AVG: Algemene Verordening Gegevensbescherming

Onderwerp: Administratie

Vraag:

Eind mei wordt de AVG van kracht. 
Wat is het advies van het LOB aan begraafplaatsen ten aanzien van het registreren van persoonsgegevens in lijn met deze nieuwe wet?

Antwoord:

In het decembernummer van het vakblad ‘De Begraafplaats’ is in de rubriek LOB – nieuwspagina’s bijgevoegde tekst opgenomen. In mijn beleving is deze tekst voor begraafplaatsbeheerders een goede aanvulling op uw bijgevoegde tekst.

“Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze vernieuwde wetgeving zorgt voor harmonisatie van de privacywetgeving op Europees niveau en verbetering van de privacy van burgers. De oude wet stamt uit 1995. Toen stond internet nog in de kinderschoenen. Enkele LOB-leden vroegen aan het bedrijfsbureau wat deze wetgeving voor hen zal inhouden. Algemener gesteld: wat zijn de gevolgen voor het beheren van de grafadministratie voor begraafplaatsbeheerders. 

Allereerst is er ten aanzien van de gevolgen een groot onderscheid te maken tussen gemeentelijke begraafplaatsen en bijzondere begraafplaatsen. Hoogstwaarschijnlijk zijn gemeentelijke organisaties allang bezig met het invoeren van de nieuwe regelgeving. De Vereniging van Nederlandse Gemeenten heeft haar leden in juli 2016 al op attent gemaakt (zie www.vng.nl en zoek op: AVG). Gemeenten hebben hoogstwaarschijnlijk inmiddels een Functionaris Gegevensbescherming aangesteld, die binnen iedere gemeente de te nemen acties coördineert. De vier hoofdgebieden van de AVG-wet zijn:

juridisch: procedures moeten juridisch vastgelegd worden
ICT: software- en virusscanners moeten up-to-date zijn en evenzo de backups
eigen organisatie: de mensen die met privacygevoelige gegevens werken moeten op de hoogte zijn van de regelgeving
opleiding: deze medewerkers moeten geïnformeerd c.q. opgeleid worden omtrent de wetgeving

Nogmaals, deze uit te voeren handelingen zijn vooral gericht op gemeenten. Het voert veel te ver om de volledige wet- en regelgeving in dit artikel aan de orde te stellen. Het advies voor ambtenaren is dan ook, als zij vanuit hun eigen organisatie hier al niet mee bezig zijn, na te vragen welke zaken er geregeld moeten worden voor de administratie op begraafplaatsen.

De regelgeving richt zich op de uitwisseling van persoonsgegevens. Kerkelijke en andere bijzondere begraafplaatshouders wisselen standaard geen gegevens uit met andere instellingen. In dit geval zijn de gevolgen van de AVG klein. Echter, als er bijvoorbeeld bij kerken op de PC een koppeling is met het ledenbestand van de kerk en de administratie van de begraafplaats, dan is het verstandig om toch even verder te kijken. De Autoriteit Persoonsgegevens (AP) heeft op hun site een goed leesbaar tienstappenplan staan, waarin kort wordt gemeld waar, in welke situatie rekening mee moet worden gehouden (zie www.autoriteitpersoonsgegevens.nl en zoek op: 10 stappen AVG). Voor begraafplaatsbeheerders die met een klein administratieprogramma via de computer – of zelfs dat niet- werken, is het vooral een kwestie van gezond verstand.”

Aandachtspunten zijn:
• zorg dat software op de computer en virusscanners altijd up-to-date zijn
• maak zeer regelmatig een back-up van de gegevens en bewaar deze op een ander adres
• een rechthebbende / belanghebbende heeft het recht de gegevens in te zien en foute gegevens te laten corrigeren
• de administratie in een schrift of in een kaartenbak? Zorg dan dat deze gegevens achter slot en grendel zitten, zodat niet zomaar iedereen deze gegeven in kan zien.



Aanvullende informatie van derden

De nieuwe wet AVG komt er aan

Wacht niet tot de wet van kracht wordt, maar bereidt je nu al voor!

Op 25 mei 2018 wordt de wet AVG van kracht. Dit is de nieuwe Europese wet voor databescherming. Iedere onderneming, ongeacht de omvang, die beschikt over persoonsgegevens moet aan deze wet voldoen. Het is belangrijk dat je je nu al voorbereidt, want er zit wel wat werk aan vast. Dan vraag je je waarschijnlijk af ‘Wat moet ik dan doen?’. SecJuur legt het je stap voor stap uit.

AVG en GDPR is hetzelfde
Allereerst ter verduidelijking: AVG staat voor Algemene Verordening Gegevensbescherming. Dit is de Nederlandse vertaling van de General Data Protection Regulation (GDPR). De termen worden in de media door elkaar gebruikt, maar ze betekenen dus hetzelfde. In dit artikel gebruiken we de term AVG.

