De 10 grootste misverstanden over de AVG

‘Het kost mij zoveel geld en tijd, wat een onzin!’ Deze tekst hoor ik regelmatig van hardwerkende ondernemers in het MKB. Ik ga u in dit artikel niet overtuigen van het feit dat de AVG een fantastische toegevoegde waarde heeft voor uw onderneming. Ik ga wel het negatieve beeld dat bij velen over de AVG is ontstaan, proberen te ontkrachten. Er zijn namelijk veel misverstanden over deze relatief nieuwe wetgeving. Hieronder komen tien misverstanden aan bod.

1. ‘Dat mag vast niet meer door de nieuwe privacywetgeving!’

Er verandert door de inwerkingtreding van de AVG in de praktijk weinig ten opzichte van de oude privacywetgeving (Wet bescherming persoonsgegevens). De meeste regels die voortvloeien uit de AVG, stonden al beschreven in allerlei andere wetgeving. In de AVG zijn deze regels gebundeld en zó beschreven, dat ze (voor zover mogelijk) toekomstbestendig zijn. Er is echter wel een groot verschil in hoe er met de regels wordt omgegaan. De kans is erg groot dat u voorafgaand aan de inwerkingtreding van de AVG ook al bepaalde zaken niet mocht doen, maar dat u dat niet wist, of er niets aan deed. Met de komst van de AVG lijken mensen wakker te zijn geschud. Men lijkt zich meer in te spannen om de wijze waarop persoonsgegevens worden verwerkt, te wijzigen en te verbeteren.

Wat denkt u? Komt dat door:
– de hoge boetes die opgelegd kúnnen worden;
– dat men zich er bewust van wordt wat de risico’s zijn als persoonsgegevens in verkeerde handen terecht komen;
– dat druk wordt ervaren omdat alle (grote) organisaties er ook mee aan de slag gaan;
– dat men ‘persoonsgegevens’ is gaan zien als onderdeel van privacy en eigendom;
– andere reden.

Ik ben erg benieuwd wat voor u de aanleiding is, ik ontvang graag uw reactie. djanssen@tenadvocaten.nl

2. ‘Ik mag thuis geen lijst hebben met adressen en telefoonnummers van vrienden’

De AVG is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten. Deze verordening geldt wel voor verwerkingsverantwoordelijken of verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten. U mag thuis dus gewoon uw adresboek in de kast laten liggen en de verjaardagskalender op het toilet laten hangen.

3. ‘De Autoriteit Persoonsgegevens (AP) gaat toch pas over een paar maanden/jaren beginnen met het uitvoeren van controles’

Nieuwsbericht 1 juni 2018
‘AP gestart met controles functionarissen voor gegevensbescherming’

Nieuwsbericht 17 juli 2018
‘AP start onderzoek naar naleving privacyregels door private sectoren’

Nieuwsbericht 3 september 2018
‘AP rondt controle af op functionaris gegevensbescherming overheid’

Nieuwsbericht 5 oktober 2018
‘AP rondt controle ziekenhuizen en zorgverzekeraars af’

Er wordt dus wel degelijk al gecontroleerd. U wilt de volgende controle natuurlijk glansrijk doorstaan! Twijfelt u daar nog aan? Dan kunnen wij u daarmee helpen.

4. ‘Ik (als organisatie) mag vrijwel geen persoonsgegevens meer opslaan’

Het oneindig bewaren van persoonsgegevens zonder enige motivering (grondslag en doeleind) mag niet volgens de Europese privacywetgeving. Daarom beveelt de AP aan dat organisaties in hun register van verwerkingen benoemen hoe lang zij persoonsgegevens willen bewaren. Persoonsgegevens mogen dus wel worden opgeslagen, maar er moet een grondslag en een doel zijn voor de verwerking van deze gegevens. Op deze manier wordt bereikt dat organisaties zich bewust worden van welke persoonsgegevens ze hebben en of het bijvoorbeeld wel wenselijk/noodzakelijk is dat zij over deze gegevens beschikken.

