Het kan u de afgelopen tijd niet zijn ontgaan: per 25 mei wordt de geldende privacyregelgeving gewijzigd en aangescherpt. De huidige Wet bescherming persoonsgegevens wordt dan vervangen door de Algemene verordening gegevensbescherming (AVG).

Koninklijke data

Het geeft reden om de manier waarop persoonsgegevens binnen uw organisatie worden verwerkt in kaart te brengen en in overeenstemming te brengen met de nieuwe regelgeving. De torenhoge boetes die de Autoriteit Persoonsgegevens kan opleggen bij overtreding zouden niet het motief moeten zijn. Uw klanten of relaties mogen namelijk gewoon verwachten dat uw organisatie zorgvuldig omgaat met hun persoonsgegevens. Zeker in dit digitale tijdperk, waarin data niet meer vergeten worden. Of in de woorden van Aleid Wolfsen (voorzitter van de Autoriteit Persoonsgegevens): “Als je vindt dat de klant koning is, dan moet je zijn data ook op die manier behandelen.”

Het waarborgen van privacy is overigens ook in het belang van uw eigen organisatie. Het recente Facebookschandaal laat zien dat ook hier geldt: vertrouwen komt te voet en gaat te paard.

Persoonsgegevens

Van het verwerken van persoonsgegevens is sprake wanneer handelingen worden verricht die betrekking hebben op een (te identificeren) persoon of personen. Persoonsgegevens zijn dus niet alleen naam, adres en woonplaats. Maar in principe ook een IP-adres of kenteken. Daarnaast bestaat nog een aparte categorie persoonsgegevens: de bijzondere persoonsgegevens. Het gaat dan om gevoelige gegevens zoals iemands gezondheid, godsdienst of ras.

Verwerken van persoonsgegevens

De AVG regelt onder welke voorwaarden het is toegestaan om persoonsgegevens te verwerken. Onder “verwerken” moet worden verstaan alle handelingen die een organisatie kan uitvoeren met persoonsgegevens. Daaronder valt bijvoorbeeld het verzamelen, bewaren, bijwerken, verspreiden of vernietigen van persoonsgegevens. Kortom, iedere organisatie verwerkt persoonsgegevens, denk alleen al aan een personeels- of klantenbestand, en moet dus voldoen aan de AVG.

Verantwoordingsplicht

De AVG legt meer verantwoordelijkheid bij organisaties om aan te tonen dat zij aan de privacyregels voldoen. Organisaties krijgen een zogenaamde verantwoordingsplicht. Aangetoond moet kunnen worden dat voldaan wordt aan vereisten zoals rechtmatigheid en doelbinding. Ook moet een organisatie kunnen laten zien dat de juiste technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beschermen. Daar kunnen documenten als het privacybeleid of het verwerkingsregister bij helpen.

Nog niets geregeld?

Zeker als het gaat om kleinere organisaties is het niet onbegrijpelijk dat zij het onderwerp AVG mijden. De materie is niet altijd eenvoudig en het kost tijd om de soms open normen te vertalen naar de praktijk. Toch ook aan hen de oproep om de AVG op de agenda te zetten. Met name de website van de Autoriteit Persoonsgegevens biedt veel bruikbare aanwijzingen om door de jungle aan informatie heen te komen. Zo is daar onder andere een 10-stappenplan terug te vinden waarin overzichtelijk wordt weergegeven wat er precies van organisaties wordt verlangd. Daarnaast zijn er ook veel bruikbare tips en complete modellen terug te vinden op websites van brancheorganisaties. Kortom, ook kleinere organisaties kunnen vaak zonder al teveel inspanning AVG-proof zijn.

mr. J. (Johan) de Koning Gans
is werkzaam bij Post Advocaten in Barneveld