Voldoen aan de AVG - PONT

De Algemene Verordening Gegevensbescherming (AVG), ingevoerd in mei 2018, kent vele verplichtingen en eisen. We lopen die na aan de hand van vijf domeinen, met elk hun eigen AVG-verplichtingen. Dit analysemodel is niet alleen handig tijdens de implementatie van de AVG, maar helpt ook bij het controleren of de organisatie met de ingevoerde maatregelen volledig voldoet aan de gestelde eisen. Op het eerste gezicht lijkt de AVG een grote, ondoorzichtige hoop van verplichtingen, regels en voorgeschreven documenten. Als eerste stap naar ordening is het belangrijk te beseffen dat het in de AVG om twee begrippen gaat: aantoonbaarheid en transparantie. Je moet aantoonbaar maken dat jouw organisatie compliant is aan de AVG, wat wil zeggen dat aan alle eisen wordt voldaan. Een voorbeeld daarvan is het register van verwerkingsactiviteiten. Met dit register maak je duidelijk dat alle manieren van verwerking van persoonsgegevens in kaart zijn gebracht, dat de organisatie weet welke gegevens worden verwerkt, door wie, in welke systemen en welke maatregelen zijn getroffen om deze gegevens te beschermen. Het tweede is dat de AVG vraagt om transparantie: het moet helder zijn welke gegevens je verwerkt en waarom je die verwerkt. In het privacyreglement op je website maak je bijvoorbeeld kenbaar welke persoonsgegevens worden verzameld, wat het doel hiervan is en welke wettelijke grondslag wordt gebruikt om deze gegevens te verzamelen. Om de brij aan verplichtingen en regels te ordenen, gebruik ik in dit boek het privacyframework van IT-adviesbureau Centric. Dit is een handig model bij het implementeren van de verplichtingen uit de AVG. Ook dient het als check om te beoordelen of je organisatie compliant is aan de AVG of dat er nog ‘gaten’ zijn. Het framework splitst privacy in vijf domeinen.

Het privacyframework Ad 1 – Compliance Compliance is het voldoen aan de AVG en het aantoonbaar maken van de verplichtingen op het gebied van privacy. Hieronder vallen alle verplichtingen die de AVG aan organisaties stelt. Om compliant te worden aan de AVG is het register van verwerkingsactiviteiten het startpunt. Dit register brengt alle manieren waarop gegevens worden verwerkt in kaart, hoe dat wordt uitgevoerd en door wie. Het register is ook het de basis voor het op te stellen privacyreglement, om te beoordelen of een verwerkersovereenkomst nodig is of wat er gebeurt als betrokkenen hun rechten willen uitoefenen. Hier bestaan verschillende softwaretools voor, maar vaak is een slim opgezette Excelsheet al voldoende. In het register van verwerkingsactiviteiten worden per verwerkingsactiviteit de volgende zaken vermeld:

Een beschrijving van de verwerkingsactiviteit
De beveiligingsmaatregelen die zijn getroffen
Of sprake is van doorgifte van de gegevens binnen of buiten Europa
Waar de gegevens vandaan komen

Als er sprake is van doorgifte van gegevens aan een derde partij, dan worden de gegevens van die derde partij, de nieuwe verwerker dus, vermeld. De verwerkingsactiviteit dient gespecificeerd te worden beschreven in het register. Een te brede, generieke formulering van een verwerking voldoet niet. Dus niet: ‘Het onderhouden van klantcontacten’, maar: ‘Het versturen van een nieuwsbrief’ of ‘Het uitbrengen van offertes’. Ook ‘Het uitvoeren van de arbeidsovereenkomst’ is een te brede omschrijving. Deze generieke omschrijving laat zich splitsen in onder meer ‘het doen van salarisbetaling’ en ‘het voeren van beoordelingsgesprekken’. Elke beschrijving van een verwerkingsactiviteit kent de volgende elementen:

Een korte omschrijving van de activiteit, bijvoorbeeld: ‘Het registreren van leden van een vereniging’, ‘Uitvoering arbeidsovereenkomst’ of ‘Nieuwsbrief versturen aan klanten’
De groep personen van wie gegevens worden verwerkt, bijvoorbeeld: ‘Leden’, ‘Medewerkers’ of ‘Klanten’
De soort gegevens die worden vastgelegd, bijvoorbeeld ‘Naam’, ‘Adres’, ‘BSN-nummer’

De soort gegevens die jouw organisatie verwerkt, is van belang voor de juridische basis die je gebruikt om ze te verwerken, de grondslag daarvan. Sommige categorieën gegevens, bijvoorbeeld medische, mogen niet worden verwerkt, tenzij je aan bepaalde voorwaarden voldoet. Om hier zicht op te krijgen, is het van belang de gegevens te classificeren. Als je in kaart hebt welke gegevens worden verwerkt, dan kun je die rangschikken: zijn het gewone persoonsgegevens of worden er bijzondere of gevoelige gegevens verwerkt? Bij de soort gegevens geef je ook de classificatie aan.