Stelt u zich voor dat u de persoon bent waarvan persoonsgegevens bij verschillende organisaties worden verwerkt. In eerste instantie gaat u er waarschijnlijk van uit dat deze organisaties geen kwade bedoelingen hebben met uw persoonsgegevens. Toch zijn er risico’s die grote gevolgen kunnen hebben. Stelt u zich eens voor dat iemand anders, we noemen hem Piet, zich voordoet alsof hij u is. Piet werkt bij een grote organisatie en door een foutje dat hij heeft gemaakt, heeft u veel nadeel ondervonden. U hebt dat bij deze organisatie gemeld en daardoor wordt Piets contract niet verlengd en is hij werkloos. Piet belt naar de woningstichting waar u een woning huurt. Piet weet uw naam, e-mailadres en geboortedatum, omdat uw gegevens bekend zijn bij de organisatie waar Piet werkte. Door het noemen van uw naam kan de medewerker van de woningstichting het juiste dossier opzoeken. Vervolgens vraagt Piet om het e-mailadres dat in het dossier staat te wijzigen naar een ander e-mailadres (waar Piet beschikking over heeft). Ter controle vraagt de medewerker van de woningstichting naar uw geboortedatum, die Piet moeiteloos opnoemt. Naar het nieuwe e-mailadres wordt vervolgens een bevestigingsmail gestuurd. Twee weken later vindt Piet het een mooi moment om u een hak te zetten en mailt vanuit het gewijzigde e-mailadres naar de woningstichting dat hij graag de huur van het woning wil opzeggen. Later mailt Piet nog een aantal keer met een medewerker van de woningstichting om een afspraak te maken voor de oplevering. Stelt u zich voor dat er zo meteen bij u wordt aangebeld met de mededeling dat de huur per 1 december is beëindigd en een nieuwe huurder alweer klaarstaat om in uw woning te gaan wonen.

Dit is een voorbeeld van wat er allemaal bereikt (in positieve of negatieve zin) kan worden wanneer iemand, al dan niet ongewenst, de beschikking heeft over uw persoonsgegevens. Nu is het zo dat de meeste mensen geen slechte intenties hebben met uw gegevens, maar weet u altijd op voorhand hoe uw relatie met een organisatie of een medewerker van een organisatie de komende jaren gaat verlopen? Kent u alle personen bij alle organisaties die (kunnen) beschikken over uw gegevens? Nee. Ik wil u hiermee vooral laten zien hoe belangrijk het is dat organisaties zich bewust zijn van de persoonsgegevens die ze van allerlei personen hebben en hoe die worden verwerkt.

Tips voor het opstellen van een verwerkingsregister:
https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-doet-aanbevelingen-voor-registers-van-verwerkingen

5. ‘De AVG verplicht mij om persoonsgegevens binnen de EU op te slaan’

Bent u zich er bewust van hoeveel persoonsgegevens van uw eigen klanten worden verwerkt in het buitenland? De vraag is niet: ‘mag ik die gegevens buiten de EU verwerken?’, maar: ‘kan ik verantwoorden dat ik deze persoonsgegevens buiten de EU verwerk?’ Van belang is dat er een grondslag is voor de verwerking en een doel waarvoor de gegevens worden verwerkt.

Persoonsgegevens mogen – onder voorwaarden – overal ter wereld worden verwerkt. Onder verwerken valt ook het opslaan van persoonsgegevens. De voorwaarde is dat het land waar de persoonsgegevens worden verwerkt, dezelfde bescherming biedt als op grond van de AVG vereist is. De Europese Commissie kan besluiten dat een land buiten de EU voldoende adequaat is, met als gevolg dat er aan de voorwaarde voor verwerking van persoonsgegevens in dat land wordt voldaan. Er kunnen ook contractsbepalingen in bijvoorbeeld een verwerkersovereenkomst worden opgenomen, die door de Europese Commissie vervolgens kunnen worden goedgekeurd.

