Vraagje: voldoet u al aan de AVG? • TTM.nl Ga naar hoofdinhoud

Vraagje: voldoet u al aan de AVG?

Als u deze woorden leest en u denkt bij AVG allereerst aan virussoftware, dan heeft u mogelijk een probleem. Elk bedrijf in Nederland en in heel Europa moet met ingang van 25 mei a.s. voldoen aan nieuwe privacywetgeving. Vallenduuk Advocaten belegde een workshop over de AVG en vertelde dat er ook voor de transportsector een enorme klus ligt.

Het is momenteel een hot item: de Algemene Verordening Persoonsgegevens (AVG). Per 25 mei a.s., dat is dus al heel snel, geldt binnen de hele Europese Unie dezelfde privacyregelgeving. Het gaat bij de wetgeving om de bescherming van persoonsgegevens. “Met persoon wordt bedoeld een natuurlijke persoon, iemand die identificeerbaar is. Maar bedrijfsgegevens vallen ook onder persoonsgegevens, als ze met een natuurlijke persoon vereenzelvigd kunnen worden – een planner of een directeur bijvoorbeeld”, vertelt Annick Dijkman van Vallenduuk Advocaten. De persoon is degene wiens gegevens beschermd worden. Deze ‘betrokkene’, zoals hij in de verordening wordt genoemd, heeft zelf veel rechten rondom zijn persoonsgegevens. Hij kan inzage eisen, gegevens laten wijzigen of zelfs terugtrekken en laten verwijderen. Degene die de gegevens beheert, opslaat en opvraagt is de verwerkingsverantwoordelijke, laten we zeggen een werkgever of andersoortige onderneming. Verwerkingsverantwoordelijken zetten regelmatig personen of organisaties in die voor hen gegevens verwerken. In het geval waarin de verwerking van persoonsgegevens de primaire opdracht van deze personen of organisaties is, en zij niet rechtstreeks aan het gezag van de verwerkingsverantwoordelijke onderworpen zijn, zijn ze verwerker. Denk bijvoorbeeld aan een  externe salarisadministrateur.

Registerplicht
Over de hantering en verwerking van persoonsgegevens is al veel geschreven, maar misschien is het goed toch nog even te kijken naar de plichten die de verwerkingsverantwoordelijke, de onderneming dus, heeft. “Op grond van de verordening is er de plicht om de gegevens in overeenstemming met de beginselen voor de verwerking van persoonsgegevens te verwerken”, zegt Amy de Vlieger van Vallenduuk. “Maar de verordening geeft niet aan hoe dat exact gedaan moet worden. Ook moeten er passende en effectieve maatregelen worden genomen, en daar zijn wel voorbeelden van te noemen. Het bijhouden van een register is er één, maar ook het aanstellen van een functionaris, het uitvoeren van gegevensbeschermingseffectbeoordeling en een raadpleging van de Autoriteit Persoonsgegevens (AP), de handhavende instantie. ” Verder moet er rekening worden gehouden met het principe van privacy door ontwerp en standaardinstellingen (bijvoorbeeld in email en op websites), moeten er passende beveiligingsmaatregelen worden genomen en dient een datalek in beginsel direct te worden gemeld bij AP. “Tevens dienen er, vanzelfsprekend zou je zeggen, afspraken te worden gemaakt met de verwerkers”, aldus De Vlieger. Hoe kun je nu bewijzen dat je daar allemaal aan voldoet? Dat kan door de aantoonplicht, het laten zien dat je wilt en kunt voldoen aan de AVG. “Dat gebeurt onder meer met het register. Daarin vermeld je onder andere de naam en contactgegevens van de verwerkingsverantwoordelijke, de verwerkingsdoeleinden, categorieën van betrokkenen en de categorieën persoonsgegevens. Ook de categorieën van ontvangers moeten worden vermeld, net als eventuele doorgiften van persoonsgegevens aan een derde land of internationale organisatie. Indien mogelijk kan in het register ook de beoogde termijn worden weergegeven waarbinnen gegevens kunnen worden gewist. En ook een beschrijving van de genomen beveiligingsmaatregelen kun je in het register laten opnemen”, aldus Annick Dijkman. In principe moet een register worden bijgehouden door alle bedrijven met meer dan 250 werknemers. Er zijn echter tal van uitzonderingen, waaronder het verwerken van gegevens die ‘niet incidenteel zijn’. “Dat zijn er nogal wat, denk aan de gegevens van nieuwe klanten of een nieuw personeelslid”, aldus De Vlieger. “In de praktijk betekent dit dat de registerplicht voor vrijwel elke onderneming geldt.”