Wat houdt de AVG in?
AVG is een privacywet. De wet schrijft bedrijven, overheidsinstanties en non-profitorganisaties maatregelen voor over het veilig verzamelen, opslaan en verwerken van persoonlijke gegevens. Deze wet vervangt de huidige Wet Bescherming Persoonsgegevens (Wpb). De AVG geldt voor álle organisaties van álle groottes en in álle branches in de EU. Verwerkt jouw organisatie persoonsgegevens van mensen in Nederland of in de EU? Dan heb je vanaf 25 mei 2018 met de AVG te maken!

Waarom is de wet AVG er?
De wet is er ter bescherming van persoonsgegevens van burgers. Alle personen in de EU hebben het recht om te weten óf een bedrijf haar persoonlijke gegevens verzamelt en waarvoor zij die gebruikt. Als burger heb je altijd het recht om je gegevens te wijzigen of te laten verwijderen. Ook om te verzoeken om jouw gegevens niet langer te gebruiken voor marketingdoeleinden, nieuwsbrieven of voor andere toepassingen.

Daarnaast zijn bedrijven verplicht om die persoonsgegevens goed te beveiligen. Datalekken zijn aan de orde van de dag. Daarom moeten bedrijven kunnen bewijzen dat ze er alles aan doen om de persoonsgegevens zo goed mogelijk te beschermen, dat kan door het versleutelen hiervan. Als bedrijf ben je ook verplicht een goede back up te hebben.

Wil je persoonsgegevens gebruiken voor bepaalde doeleinden, dan moet iedere persoon: ‘een specifieke, vrij bepaalde en ondubbelzinnige toestemming geven met kennis van zaken’. Oftewel je mag iemand niet aanschrijven of zijn gegevens gebruiken zonder dat diegene daar nadrukkelijk toestemming voor heeft gegeven.

AVG is geen eenmalige actie
De naleving van de AVG is niet iets wat je nu één keer doet en vervolgens klaar is. Het is een continu proces waarin je de wet altijd moet naleven. Houd je het niet bij, dan kun je een boete verwachten. 

Meest gestelde vragen over de AVG

Voor wie geldt de AVG?
De AVG geldt voor alle bedrijven en organisaties die persoonlijke gegevens verzamelen, beheren en verwerken en die onafhankelijk van hun grootte:

  • gevestigd zijn in de EU
  • gevestigd zijn buiten de EU, maar goederen en/of diensten leveren aan Europese burgers
  • persoonlijke gegevens verzamelen en/of het gedrag monitoren van EU-burgers.

Elk bedrijf dat persoonlijke gegevens verzamelt, beheert en verwerkt, heeft dus te maken met de AVG-wetgeving.

Om welke persoonsgegevens gaat het?
Eigenlijk om alles wat te relateren is aan een persoon. Denk bijvoorbeeld aan: naam, adres, geboortedatum, telefoonnummer, kenteken, foto, video, BSN, IP-adres, bankrekeningnummer, wachtwoord, e-mailadres, geslacht, medisch dossier.

Het begint met achterhalen of jouw organisatie beschikt over persoonsgegevens. Dat is bijna altijd het geval. Vervolgens moet je kijken hoe deze zijn opgeslagen. Persoonsgegevens vind je bijvoorbeeld in klantendatabases, foto’s, e-mailnieuwsbrieven, loyaliteitsprogramma’s, facturatieprogramma’s en feedbackformulieren van klanten. Denk ook aan de eigen personeelsadministratie.

Hoe voldoe ik aan de verantwoordingsplicht van de AVG?
Je hebt onder de AVG een verantwoordingsplicht. Dat betekent dat je moet kunnen aantonen dat je in overeenstemming met de AVG handelt. In de AVG staat een aantal verplichte maatregelen genoemd. Naast de verplichte maatregelen kun je ervoor kiezen om extra maatregelen te nemen.

De verplichte maatregelen die de AVG concreet noemt zijn:

    • het bijhouden van een register van verwerkingsactiviteiten; 
    • het bijhouden van een register van datalekken die zijn opgetreden;
    • het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking als je voor die verwerking toestemming nodig hebt;
    • In bepaalde gevallen het uitvoeren van een Data Protection Impact Assessment (DPIA), een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen;
    • In bepaalde gevallen ben je verplicht een ‘functionaris voor gegevensbescherming’ (FG) aan te stellen.

Geldt de nieuwe Europese privacywetgeving ook voor kleine MKB-ers en ZZP-ers?
Ja, de AVG geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine MKB-ers en ZZP-ers die gegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers of emailadressen van klanten of personeelsinformatie.