6. ‘Ik krijg meteen een enorme boete als ik niet voldoe aan de nieuwe wetgeving’

Een boete wordt niet zomaar opgelegd door de AP. Het idee achter de boete is vooral het afschrikwekkende effect, zodat organisaties zich bewust zijn van wat de impact voor iemand kan zijn wanneer niet wordt voldaan aan de wetgeving. Er is een maximumbedrag verbonden aan de boete. Dat wil niet zeggen dat er een boete van een dergelijk hoog bedrag wordt opgelegd. De boete moet proportioneel zijn, dus in verhouding staan tot de ernst van het begane feit. Het mag niet direct het faillissement van uw organisatie betekenen. Anderzijds moet een boete ook weer niet zo laag zijn, dat het geen effect heeft en organisaties de volgende keer precies hetzelfde doen. Zeker als het gaat om het MKB, zal de AP niet meteen allerlei hoge boetes opleggen. Het doel is namelijk dat organisaties op een ‘juiste wijze’ met persoonsgegevens omgaan. Als de verwerking van deze gegevens gebreken vertoont, zal de AP waarschijnlijk eerder geneigd zijn om een waarschuwing te geven en te benoemen waar nog verbetering vereist is. Van groot belang is wel dat u als organisatie kunt laten zien dat u daadwerkelijk actie onderneemt om aan de AVG te kunnen voldoen en inspanning verricht om uw organisatie ‘AVG-proof’ te maken.

7. ‘Ik moet met iedereen een verwerkersovereenkomst sluiten’

Alleen met organisaties die persoonsgegevens van uw klanten of personeel verwerken, dient een verwerkersovereenkomst te worden gesloten. Een verwerkersovereenkomst wordt in beginsel gesloten tussen twee partijen, de verantwoordelijke en de verwerker. Niet iedere dienstverlener aan wie uw organisatie persoonsgegevens verstrekt, is een verwerker. Er kan sprake zijn van ‘derdenverstrekking’. Dat betekent dat persoonsgegevens van de ene verantwoordelijke worden verstrekt aan de andere verantwoordelijke. Beide partijen zijn dan verantwoordelijk voor hun eigen verwerking van diezelfde persoonsgegevens. Hieronder geef ik een aantal voorbeelden van organisaties die zelf verantwoordelijke zijn:

Belastingdienst – Voor de uitvoering van taken verwerkt de Belastingdienst verschillende persoonsgegevens. Een werkgever is verplicht om bepaalde persoonsgegevens aan de Belastingdienst te verstrekken. In beginsel hoeft er geen verwerkersovereenkomst met de Belastingdienst te worden gesloten. De Belastingdienst verwerkt de persoonsgegevens in de meeste gevallen namelijk voor haar eigen doel c.q. taakuitoefening (bijv. het innen van belasting). Zij bepaalt zelf welke middelen zij nodig heeft voor de uitvoering van haar taken. De Belastingdienst is dus verantwoordelijke.

UWV – Met het UWV hoeft geen verwerkersovereenkomst te worden gesloten. Het UWV verwerkt de persoonsgegevens die worden verstrekt namelijk voor haar eigen doel c.q. taakuitvoering en bepaalt zelf de middelen die zij nodig heeft voor de uitvoering van haar taken. Het UWV is dus ook verantwoordelijke.

En wat nu in het geval van een datalek bij de andere verantwoordelijke? Dat is niet uw probleem. U beschikt dan wel over dezelfde gegevens, maar de ander is verantwoordelijk voor de eigen verwerking. Het kan zo zijn dat uw klanten waarvan de gegevens worden verwerkt (betrokkenen) vragen gaan stellen. Hierbij is het van belang dat u geen imagoschade oploopt.

Een verwerker verwerkt namens u persoonsgegevens van uw klanten en personeel ter uitvoering van een opdracht die u aan de verwerker hebt verstrekt. Dit is bijvoorbeeld de organisatie die de administratie omtrent de salarissen van uw werknemers beheert. Met dergelijke partijen dient uw organisatie een verwerkersovereenkomst te sluiten.

