De Algemene Verordening Gegevensbescherming

door Jonas Lodewegen Thijs van Diessen

De General Data Protection Regulation (GDPR), oftewel de Algemene Verordening Gegevensbescherming, nadert met rasse schreden en zal invloed hebben op alle organisaties die persoonsgegevens verwerken, zoals Copernica en al onze klanten. Het is dan ook van belang dat de regelgeving goed onder de loep genomen wordt en dat conclusies getrokken worden over de te ondernemen stappen.

Dit nieuwsbericht is het resultaat van een uitgebreide inventarisatie van de aanpassingen die voor Copernica nodig zijn om te voldoen aan de nieuwe wetgeving. Het omschrijven van de bewerkersovereenkomst naar een verwerkersovereenkomst is hiervoor lang niet genoeg. We kijken ook kritisch hoe onze software moet worden aangepast en verder onderzoeken we wat we kunnen doen om onze klanten te ondersteunen compliant te worden met de regelgeving. De komende periode zullen we hier meer over publiceren.

Introductie

Vanaf 25 mei 2018 is de nieuwe Europese privacywetgeving, de GDPR, van kracht. Deze verordening zal de huidige Wet Bescherming Persoonsgegevens vervangen. Hoewel de inhoud van beide stukken wat betreft de rechten van betrokkene niet volledig anders is, zijn er wel degelijk verschillen: de bescherming is aangescherpt waarbij organisaties die persoonsgegevens verwerken meer plichten krijgen; de macht van de toezichthouders is vergroot (richtlijnen voor boetes bij overtredingen worden gegeven); en er worden meer handreikingen gedaan om organisaties op weg te helpen.

De algemene lessen van de GDPR voor organisaties zijn dat er inzicht gegeven moet worden in de volgende zaken: welke persoonlijke data wordt verwerkt, waarom gebeurt dat (grondslag), op welke manier gebeurt dat, naar wie wordt het doorgestuurd en hoe kan dat gerechtvaardigd worden. Het verwerken van persoonsgegevens kan volgens artikel 6 van de GDPR gebaseerd zijn op enkele gronden, waarvan er twee relevant zijn voor de meeste gebruikers van Copernica: verwerking om een contract uit te voeren; en verwerking op basis van verleende toestemming (informed consent). Voorbeelden zijn respectievelijk het verwerken van iemands adresgegevens om een besteld product te kunnen afleveren en het gebruiken van iemands mailadres voor het versturen van een nieuwsbrief wanneer iemand zich daarvoor heeft opgegeven.

Rollen

In de GDPR worden drie belangrijke rollen beschreven: de betrokkene (het onderwerp van de persoonsgegevens), de verwerkingsverantwoordelijke (de partij de verantwoordelijk is voor de verwerking), en verwerkers (partijen die in opdracht van de verantwoordelijke de gegevens verwerken; Copernica valt hieronder).

Belangrijkste artikelen

Hieronder volgt een opsomming van de voor een typische klant van Copernica relevante artikelen. Tevens wordt een schets van de implicaties gegeven, waarbij telkens een webshop als voorbeeld wordt gebruikt:

