Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (Engels: GDPR) van kracht. Er leefden veel spookverhalen over die AVG. Een aantal van die verhalen is hardnekkig. Gelukkig komt er op sommige punten duidelijkheid over wat we nu kunnen verwachten.
“Ik moet mijn ontvangen visitekaartjes op een rommelig stapeltje bewaren”
Onzin. Dit misverstand is gebaseerd op de bepaling dat een geordend dossier wel onder de wet valt, maar niet-gestructureerde fysieke documenten niet. Vaak wordt dit gecombineerd met de gedachte dat individuele stapeltjes visitekaartjes op bureaus van verschillende medewerkers een soort ‘privé’ gebruik zijn.
Een visitekaartje is gemaakt met de bedoeling om te delen en zal, bizarre jurisprudentie in de toekomst voorbehouden, op basis van de grondslag ‘gerechtvaardigd belang’ gewoon gebruikt en vastgelegd mogen worden. Het beste is, wanneer je een keer contact opneemt (niet via een massale mailing – daar gelden aanvullende regels voor), om bij het eerste mailcontact een link naar je privacyverklaring te plaatsen. Een link naar de privacyverklaring (zie bijvoorbeeld de privacyverklaring van CertificeringsAdvies Nederland) in je e-mail handtekening is sowieso een goed idee.
Wil je meer weten over de AVG? [Download]
Download onze veelgestelde vragen gids over de AVG. Daarin hebben we allerlei veel gestelde vragen overzichtelijk voor je gebundeld.
“De overheid heeft haar zaakjes zelf (ook) niet op orde, dus…”
Onzin, want a) het scheert alle overheidsentiteiten over één kam, b) gaat er aan voorbij dat deze organisaties zo goed als allemaal een Functionaris Gegevensbescherming hebben aangesteld en c) zelfs als het waar is heeft u daar niets aan: de Autoriteit Persoonsgegevens kan prima handhaven waar het noodzakelijk is (getuige recente dwangsommen en aanpassingen aan werkwijzen van o.a. Facebook en Microsoft). Wel is het zo dat bijvoorbeeld de Belastingdienst niet conform wetgeving werkt bij de verwerking van BSN nummers van zelfstandigen met eenmanszaken. Dat het register datalekken als eerste vol stond met meldingen van gemeenten betekent niet automatisch dat gemeenten zo veel slechter zijn dan private ondernemingen, maar juist dat zij de plicht tot melden eerder serieus volgden. Natuurlijk hebben de aangestelde FG’s nog wel (veel) werk te verzetten.
Na ook de controle van FG’s in de zorg meldde de Autoriteit Persoonsgegevens in juli 2018 een verkennende steekproef bij 30 grote organisaties uit de sectoren industrie en metaal, waterleidingbedrijf, bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg uit te voeren. Dit zal in de toekomst worden opgeschaald en steeds worden gecombineerd met de opvolging van de honderden klachten die maandelijks bij de AP binnenkomen. De komende tijd zal steeds duidelijker worden wat de uitkomsten en handhaving zullen zijn.
“Steeds duidelijker, maar veel is nog onduidelijk, zoals bijvoorbeeld het begrip ‘grootschalig’”
Klopt. Het is de taak van de overheid en Autoriteit Persoonsgegevens om met meer duidelijkheid en ondersteuning te komen. De Autoriteit Persoonsgegevens heeft recent het begrip grootschaligheid in de zorg toegelicht als:
“Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:
- die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
- én de gegevens van deze patiënten in één informatiesysteem staan.
De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is altijd grootschalig.” – Bron: Autoriteit Persoonsgegevens
Ook andere ontwikkelingen, zoals het Digital Trust Center, zullen meer duidelijkheid bieden. CertificeringsAdvies Nederland ondersteunt dit soort initiatieven.
“Ik heb met al mijn leveranciers en dienstverleners aan wie ik persoonsgegevens verstrek verwerkersovereenkomsten nodig”
Onzin, en een beeld dat gelukkig steeds genuanceerder wordt. Alleen wanneer de leverancier als primaire taak de verwerking (let op: opslag is ook verwerking) van persoonsgegevens heeft is de verwerkersovereenkomst nodig – meest voorkomende voorbeeld zijn een ICT-hostingbedrijf of een salarisverwerker. Als de primaire taak van de leverancier niet het verwerken van persoonsgegevens is, dan is de leverancier ook Verantwoordelijke. Het is wel altijd de moeite waard om bij uw leveranciers te controleren of ze hun verantwoordelijkheid ook (kunnen) nemen. Dat geldt ook wanneer er andere gegevens worden uitgewisseld. Een inventarisatie van de informatie die uw organisatie heeft en deelt en de risico’s en beschermingsmaatregelen die daar bij horen is verplicht vanuit de wet maar ook onmisbaar buiten de wet – denk aan uw eigen wachtwoorden, financiële gegevens of intellectueel eigendom.
“Er is nog geen erkend AVG-keurmerk”
Klopt! Als u zaken doet met een organisatie die claimt u een keurmerk te geven, dan is dat goed verzonnen, maar heeft het geen waarde. Een garantie als “AVG-proof” moet u dus altijd kritisch onderzoeken. Wel zal er in de toekomst AVG-certificering mogelijk zijn. De Raad voor Accreditatie (RvA) kan hiervoor certificatie-instellingen goedkeuren. Een AVG certificaat zal dan naar verwachting sterke overeenkomsten hebben met een ISO 27001 of NEN 7510 certificaat, of daaraan gekoppeld zijn.
Vragen? Neem gerust contact op!
Heb je vragen over de AVG, ISO 27001, NEN 7510 of meer algemeen over privacy, gegevensbescherming of informatiebeveiliging? Neem dan gerust contact met ons op. Onze adviseurs staan je graag te woord.
