zo’n datalek reden om de samenwerking te beëindigen.

Hoe herken je nu een verwerker? Ook dat is niet heel ingewikkeld. Als de kernactiviteit van de dienstverlener is het namens u verwerken van uw persoonsgegevens, dan is de dienstverlener een verwerker. Denk bijvoorbeeld aan een ICT-hostingsbedrijf, een externe salarisadministrateur, of een beveiligingsbedrijf dat uw receptie runt en uw bewakingscamera’s in het oog houdt. Maar als de kernactiviteit van de dienstverlener niets met verwerking van uw persoonsgegevens te maken heeft, dan wel de gegevensverwerking slechts bijzaak is, dan is de dienstverlener geen verwerker en heeft u dus geen verwerkersovereenkomst nodig. Denk bijvoorbeeld aan een bloemist die in uw opdracht bloemen aflevert bij een jubilaris of een zieke, een arbodienst, een advocaat of accountant, een trainings- of congresbureau, een hotel voor uw heiweekend met uw personeel, of een leasemaatschappij. In al deze gevallen verstrekt u wel persoonsgegevens, vaak van uw medewerkers, aan deze partijen, maar zij zijn zelf verantwoordelijk voor de naleving van de AVG. Mocht u er behoefte aan hebben, dan zou u kunnen overwegen met zo’n partij een geheimhoudingsverplichting (NDA) overeen te komen, maar dat is alleen zinvol als zo’n afspraak toegevoegde waarde heeft (bedrijfsartsen en advocaten hebben bijvoorbeeld al een beroepsgeheimhoudingsplicht) en u ook iets te onderhandelen heeft (een vliegtuigmaatschappij waar u een ticket boekt voor uw personeel zal zo’n NDA waarschijnlijk niet accepteren).

Er zijn overigens ook dienstverleners die noch verantwoordelijke noch verwerker zijn voor uw gegevens. Zo zijn een postbedrijf en een telecombedrijf noch verantwoordelijke noch verwerker voor wat betreft de doorgifte van (de inhoud van) uw bericht. Zogeheten ‘mere conduit’ is namelijk geen ‘verwerking van persoonsgegevens’. En een uitzendbureau stuurt u wel een uitzendkracht die uw gegevens verwerkt, maar die verwerking wordt aan u als feitelijke werkgever van die uitzendkracht toegerekend en niet aan het uitzendbureau. Die laatste verwerkt uw gegevens dus niet en houdt ook geen toezicht op de verwerking van uw persoonsgegevens; dat doet u als feitelijke werkgever zelf. Ook met deze partijen hoeft u onder de AVG dus niets te regelen, en al helemaal geen verwerkersovereenkomst.

  1. De AVG is van toepassing op EU-burgers

Nee, de AVG is van toepassing op de verwerking van persoonsgegevens van bedrijven (en andere instanties) in het kader van de activiteiten van hun Europese vestigingen, ongeacht de nationaliteit of woonplaats van de betrokkene. Een bedrijf in Amsterdam dat alleen gegevens verwerkt van Amerikanen, moet zich toch gewoon aan de AVG houden. Dit misverstand is ook wijdverbreid buiten de EU. Veel Amerikaanse websites sluiten Europese gebruikers af vanwege de AVG. Maar een niet-Europees bedrijf hoeft zich pas aan de AVG te houden als het zich ‘richt’ op mensen in de EU. De AVG is dus vaak niet van toepassing als je als Europeaan iets koopt in een Amerikaanse webshop of een Amerikaanse website bezoekt.

  1. Iedereen moet een privacy officer (FG, DPO) benoemen

Wederom nee. Een functionaris voor de gegevensbescherming (FG, of in het Engels DPO) is maar in enkele gevallen verplicht (bijvoorbeeld voor de overheid en voor bedrijven die als kernactiviteit grootschalig medische gegevens verwerken of het gedrag van mensen in kaart brengen). In alle andere gevallen is het benoemen van een FG vrijwillig. Zo’n FG moet overigens wel verstand van zaken hebben, dus je kan niet zomaar iedereen aanwijzen. En de FG is ook niet verantwoordelijk voor de naleving van de wet; dat is en blijft het management. Maar het is in een grotere organisatie vaak wel zinvol om iemand aan te wijzen die als eerste zijn of haar vinger opsteekt als er persoonsgegevens worden verwerkt en iets meer verstand heeft van de AVG dan de rest.

