5 keer zin of onzin over de AVG/GDPR

Er leven veel spookverhalen over de AVG. Gelukkig komt er op sommige punten duidelijkheid.

AVG spookverhalen
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (Engels: GDPR) van kracht. Er leefden veel spookverhalen over die AVG. Een aantal van die verhalen is hardnekkig. Gelukkig komt er op sommige punten duidelijkheid over wat we nu kunnen verwachten. 

“Ik moet mijn ontvangen visitekaartjes op een rommelig stapeltje bewaren”

Onzin. Dit misverstand is gebaseerd op de bepaling dat een geordend dossier wel onder de wet valt, maar niet-gestructureerde fysieke documenten niet. Vaak wordt dit gecombineerd met de gedachte dat individuele stapeltjes visitekaartjes op bureaus van verschillende medewerkers een soort ‘privé’ gebruik zijn.

Een visitekaartje is gemaakt met de bedoeling om te delen en zal, bizarre jurisprudentie in de toekomst voorbehouden, op basis van de grondslag ‘gerechtvaardigd belang’ gewoon gebruikt en vastgelegd mogen worden. Het beste is, wanneer je een keer contact opneemt (niet via een massale mailing – daar gelden aanvullende regels voor), om bij het eerste mailcontact een link naar je privacyverklaring te plaatsen. Een link naar de privacyverklaring (zie bijvoorbeeld de privacyverklaring van CertificeringsAdvies Nederland) in je e-mail handtekening is sowieso een goed idee.

“De overheid heeft haar zaakjes zelf (ook) niet op orde, dus…”

Onzin, want a) het scheert alle overheidsentiteiten over één kam, b) gaat er aan voorbij dat deze organisaties zo goed als allemaal een Functionaris Gegevensbescherming hebben aangesteld en c) zelfs als het waar is heeft u daar niets aan: de Autoriteit Persoonsgegevens kan prima handhaven waar het noodzakelijk is (getuige recente dwangsommen en aanpassingen aan werkwijzen van o.a. Facebook en Microsoft). Wel is het zo dat bijvoorbeeld de Belastingdienst niet conform wetgeving werkt bij de verwerking van BSN nummers van zelfstandigen met eenmanszaken. Dat het register datalekken als eerste vol stond met meldingen van gemeenten betekent niet automatisch dat gemeenten zo veel slechter zijn dan private ondernemingen, maar juist dat zij de plicht tot melden eerder serieus volgden. Natuurlijk hebben de aangestelde FG’s nog wel (veel) werk te verzetten.

Na ook de controle van FG’s in de zorg meldde de Autoriteit Persoonsgegevens in juli 2018 een verkennende steekproef bij 30 grote organisaties uit de sectoren industrie en metaal, waterleidingbedrijf, bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg uit te voeren. Dit zal in de toekomst worden opgeschaald en steeds worden gecombineerd met de opvolging van de honderden klachten die maandelijks bij de AP binnenkomen. De komende tijd zal steeds duidelijker worden wat de uitkomsten en handhaving zullen zijn.

“Steeds duidelijker, maar veel is nog onduidelijk, zoals bijvoorbeeld het begrip ‘grootschalig’”

Klopt. Het is de taak van de overheid en Autoriteit Persoonsgegevens om met meer duidelijkheid en ondersteuning te komen. De Autoriteit Persoonsgegevens heeft recent het begrip grootschaligheid in de zorg toegelicht als:

“Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:

  • die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
  • én de gegevens van deze patiënten in één informatiesysteem staan.

De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.” – Bron: Autoriteit Persoonsgegevens

Ook andere ontwikkelingen, zoals het Digital Trust Center, zullen meer duidelijkheid bieden. CertificeringsAdvies Nederland ondersteunt dit soort initiatieven.

“Ik heb met al mijn leveranciers en dienstverleners aan wie ik persoonsgegevens verstrek verwerkersovereenkomsten nodig”

Onzin, en een beeld dat gelukkig steeds genuanceerder wordt. Alleen wanneer de leverancier als primaire taak de verwerking (let op: opslag is ook verwerking) van persoonsgegevens heeft is de verwerkersovereenkomst nodig – meest voorkomende voorbeeld zijn een ICT-hostingbedrijf of een salarisverwerker. Als de primaire taak van de leverancier niet het verwerken van persoonsgegevens is, dan is de leverancier ook Verantwoordelijke. Het is wel altijd de moeite waard om bij uw leveranciers te controleren of ze hun verantwoordelijkheid ook (kunnen) nemen. Dat geldt ook wanneer er andere gegevens worden uitgewisseld. Een inventarisatie van de informatie die uw organisatie heeft en deelt en de risico’s en beschermingsmaatregelen die daar bij horen is verplicht vanuit de wet maar ook onmisbaar buiten de wet – denk aan uw eigen wachtwoorden, financiële gegevens of intellectueel eigendom.

“Er is nog geen erkend AVG-keurmerk”

Klopt! Als u zaken doet met een organisatie die claimt u een keurmerk te geven, dan is dat goed verzonnen, maar heeft het geen waarde. Een garantie als “AVG-proof” moet u dus altijd kritisch onderzoeken. Wel zal er in de toekomst AVG-certificering mogelijk zijn. De Raad voor Accreditatie (RvA) kan hiervoor certificatie-instellingen goedkeuren. Een AVG certificaat zal dan naar verwachting sterke overeenkomsten hebben met een ISO 27001 of NEN 7510 certificaat, of daaraan gekoppeld zijn.

New call-to-action

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Handig AVG stappenplan!

Aan de slag met de AVG-wetgeving?

  • Leer alles over de AVG-wetgeving
  • Handig stappenplan

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields