Dossier GDPR/AVG

Dossier GDPR/AVG

Dossier GDPR/AVG
Informatie over de in mei 2018 ingegane Europese privacywet GDPR/AVG.
Dossier GDPR/AVG
Chris van Dam
Chris van Dam
30 nov 2017

In mei 2018 is de nieuwe Europese privacywet GDPR/AVG ingegaan. De rechten en plichten rondom bescherming van persoonsgegevens zijn flink uitgebreid en iedere organisatie heeft met de nieuwe regels te maken gekregen. Het is complexe materie, zelfs voor mensen die bekend zijn met het onderwerp. In dit blog geven we een beknopt overzicht van de wijzigingen en waarmee je rekening dient te houden.

De informatie in deze blog is geschreven om onze klanten te informeren over de in mei 2018 ingegane Europese privacywet GDPR/AVG. Heb je specifieke vragen, maar ben je geen klant van Logic4, dan adviseren wij je om de officiële website van de Autoriteit Persoonsgegevens te bezoeken en contact op te nemen met je eigen softwareleverancier.

GDPR in het kort

GDPR staat voor General Data Protection Regulation, in het Nederlands Algemene Verordening Gegevensbescherming (AVG). Dit is een wet die erop gericht is om de privacyrechten van personen te versterken en uit te breiden, om organisaties die persoonsgegevens verwerken meer verantwoordelijkheid te geven, en om dezelfde wetgeving te hanteren binnen alle Europese lidstaten.

Wat zijn persoonsgegevens?

Hieronder valt alle informatie die gerelateerd is aan een (geïdentificeerd of identificeerbaar) natuurlijk persoon, maar ook informatie over een rechtspersoon die direct te herleiden is naar een natuurlijk persoon. Bedrijfsgegevens zijn geen persoonsgegevens, tenzij de rechtspersoon hetzelfde is als de natuurlijke persoon, zoals bij een eenmanszaak. Verder hangt het van de context van het gebruik af of het wel of niet gaat om persoonsgegevens. Een IP-adres kan namelijk te herleiden zijn naar een specifiek persoon, tenzij het een adres is dat door veel mensen gebruikt wordt. En een order valt niet onder persoonsgegevens, maar de NAW-gegevens die erop staan wel. Dit is een grijs gebied waarin nu nog geen hard onderscheid te maken valt.

Wanneer mogen persoonsgegevens opgeslagen worden?

Onder de volgende voorwaarden (grondslagen) mogen persoonsgegevens verzameld worden. Geldt geen van deze grondslagen? Dan is opslaan of verwerken van persoonsgegevens niet toegestaan en kan jouw organisatie als verantwoordelijke een flinke boete krijgen.

  1. Als de betrokkene expliciet toestemming heeft gegeven, bijvoorbeeld door in een webformulier aan te vinken dat hij akkoord gaat met het privacystatement.
  2. Als het nodig is om een overeenkomst uit te voeren waar de betrokkene onderdeel van is, zoals een (webshop)order voor levering van producten en/of diensten of ander zakelijk contract. Ook het uitvoeren van taken om een toekomstige overeenkomst te kunnen sluiten vallen hieronder, zoals het uitbrengen van een persoonlijke offerte.
  3. Als er een wettelijke verplichting is, ter uitvoering van overheidstaken. Denk aan het sturen van gegevens aan de belastingdienst om jouw bedrijfsaangifte te doen.
  4. Om vitale belangen van de betrokkene te beschermen. Als de veiligheid in het geding is, gaat dat boven het recht op privacy.
  5. Ter uitvoering van het algemeen belang of openbaar gezag, zoals politietaken.
  6. Bij gerechtvaardigd belang. In sommige gevallen is het opslaan van persoonsgegevens – zonder toestemming of overeenkomst – voor commerciële doeleinden toegestaan, mits je kunt beargumenteren dat het belang voor de betrokkene groter is dan de ‘schade’ aan de privacy.

 

GDPR/AVG driehoek betrokkene, verantwoordelijke en verwerker
Betrokkene

Onder betrokkene wordt de eindgebruiker verstaan. In dit geval is dat uw webshopklant of contactpersoon bij een zakelijke klant.

GDPR/AVG 5 rechten van de betrokkene

1. Recht op informatie

Als een organisatie persoonsgegevens gebruikt, heeft de betrokkene het recht om de naam en het adres van de organisatie te weten, en waarvoor de gegevens worden gebruikt. Als de betrokkene een bestelling plaatst via een webshop, of op een andere manier een formulier invult, moet deze informatie verstrekt worden vóórdat de gegevens daadwerkelijk worden verstuurd of opgeslagen. Bijvoorbeeld via een duidelijke verwijzing naar het privacystatement.

