VOORBEELDEN

AVG – de nieuwe privacywetgeving in 2018:
wat verandert er en wat moet je doen?

Stefan van den Tol

Door Stefan van den Tol
1 februari 2018

O

p 25 mei 2018 is het zover. Dan is de General Data Protection Regulation (GDPR) van toepassing, ofwel, de Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe Europese privacyregels zijn breder en strenger dan de huidige richtlijn die stamt uit 1995. Hoe ga je als bedrijf om met persoonsgegevens na 25 mei? We spraken hierover met Arnoud Engelfriet, ICT-jurist en partner bij adviesbureau ICTRecht.

1. Arnoud, in mei 2018 gaat er best wat veranderen in de wetgeving. Waarom komt er een nieuwe verordering?

De huidige wetgeving (de Wet bescherming persoonsgegevens) dateert uit 1995 en hield onvoldoende rekening met internet en de grote vlucht van mobiele apparaten, connected devices, de cloud en ga zo maar door. Een wet die primair geschreven was voor papieren kaartenbakken, dat kan natuurlijk niet in 2018. Daarnaast bleek dat diverse Europese landen andere interpretaties van hun wet hadden. Met een verordening komt er nu één wet in plaats van een Nederlandse, een Duitse, een Engelse, enzovoorts.

2. Kun je in het kort vertellen wat er gaat veranderen?

De AVG trekt met name de touwtjes strak aan. Het begrip persoonsgegeven wordt veel breder uitgelegd, zodra je gegevens over iemand hebt gekoppeld aan een uniek nummer heb je al een persoonsgegeven, ongeacht of je zijn naam, adres en dergelijke weet. Veel nadruk komt er op compliance en bewijsvoering. Toestemming krijgen is lastiger, je moet meer uitleggen en specifieker vragen. Plus, mensen kunnen toestemming te allen tijde intrekken. Je moet al je gebruik van persoonsgegevens documenteren in een intern verwerkingsregister, je moet kunnen bewijzen dat je toestemming hebt gekregen en je moet alle datalekken documenteren. Met je leveranciers en partners moet je verwerkersovereenkomsten sluiten om specifieke afspraken te maken over wat zij met persoonsgegevens van jouw klanten of personeel mogen doen. En de boetes op niet-nakoming kunnen in theorie enkele miljoenen euro’s per overtreding worden.

Webinar over de nieuwe privacywetgeving (AVG)

Hoe ga je als opleider om met persoonsgegevens na 25 mei? Hierover ging onze Chief Customer Officer in gesprek met Arnoud Engelfriet. Arnoud is partner bij ICTRecht en is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt.

Webinar over de nieuwe privacywetgeving (AVG)

Wil je de opname ontvangen? Vul hieronder je gegevens in.



3. We zijn momenteel al veel in gesprek met onze klanten over deze veranderingen. Kun je uitleggen wat deze wetswijziging voor onze klanten betekent? Welke actie moeten zij ondernemen?

Zoals hierboven aangegeven zit de grote wijziging hem vooral in de compliance. Richt een intern register in waarin je voor élke verwerking documenteert wie, wat en hoe. Van je personeelsadministratie tot je social media monitoring tool en dat briefje bij de receptie waar bezoekers naam en kenteken invullen. Waarom is dat er, wat gebeurt er met de gegevens en hoe lang worden ze bewaard?

4. Wie in de organisatie is normaal gesproken verantwoordelijk om deze veranderingen door te voeren?

Dit is een verantwoordelijkheid op het hoogste niveau, omdat het het hele bedrijf aangaat. Ik zie helaas vaak dat dit afgeschoven wordt naar een bedrijfsjurist of een security officer, die alleen cosmetisch wat mag doen zoals de privacyverklaring herzien of een security audit en een procedure meldplicht datalekken. Maar de AVG gaat over álles.

5. Hoe zou een organisatie idealiter te werk moeten gaan om de nieuwe AVG in te regelen? Kan je dat kort beschrijven?

Begin met intern na te gaan welke verwerkingen er allemaal plaatsvinden. Natuurlijk een personeelsadministratie en klantbeheer, maar is er een nieuwsbrief? Zijn er donateurs, oud-collega’s met wie je in contact blijft? Enquetes in de winkel, een klachtensysteem? Ga bij elk van die na wat er gebeurt, wie daar toegang toe heeft en waarom. Snoei in wat er niet strikt nodig is. Herzie daarna je privacyverklaring en publiceer deze opnieuw. Ga bij alle leveranciers na of ze persoonsgegevens van je krijgen en sluit dan een verwerkersovereenkomst met ze. Doe een security audit bij jezelf en implementeer de bevindingen. Maak iemand uit de directie verantwoordelijk voor het uitvoeren van dit alles. Dan heb je de belangrijkste punten gedekt.

6. Jullie werken al jaren nauw samen met ons (aNewSpring). Hoe zorgt aNewSpring dat zij goed voorbereid zijn op deze wijziging?

aNewSpring heeft haar bedrijfsvoering al eerder goed afgestemd op de omgang met persoonsgegevens van haar klanten. Ten behoeve van de AVG zijn wij samen een nieuwe verwerkersovereenkomst aan het opstellen die aNewSpring binnenkort met haar klanten kan sluiten. De contracten zijn ook herzien op eventuele privacy-aspecten. Verder is aNewSpring sinds 2016 ISO 27001 gecertificeerd (lees het interview hierover), wat belangrijk is om te laten zien dat je de beveiliging van persoonsgegevens op orde hebt.

7. Wat gebeurt er als ik niets verander? Wat zijn de consequenties voor het juist of tijdig naleven van de nieuwe verordening?

De AVG wordt van kracht op 25 mei 2018, en vanaf dan staan er dus torenhoge boetes op niet naleven van de regels. En omdat je dus moet documenteren en bewijzen dat je voldoet, wordt het natuurlijk eenvoudig voor de toezichthouder om je aan te spreken en te controleren.

Over Arnoud

Arnoud Engelfriet ICTRecht

Arnoud Engelfriet is ICT-jurist en partner bij adviesbureau ICTRecht. Al sinds 1993 houdt hij zich bezig met het internetrecht, waarbij contractenrecht en privacy zijn bijzondere voorkeur geniet. Hij blogt dagelijks op blog.iusmentis.com en schreef diverse boeken, onder meer het boek Algemene Verordening Gegevensbescherming: artikelsgewijs commentaar.

Auteur

Stefan van den Tol

Stefan van den Tol, Chief Customer Officer
In mijn rol als Chief Customer Officer probeer ik onze klanten, samen met het team van Customer Success Managers en Support Heroes, succesvol te maken.
Doordat het succes van onze klant ook ons succes is, kan ik dagelijks met een glimlach naar huis rijden!