Tachograaf
Best ingewikkeld dus, en dan hebben we het nog niet eens gehad over eisen die op transportbedrijven van toepassing zijn. “Er moet een intern privacy statement worden opgesteld, en daarnaast dienen arbeidsovereenkomsten en ook het personeelshandboek te worden aangepast en uitgebreid. Met verwerkers dient een verwerkersovereenkomst te worden opgesteld”, schetst Dijkman. Maar in een transportbedrijf gaan tal van privacygevoelige gegevens rond die naar een persoon kunnen worden herleid, denk maar aan de rij- en rusttijden en andere gegevens uit de tachograaf, maar ook die van een boordcomputer. “Dat komt er allemaal bij kijken, dat klopt. Personeel kan zelfs vragen gegevens te verwijderen. Dat is geregeld in de verordening, het zogeheten ‘recht om vergeten te worden’. Zorg dat je daar goed mee omgaat en er op voorbereid bent”, zegt Dijkman. Buiten het bedrijf zullen overeenkomsten met klanten en onderaannemers tegen het licht moeten worden gehouden. “Denk aan de uitbreiding van de vervoersovereenkomst met vaste charters, een uitbreiding van de algemene voorwaarden, een bedrijfsspecifieke opdrachtbevestiging voor losse charters en een online privacy statement”, aldus De Vlieger. “Heb je buitenlandse vestigingen, dan moeten ook die aan de AVG (of in het Engels, de GRDP) voldoen.”

Buitenlandse vestiging?
De AVG is Europese regelgeving. In Nederland is zoals gezegd de Autoriteit Persoonsgegevens toezichthouder en handhaver, maar ook een buitenlandse handhaver kan inzicht vragen. Hoe gaat die handhaving precies in zijn werk? “De handhaving start direct per 25 mei. De AP kan dan langskomen, maar ze zullen dat wel aankondigen. Er zal een aanleiding voor moeten zijn. Iemand kan bijvoorbeeld bij de AP hebben aangegeven dat een bedrijf niet goed met zijn of haar gegevens omgaat. De AP kan inlichtingen opvragen, boetes onder dwangsom opleggen, maar ook waarschuwingen geven en/of verwerkingen stopzetten”, zegt Dijkman. Als het AP komt is medewerking verlenen verplicht.

Boetes bij het niet voldoen aan de AVG zijn niet misselijk. Ze kunnen oplopen tot een maximum van 10 miljoen euro of 2 procent van de wereldwijde omzet bij een overtreding van de plichten van de onderneming (bijvoorbeeld een datalek) tot een maximum van 20 miljoen euro of vier procent van de omzet als het gaat om overtredingen van bepalingen over rechtsgrondslagen, rechten van betrokkenen e.d.

Conclusie: de (toepassing van) AVG is een complex geheel. De Vlieger en Dijkman: “Het is zeker dat niet alle bedrijven op 25 mei hun zaakjes voor elkaar hebben. De AP zal ook wellicht enige coulance betrachten bij het begin van de handhaving. Reken daar echter niet op en zorg dat je aan de AVG voldoet. Een goede tip is de toepassing van software. Met ICT zijn heel veel data te beschermen en is ook te controleren hoe lang data in het bedrijf blijven.”

Vallenduuk Advocaten biedt nog steeds een Privacy-pakket om zo goed mogelijk voorbereid te zijn op de AVG. Meer info via info@vallenduuk.nl

Zorg dat u niets mist. Neem nu een jaarabonnement op TTM.nl met 25% korting. Abonneer