2. Recht op inzage

Als een betrokkene inzage in zijn persoonsgegevens vraagt, dan moet jij hem laten weten of je persoonsgegevens van hem gebruikt, om welke gegevens het gaat, wat het doel is, wat de herkomst van de gegevens is en eventueel aan wie de gegevens zijn verstrekt. Wanneer je als organisatie veel informatie van een betrokkene hebt, mag je hem vragen aan te geven welke gegevens hij precies wil inzien. Ook kun je zelf beslissen hoe je de betrokkene inzage geeft. Dit kan een volledig overzicht zijn, of een kopie/afdruk, maar je kunt de betrokkene ook uitnodigen om ter plekke zijn gegevens te komen inzien. Betrokkenen hebben geen recht op inzage in de persoonsgegevens van iemand anders.

3. Recht op correctie

Betrokkenen mogen een organisatie (verwerkingsverantwoordelijke) vragen om bepaalde persoonsgegevens te verbeteren, aan te vullen of af te schermen. Bijvoorbeeld als de gegevens feitelijk onjuist zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld. Dit onder de voorwaarde dat het technisch mogelijk is en het niet gaat om gegevens die in een openbaar register, zoals het Handelsregister van de KvK, te vinden zijn.

4. Recht op vergetelheid

In het algemeen geldt dat een betrokkene op ieder moment beroep kan doen op zijn recht om vergeten te worden. Bijvoorbeeld als hij niet wil dat zijn persoonsgegevens worden gebruikt voor digitale direct marketing. Post sturen of bellen mag je echter altijd doen zonder dat de betrokkene daarvoor toestemming heeft gegeven. En ook voor bestaande klanten geldt een uitzondering. In sommige gevallen is het recht om vergeten te worden gebonden aan beperkingen, bijvoorbeeld als het verwerken nodig is om te kunnen voldoen aan wettelijke verplichtingen. Ook betekent het recht om vergeten te worden niet per se dat de verantwoordelijke alles compleet moet verwijderen. Om de boekhouding netjes te doen, moeten orders namelijk wel beschikbaar blijven. In dit geval zouden de persoonsgegevens die bij de order horen geanonimiseerd kunnen worden.

5. Recht op dataportabiliteit

Ten opzichte van de Wet bescherming persoonsgegevens (Wbp) is het recht op dataportabiliteit nieuw in de AVG. Betrokkenen hebben het recht om de persoonsgegevens die een organisatie van hen heeft te ontvangen en op te slaan voor persoonlijk gebruik of door te geven aan een andere organisatie. Het gaat hier alleen om digitale gegevens waar de betrokkene toestemming voor heeft gegeven of die zijn verwerkt in het kader van een overeenkomst. Je bent als organisatie niet verantwoordelijk voor wat de betrokkene vervolgens met de persoonsgegevens doet. Ook hoef je persoonsgegevens niet te verwijderen, tenzij de betrokkene daarvoor een verzoek indient.

(Verwerkings)verantwoordelijke

De verwerkingsverantwoordelijke is de eigenaar van de data. In dit geval is dat uw organisatie als u klant bent van Logic4. U bent ervoor verantwoordelijk dat de persoonsgegevens nauwkeurig, correct en legaal zijn, en dat u kunt voldoen aan de rechten van de betrokkene.

Verantwoordingsplicht

De AVG legt een grotere verantwoordelijkheid bij organisaties neer. De verantwoordingsplicht houdt in dat je moet kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de wet te voldoen. Hieronder vallen de volgende zaken:

Register van verwerkingsactiviteiten

Wanneer jouw organisatie regelmatig persoonsgegevens verwerkt (dat doet eigenlijk iedere organisatie), meer dan 250 medewerkers heeft, of bijzondere / hoog risico persoonsgegevens verwerkt, dan ben je verplicht om een intern register bij te houden. Deze moet je op aanvraag van de Autoriteit Persoonsgegevens kunnen laten zien. In het register van verwerkingsactiviteiten moet het volgende staan:

  1. Naam en contactgegevens van jouw organisatie;
  2. Naam en contactgegevens van organisaties met wie je de persoonsgegevens deelt.
  3. Op basis van welke grondslag(en) gegevens verwerkt worden;
  4. Doelen van de verwerking, zoals het leveren van producten of direct marketing.
  5. Categorieën personen van wie je gegevens verwerkt, zoals klanten, potentiële klanten, partners, etc.
  6. Categorieën persoonsgegevens die je verwerkt, zoals NAW gegevens en e-mailadressen;
  7. Eventuele bijzondere persoonsgegevens, zoals informatie over gezondheid, geloof en seksuele voorkeur;
  8. Algemene beschrijving van technische en organisatorische maatregelen ter beveiliging van de persoonsgegevens.