  1. Je moet persoonsgegevens verwijderen als iemand daar om vraagt

Nee. Sterker nog, als je 100% compliant bent met de AVG, dan zou zo’n verzoek om ‘vergeten te worden’ meestal moeten falen. De belangrijkste reden om zo’n verzoek wel te honoreren, is als je de gegevens niet (meer) nodig hebt. Lees: je hebt te veel gegevens verzameld of de bewaartermijn is verstreken en je hebt de gegevens niet zelf al verwijderd. De betrokkene kan dan eisen dat je de gegevens alsnog verwijdert. Maar je hoeft dus geen gevolg te geven aan zo’n verzoek als je de gegevens nog steeds nodig hebt (bijv. als bewijs of omdat je de overeenkomst met de betrokkene anders niet kan nakomen) of als je de gegevens nog een tijdje moet bewaren van de wet (bijv. in je administratie ten behoeve van de belastingdienst). Probleem is natuurlijk dat veel organisaties nog op stapels persoonsgegevens zitten die ze allang hadden moeten weggooien en dus zullen we in de komende tijd nog veel terechte verwijderingsverzoeken zien.

  1. Je moet een datalek binnen 72 uur na ontdekking melden bij de AP

Ja en nee. Je moet een beveiligingsincident zo spoedig mogelijk, en als het even kan binnen 72 uur, nadat je hebt vastgesteld dat dat incident kwalificeert als een datalek in de zin van de definitie is de wet, melden bij de AP. De wet kwalificeert een datalek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Je mag best even de tijd nemen (niet lang) om vast te stellen of het incident ook dergelijke gevolgen heeft gehad. Anders dan in de oude wet is het onder de AVG niet van belang of je redelijkerwijs een datalek niet kan uitsluiten. De wet is soepeler op dit punt. Kom je na een (voorlopig) onderzoek niet “redelijkerwijs tot de overtuiging” dat er sprake is van een datalek, dan is het incident dus geen datalek in de zin van de AVG.

Overigens hoef je niet elk datalek te melden bij de AP. Alleen de datalekken die een risico opleveren voor de betrokkene(n) of zijn/haar omgeving worden gemeld. Zogeheten ‘bagatelzaken’ hoef je dus niet te melden, alleen intern te registreren. En als het risico waarschijnlijk hoog is, dan moet het ook worden gemeld aan de betrokkene. Maar bij dat laatste geldt: luister eerst naar je crisiscommunicatiespecialisten en dan pas naar je juristen. Het laatste wat je moet doen is de indruk wekken dat je een datalek onder de pet hebt willen houden. Mocht je langer dan 72 uur nodig hebben om vast te stellen dat er sprake is van meer dan een verwaarloosbaar risico voor de betrokken personen, dan is er geen man overboord. Je moet wel kunnen uitleggen aan de AP waarom het niet binnen 72 uur gelukt is.

Een andere veelgemaakte fout is dat mensen denken dat de tijd die een verwerker nodig heeft om een datalek bij jou als verantwoordelijke te melden, af gaat van jouw 72 uur om een datalek bij de AP te melden. Ook dat is niet waar. Een verwerker moet een datalek “onverwijld” melden bij de verantwoordelijke. Die mag dan een (voorlopig) onderzoek doen of er inderdaad sprake is van een datalek. Pas als het antwoord op die vraag bevestigend is, begint de 72 uur pas te lopen. Maar niet te lang wachten met je onderzoek, anders loop je het risico alsnog een boete te krijgen. Niet voor het te laat melden (art. 33/34 AVG), naar voor het niet op orde hebben van “passende beveiliging” (art. 32) waartoe ook het gezwind onderzoeken van beveiligingsincidenten behoort.

  1. Je kan als bestuurder/directeur persoonlijk een boete krijgen.

Ja, in theorie wel. Maar dat staat niet in de AVG of de UAVG, maar volgt uit 100 jaar oude jurisprudentie van de Hoge Raad over het vervolgen van “feitelijk leidinggevenden” voor overtredingen van de wet. Als een directeur dus opdracht geeft om de AVG te overtreden dan zou hij/zij in theorie als ‘medepleger’ kunnen worden beschouwd en zelf ook een boete kunnen krijgen. Zo’n boete is echter hoogst onwaarschijnlijk. Maar het blijft een goed argument om tegenstribbelende of inactieve bestuurders tot de juiste actie te bewegen.

©Jeroen Terstegge, Privacy Management Partners

Terug naar inspiratie

Contact