  • De term persoonsgegevens moet breed gelezen worden: gegevens waarmee een persoon direct of indirect kan worden geïdentificeerd, zoals een naam, een identificatienummer, locatiegegevens, adres, telefoonnummer, geslacht, ras, seksuele voorkeur enzovoort.
  • Persoonsgegevens moeten rechtvaardig, proportioneel, doelgebonden (alleen waarvoor ze verzameld zijn) en zo minimaal mogelijk verwerkt worden en mogen niet langer dan nodig bewaard blijven (artikel 5).
  • Wanneer verwerking op toestemming berust, moet aangetoond kunnen worden dat deze is gegeven. De vraag om toestemming moet in begrijpelijke taal geformuleerd zijn en de doelen van de verwerking moeten benoemd worden en mogen niet in strijd zijn met de GDPR. Ook moet de verwerking noodzakelijk zijn. Dit betekent bijvoorbeeld dat het blokkeren van de toegang tot een website als de bezoeker geen cookies wil accepteren binnenkort verboden zal zijn. (Artikel 7)
  • Eenduidige informatie over de bronnen van persoonsgegevens, welke organisatie het verwerkt, de grondslag daarvan, welke organisatie verdere verwerking uitvoert en het doel daarvan moet verschaft worden (artikel 13 als data rechtstreeks van betrokkene afkomt, 14 indien indirect). Dit kan prima in een goed vindbare en leesbare privacy statement op de website, waarnaar verwezen wordt bij elk formulier dat bedoeld is om persoonsgegevens te verwerken.
  • Recht van inzage: de betrokkene heeft het recht zijn persoonsgegevens in te zien (artikel 15).
  • Recht op rectificatie: de betrokkene heeft het recht op correctie van de data door de verwerkingsverantwoordelijke (artikel 16).
  • Recht op vergetelheid: persoonsgegevens moeten gewist worden als die niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld, de toestemming wordt ingetrokken of de betrokkene bezwaar maakt (artikel 17).
  • De betrokkene mag verwerking tijdelijk laten beperken onder andere bij twijfel over de juistheid (artikel 18). Ook mag de betrokkene bezwaar maken tegen profiling en geautomatiseerde besluitvorming (artikel 21 en 22).
  • Recht op overdraagbaarheid (dataportabiliteit): de betrokkene heeft het recht zijn persoonsgegevens in machineleesbare vorm (denk aan XML) te verkrijgen om door te kunnen geven aan derden.
  • Een register van verwerkingsactiviteiten moet worden bijgehouden (artikel 30) door zowel de verantwoordelijke (lid 1) als de verwerker (lid 2). Hierin wordt opgenomen: contactgegevens van de verantwoordelijke/verwerker en indien toepasselijk de Functionaris voor Gegevensbescherming, categoriën van verwerking, doorgiftes aan verwerkers, etc. Dit hoeft niet worden gedaan door organisaties met minder dan 250 mensen in dienst, tenzij verwerking niet incidenteel is. Feitelijk betekent dit dat vrijwel elke organisatie een register moet bijhouden.
  • Een Functionaris voor Gegevensbescherming (FG) moet worden ingesteld door partijen die persoonsgegevens op grote schaal verwerken (dit doet vrijwel elke webshop volgens de richtlijnen van de toezichthouder

Privacy Policies

Al met al wordt het aangeraden om de volgende punten op te nemen in een makkelijk (online) toegankelijk en in begrijpelijke, beknopte taal beschreven privacy policy:

  • contactgegevens functionaris gegevensbescherming;
  • verwerkingsdoeleinden en grondslagen;
  • de gerechtvaardigde belangen;
  • (categorieën van) ontvangers;
  • of gegevens worden doorgegeven naar buiten de EU en zo ja, welke waarborgen er dan zijn getroffen;
  • de bewaartermijn of de criteria om de bewaartermijn te bepalen;
  • de rechten van betrokkene(n) (recht op inzage etc.)
  • beschrijving mogelijkheid tot intrekken toestemming;
  • dat een klacht bij de toezichthouder kan worden ingediend;
  • de kern van de taak-/rolverdeling indien er meerdere partijen gezamenlijk verantwoordelijk zijn voor een verwerking (artikel 26 lid 2);

Verwerkersovereenkomst met Copernica

Naast alle bovenstaande punten is elke verwerkingsverantwoordelijke verplicht een verwerkingsovereenkomst af te sluiten met alle organisaties die in opdracht van hem persoonsgegevens verwerkt (artikel 28 lid 3). Copernica heeft de eerder bestaande bewerkersovereenkomst (afgestemd op de Wet Bescherming Persoonsgegevens) aangepast aan de GDPR. Binnenkort worden die ter digitale ondertekening beschikbaar gesteld op de dashboard op Copernica.com. De volgende verplichte onderdelen van een verwerkersovereenkomst zijn daarin opgenomen:

De verwerker:

  • mag de persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de verantwoordelijke;
  • neemt vertrouwelijkheid in acht;
  • treft beveiligingsmaatregelen;
  • biedt bijstand bij rechten betrokkenen;
  • moet toestemming vragen voor het inschakelen van een subbewerker;
  • moet met een subbewerker dezelfde afspraken maken;
  • wist, na afloop van de verwerkingsdiensten, alle persoonsgegevens of bezorgt deze terug aan de verantwoordelijke, en verwijdert bestaande kopieën;
  • verleent medewerking bij audits;
  • informeert in geval van een inbreuk in verband met persoonsgegevens.

Data Protection Officer

Voor vragen omtrent de verwerking van persoonsgegevens door Copernica kun je je richten tot onze Data Protection Officer: Jonas Lodewegen.

Gerelateerde artikelen

Algemene Verordening Gegevensbescherming
AVG
GDPR
Privacy
Persoonsgegevens