Twijfelt u of er met bepaalde partijen verwerkersovereenkomsten moeten worden gesloten? Dan kunt u contact met mij opnemen.

8. ‘De AVG geldt alleen voor Europese burgers’

Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EU, zogeheten derde landen, gelden aparte regels. De hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau. Geeft een organisatie gegevens door van Nederland naar een ander EU-land? Dan hoeft die organisatie alleen te voldoen aan de algemene eisen uit de AVG. Derde landen zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER). Dit zijn Noorwegen, Liechtenstein en IJsland. Deze drie landen kennen een gelijkwaardig niveau van bescherming van persoonsgegevens.

Een organisatie in ‘s-Hertogenbosch die alleen gegevens verwerkt van Argentijnen, moet zich aan de AVG houden. De AVG is een wet van de Europese Unie. De wet heeft dan ook alleen betrekking op de verwerking van persoonsgegevens op EU-grondgebied of als de verwerking gaat over EU burgers. De AVG is dan ook meestal niet van toepassing op de verwerking van persoonsgegevens in bijvoorbeeld Japan, Amerika of Rusland.

Voor de volledigheid vindt u hieronder het artikel uit de AVG:

1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

2. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:
a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of
b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.

3. Deze verordening is van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is.

9. ‘Ik heb overal toestemming voor nodig’

Er zijn zes grondslagen waarop verwerking van (gewone) persoonsgegevens mogelijk is.
toestemming van de betrokken persoon;
– de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst;
– de gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting;
– de gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen;
– de gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
– de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Vaak wordt er tussen organisaties een overeenkomst gesloten, of dienen persoonsgegevens te worden verwerkt op grond van een wettelijke bepaling. Pas als geen van de andere vijf grondslagen van toepassing is, komt u toe aan het vragen van toestemming voor de verwerking van persoonsgegevens. Dit is bijvoorbeeld het geval als u tijdens een personeelsfeest foto’s van uw werknemers hebt gemaakt en die foto’s wilt plaatsen op de website van de organisatie. Voor dit soort situaties is het toestemmingsvereiste bedoeld. Overigens dient toestemming altijd actief te worden gegeven. Vóór de inwerkingtreding van de AVG, was het passief geven van toepassing voldoende. Dit is dus een belangrijke wijziging ten opzichte van de oude wetgeving (Wet bescherming persoonsgegevens).

10. ‘Ik mag nu geen nieuwsbrieven meer versturen’

De hoofdregel is:
‘U mag onder de Algemene verordening gegevensbescherming (AVG) digitale direct marketing sturen per e-mail, sms of app. U moet hiervoor voorafgaand toestemming vragen.’

Er is één uitzondering. U hoeft geen toestemming te vragen als u uw bestaande klanten (particulieren) benadert met aanbiedingen voor uw eigen, soortgelijke producten. Iemand is een bestaande klant als deze persoon een product of dienst van u heeft gekocht. Er moet sprake zijn van een koopovereenkomst of dienstverleningsovereenkomst waarin u verplicht bent of was om iets te leveren aan de klant en de klant verplicht is om daarvoor te betalen.

Let op: wilt u bedrijven benaderen met digitale direct marketing? Dan is de AVG niet van toepassing. De Telecommunicatiewet stelt hier aparte regels voor. De AVG is niet van toepassing op gegevens die over bedrijven gaan, als ze niet te herleiden zijn naar personen. Stuurt u een magazine naar een bedrijf, bijvoorbeeld ter attentie van de directie en dus niet gericht aan een bepaalde persoon? Of belt u met de salesafdeling? Dan valt dit dus niet onder de AVG.

De Telecommunicatiewet geeft mensen het recht om verzet aan te tekenen tegen het gebruik van hun gegevens voor digitale direct marketing. Hebben zij dat gedaan, dan mag u hen geen digitale direct marketing meer sturen.

Heeft u vragen over de AVG, dan hoor ik dat graag!
Denise Janssen