Aantonen toestemming

Wanneer je persoonsgegevens verwerkt op basis van de grondslag ‘toestemming van de betrokkene’, dan moet je kunnen aantonen dat je die toestemming daadwerkelijk heeft. Daarnaast moet je vastleggen welke informatie je de betrokkene hebt gegeven voordat hij toestemming gaf en op welke manier je de toestemming verkrijgt en registreert.

Meldplicht datalekken

Zodra organisaties een datalek hebben, moeten zij direct een melding doen bij de Autoriteit Persoonsgegevens. In een aantal gevallen moeten ook de betrokkenen op de hoogte gesteld worden. Dit was al zo onder de Wbp en blijft grotendeels hetzelfde onder de AVG. Het was zo dat alleen datalekken gemeld moesten worden die een aanzienlijke kans hebben op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.

DPIA en FG

Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of bijzondere persoonsgegevens van individuen verwerken, zijn verplicht om vóórdat de nieuwe wet ingaat een Data Protection Impact Assessment (DPIA) uit te voeren en een Functionaris Gegevensbescherming (FG) aan te stellen. Dit geldt met name voor overheden en publieke organisaties, niet direct voor handelsorganisaties. Daarom zullen we hier nu niet verder op ingaan, maar op de website van de Autoriteit Persoonsgegevens kun je meer lezen over DPIA en FG.

Gegevensbeschermingsbeleid

Sommige organisaties zijn verplicht om een gegevensbeschermingsbeleid op te stellen, ook wel privacybeleid genoemd. Dit is wat anders dan een privacyverklaring! Of jouw organisatie verplicht is om een gegevensbeschermingsbeleid te hebben, hangt af van de aard, omvang, context en het doel van de gegevensverwerking. Helaas vertelt de AVG niet specifieker wanneer deze eis wel en niet geldt.

Waaraan moet jouw webshop voldoen?

Er moet een privacyverklaring op de webshop staan, die gemakkelijk te vinden is voor bezoekers. Hier moet onder andere in staan met welk doel je persoonsgegevens opslaat en dat bezoekers het recht hebben op inzage, aanpassing en vergetelheid. De privacyverklaring hoeft niet expliciet geaccepteerd te worden door bezoekers van de webshop. Aan welke eisen deze precies moet voldoen, vind je in dit artikel van Frankwatching.

Formulieren moeten een duidelijke kop hebben die uitlegt wat het doel van het formulier is. ‘Contact opnemen’ of ‘Bestelling plaatsen’ zijn hier voorbeelden van. De kop zegt in deze gevallen al genoeg over waarom er persoonsgegevens gevraagd worden. Er hoeft dan geen extra uitleg of toestemmingsvinkje bij het formulier te komen. Wel moet er altijd een duidelijke link naar het privacystatement bij het formulier staan.

Gebruik je op je webshop formulieren voor meerdere doelen? Bijvoorbeeld zowel om een bestelling te kunnen verwerken, als het sturen van commerciële aanbiedingen? Dan moet je hiervoor in het bestelformulier wél een extra vakje toevoegen dat vraagt om toestemming om marketing e-mails te mogen sturen. Dit vakje mag niet standaard aangevinkt zijn.

Persoonsgegevens die je verzamelt moeten een zo kort mogelijke bewaartermijn hebben. Hiervoor zijn (nog) geen harde regels geschreven. Ook hierbij hangt het af vanuit welke grondslag je de gegevens hebt geregistreerd. Gaat het om het uitvoeren van een overeenkomst, met bijbehorende factuur en garantie, dan moet je de gegevens 7 jaar bewaren voor de Belastingdienst. Geven bezoekers toestemming om de nieuwsbrief te ontvangen? Dan zit er vanzelfsprekend geen einddatum aan. Wel moeten mensen zich makkelijk kunnen uitschrijven.

Gebruikt jouw webshop niet-functionele cookies, bijvoorbeeld voor remarketing? Dan moet je daarvoor een cookiemelding tonen en in een cookieverklaring uitleggen waarvoor de cookies gebruikt worden. Een voorbeeld vind je op de website van ICTRecht.

De technische beveiliging van jouw webshop moet goed zijn. De regels onder Privacy by design gaan hierover. Een essentieel onderdeel hiervan is een SSL certificaat. Hiermee worden alle gegevens versleuteld verstuurd. Het is al jaren zo dat zoekmachines en browsers de voorkeur geven aan webshops die met HTTPS beveiligd zijn ten opzichte van het onveilige HTTP. Draait jouw webshop nog zonder SSL certificaat? Dan is het nu de hoogste tijd om dit te regelen.