 Wat is de boete als ik de AVG niet naleef?
Bedrijven en organisaties die zich niet aan de AVG houden, kunnen hoge boetes opgelegd krijgen: maximaal 4% van de jaarinkomsten of 20 miljoen euro (het hoogste bedrag van de twee). 

Hoe dan ook: er moet actie ondernomen worden! Hieronder leggen we in 10 stappen de voorbereiding op de komst van de AVG uit.

Stap 1: Betrek medewerkers bij de uitvoering van de AVG
Zorg ervoor dat de relevante mensen in jouw organisatie op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op jouw huidige processen en diensten en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel tijd en energie kan vragen naast de bestaande werkzaamheden. Begin er daarom op tijd mee!

Stap 2: Zorg dat betrokkenen kunnen doen waar ze recht op hebben
Door de AVG krijgen mensen van wie jij persoonsgegevens verwerkt meer en verbeterde privacy rechten. Zorg er daarom voor dat zij hun privacy rechten makkelijk kunnen uitoefenen.

Denk bijvoorbeeld aan het recht op inzage, het recht op correctie en het recht op verwijdering van gegevens. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Dataportabiliteit geeft mensen het recht hun gegevens makkelijk te kunnen opvragen en deze vervolgens door te kunnen geven aan een andere organisatie als ze dat willen.

Stap 3: Breng de persoonsgegevens van het bedrijf in kaart
Documenteer welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.

Je hebt onder de AVG een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat jouw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van deze plicht.

Stap 4: Voer een Data Protection Impact Assessment uit bij verhoogd risico
Onder de AVG kun je verplicht zijn een zogeheten Data Protection Impact Assessment (DPIA) uit te voeren. Hiermee breng je vooraf de privacy risico’s van een gegevensverwerking in kaart. Vervolgens moet je stappen nemen om de risico’s te verkleinen.

Een DPIA moet uitgevoerd worden als de gegevensverwerking waarschijnlijk een verhoogd privacy risico met zich meebrengt. Je kunt nu alvast inschatten of je straks DPIA’s moet uitvoeren en hoe je dit dan gaat aanpakken.

Stap 5: Maak je organisatie vertrouwd met Privacy by design & Privacy by default
In de AVG staan een aantal verplichte uitgangspunten, zoals de ‘privacy by design’ en ‘privacy by default’.

Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet méér gegevens verzamelt dan noodzakelijk en dat die gegevens niet langer worden bewaard dan nodig is.

Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Bijvoorbeeld door een app niet de locatie van gebruikers te laten registeren als dat niet nodig is of door op jouw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken.

Maak de organisatie vertrouwd met deze uitgangspunten en ga nu alvast na hoe je die binnen de organisatie kunt invoeren.

Stap 6: Bepaal of je een functionaris voor de gegevensbescherming moet aanstellen
Sommige organisaties worden door de AVG verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal nu alvast of dit voor jouw organisatie geldt. Zo ja, wacht dan niet te lang met het werven of aanstellen van een FG. Aan deze verplichting kan een organisatie ook voldoen door een externe FG in te huren.

Stap 7: Toch een aanval of inbreuk op de persoonsgegevens? Meld dit direct!
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de registratie van datalekken binnen de eigen organisatie. Alle datalekken moeten worden gedocumenteerd. Met deze documentatie moet gecontroleerd kunnen worden of er aan de meldplicht is voldaan.

Stap 8: Besteed je verwerking van gegevens uit?
Een verwerker is een persoon of organisatie aan wie je gegevensverwerking hebt uitbesteed. Bijvoorbeeld een administratiekantoor. Een verwerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens, maar heeft wel een aantal afgeleide verplichtingen. Zoals beveiliging en geheimhouding van de gegevens. Heb je gegevensverwerking uitbesteed? Dan zal je een verwerkingsovereenkomst met deze verwerker moeten hebben. Dit kan eventueel een uitbreiding-aanpassing zijn op een reeds bestaande overeenkomst.

Stap 9: Leidende toezichthouder
Heeft jouw organisatie vestigingen in meerdere EU-lidstaten? Of heeft de verwerking van jouw data impact in meerdere lidstaten? Dan hoef je onder de AVG nog maar met één privacy toezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor jouw organisatie, bepaal dan onder welke privacy toezichthouder jij valt.

Stap 10: Zorg voor toestemming van betrokken personen
Voor het verwerken van sommige gegevens is toestemming nodig van de betrokkenen. De AVG stelt strenge eisen aan deze toestemming. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. Pas deze procedure aan als dat nodig is.

Nieuw is dat je moet kunnen aantonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. Tevens dat het voor hen net zo makkelijk moet zijn om hun toestemming weer in te trekken.

Wim van Midwoud
20 februari 2018