Verwerker

De persoon of organisatie die persoonsgegevens verwerkt voor de verantwoordelijke. In dit geval is Logic4 B.V. de verwerker voor jouw organisatie. De verwerker is niet verantwoordelijk voor de persoonsgegevens, maar wel voor beveiliging en geheimhouding.

Officieel is jouw organisatie als verwerkingsverantwoordelijke diegene die moet zorgen dat jij aan alle nieuwe regels van de AVG voldoet. Wel moet Logic4 – als jouw verwerker – helpen om aan die verplichtingen (zoals beveiliging, meldplicht datalekken en uitvoeren DPIA) te kunnen voldoen en meewerken aan eventuele verzoeken van de Autoriteit Persoonsgegevens. Maar omdat onze klanten allemaal met dezelfde privacyvraagstukken zitten, en het niet mogelijk is om iedereen direct invloed te laten uitoefenen op heel specifieke privacy-instellingen van de software, nemen wij een deel van de maatregelen op ons. Dit doen we in samenwerking met Nederland ICT, de grootste belangenvereniging voor bedrijven in de ICT sector.

Verwerkersovereenkomst

De verwerker (Logic4) handelt in opdracht van jou als verwerkingsverantwoordelijke. De afspraken leggen we vast in een verwerkersovereenkomst. Deze bevat onder andere:

  • Verwerkingsopdracht en bijbehorende instructie;
  • Onderwerp, doel, aard en duur van de verwerking;
  • Categorieën personen en persoonsgegevens die verwerkt worden door Logic4;
  • Rechten van betrokkenen;
  • Rechten en plichten van uw organisatie als verwerkingsverantwoordelijke;
  • Vertrouwelijkheid;
  • Aansprakelijkheid;
  • Beveiliging;
  • Datalekken;
  • Audits;
  • Exit-procedure;
  • Sub-verwerkers;

De verwerkersovereenkomst van Logic4 is gedeponeerd bij de Kamer van Koophandel te Enschede. Het document is te vinden op de pagina met algemene voorwaarden onder de naam ‘Aanvullende algemene voorwaarden Logic4 BV’. Deze zijn ingegaan per 8 mei 2018 en gelden voor alle huidige en nieuwe klanten van Logic4. Hierover is begin mei 2018 per e-mail gecommuniceerd naar al onze klanten.

Technische beveiliging

De software en servers zijn bij Logic4 standaard heel goed beveiligd. Mocht vanuit een assessment van Nederland ICT blijken dat er wel extra maatregelen nodig zijn om te voldoen aan de AVG, dan zorgen we er uiteraard voor dat dit ruim binnen de deadline gerealiseerd is.

Documentatie

Wij documenteren voor welke organisaties wij een verwerkingsopdracht uitvoeren. Daarnaast moeten wij als verwerker ook een register van verwerkingsactiviteiten bijhouden. Deze is beknopter dan het register van verwerkingsactiviteiten dat jij als verantwoordelijke moet bijhouden. Op aanvraag van de Autoriteit Persoonsgegevens geven wij inzicht in dit register.

Subverwerkers

Logic4 heeft op haar beurt weer overeenkomsten met andere partijen, bijvoorbeeld datacenters voor de hosting van onze software. De afspraken met deze subverwerkers worden ook vastgelegd.

Privacy by default & design

Dit punt is een gedeelde verantwoordelijkheid van jouw organisatie en Logic4. Aan deze maatregelen zijn echter geen harde eisen gekoppeld in de AVG wettekst. Privacy by default houdt in dat je standaard de meest privacy-vriendelijke optie gebruikt bij de verwerking van persoonsgegevens. Bijvoorbeeld door in formulieren op de webshop alleen informatie te vragen die echt nodig is. Of door het vakje ‘aanmelden voor de nieuwsbrief’ niet vooraf aan te vinken. Hierbij kunnen wij ondersteunen door in de software bepaalde default instellingen aan te passen volgens de nieuwe regels. Privacy by design heeft betrekking op het uitwerken van nieuwe producten, diensten of features. Dit moet altijd gedaan worden met de AVG-regels in gedachten. Bij de doorontwikkeling van Logic4 bedrijfssoftware en webshop software zullen we steeds rekening houden met de rechten en plichten rondom privacy.

N.B.: Wij hebben ons best gedaan om ons zo goed mogelijk te verdiepen in de nieuwe wetgeving en de regels zo helder mogelijk aan jou uit te leggen. Desondanks kan het zijn dat er onverhoopt toch onjuiste of onvolledige informatie in dit artikel is geslopen. Zie je iets dat niet klopt of niet duidelijk is? Laat het ons weten!

Nieuwsbrief

Blijf altijd op de hoogte van ons laatste nieuws!

Zoek door onze site
Demo aanvragen