Wat is het doel van de vastlegging van de persoonsgegevens? Bijvoorbeeld: ‘Contacteren leden’, ‘Uitbetalen salaris’ of ‘Onderhouden klantcontacten’.

In het register leg je vast wat het doel is van de verwerking. Zomaar gegevens van personen verzamelen is niet toegestaan. De gegevens moeten altijd worden verzameld voor een bepaald doel – dat wordt doelbinding genoemd. Is het doel van de verwerking duidelijk, dan moet je kijken of de verwerking voldoet aan de beginselen van proportionaliteit, dataminimalisatie en subsidiariteit. Is de verwerking in verhouding met het doel waarvoor de persoonsgegevens worden verwerkt (proportionaliteit)? Worden er niet meer gegevens gevraagd dan noodzakelijk is voor het doel (dataminimalisatie)? En dan de subsidiariteit: zijn de gegevens echt nodig om het doel te bereiken? Is er geen andere manier om het doel te bereiken zonder persoonsgegevens te verwerken? En is het nodig deze gegevens op de beschreven manier te verzamelen voor het doel dat ermee wordt gediend?

De categorieën van verwerkers: welke functies verwerken de persoonsgegevens? ‘De secretaris van de vereniging’? ‘Medewerkers HR-afdeling’ of ‘Medewerkers marketing’?
Categorieën van ontvangers van de gegevens. Wie ontvangen de persoonsgegevens van jouw organisatie? Alleen de organisatie die de salarisadministratie uitvoert of ook het marketingbureau dat de verzending van de nieuwsbrief voor jullie regelt?
De bewaartermijn: hoe lang worden de persoonsgegevens bewaard?

Voor een aantal gegevens is dat makkelijk, daarvoor geldt een wettelijke bewaarplicht. Zo moeten gegevens uit de loonadministratie vijf jaar worden bewaard en alle facturen wel zeven jaar. Daarnaast wordt voor een aantal gegevens slechts een wettelijke indicatie gegeven wat een redelijke bewaartermijn is. Voor gegevens van een sollicitant geldt bijvoorbeeld als redelijke bewaartermijn ‘een maand na het einde van de sollicitatieprocedure’ en worden gegevens van een personeelslid twee jaar na uitdiensttreding vernietigd. De bewaartermijnen zijn hier richtlijnen, daarvan kan worden afgeweken. De AVG geeft dus geen termijnen, maar eist wel dat ze vastgesteld en nageleefd worden.

Opslag van de gegevens: waar en hoe zijn de gegevens opgeslagen? Worden de persoonsgegevens op een formulier in een map bewaard? Staan de arbeidsovereenkomsten digitaal op de server? En in welk softwarepakket zitten alle klantgegevens?

Het framework hanteert voor de opslag van gegevens het begrip informatiecontainers (IC). IC’s zijn de media waarop de persoonsgegevens worden bewaard, de dragers van de persoonsgegevens. Dat kunnen databases zijn, maar ook papieren lijsten. Het begrip is bruikbaar om de benodigde technische en organisatorische maatregelen te beoordelen. Elke IC zal immers om zijn eigen maatregelen vragen. Daarnaast helpt het om de risico’s van de verwerking in kaart te brengen. Wanneer persoonsgegevens overgaan van de ene IC naar de andere, dan zal er altijd een risico zijn.

De grondslag: wat is de juridische basis voor het verwerken van de persoonsgegevens? Mogen we de gegevens wel verwerken?

In tegenstelling tot de eerste acht punten, waarvoor je vrij bent ze te formuleren zoals je ze wilt, geeft de AVG slechts een beperkt aantal grondslagen die je mag gebruiken. De AVG kent zes grondslagen; je moet altijd één van deze grondslagen gebruiken als je persoonsgegevens verwerkt.

Er is toestemming van de persoon van wie gegevens worden verwerkt.
Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren. Daaronder vallen ook de gegevens die in de aanloop naar het afsluiten van de overeenkomst worden verwerkt, de zogenaamde precontractuele fase.
Het is noodzakelijk om gegevens te verwerken, omdat je dit wettelijk verplicht bent. Dat geldt bijvoorbeeld als de politie je beveelt persoonsgegevens af te staan of als je uitvoering moet geven aan een belastingverplichting.
Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen. Dit geldt bijvoorbeeld als iemand buiten bewustzijn is en er gevaar dreigt. De betreffende persoon kan geen toestemming geven voor de verwerking van zijn gegevens, maar op basis van deze grondslag is dat toch toegestaan.
Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen. Een voorbeeld daarvan is de gemeente die camera’s laat plaatsen om door camerasurveillance de veiligheid te verhogen.
Het is noodzakelijk om gegevens te verwerken om jouw gerechtvaardigde belang te behartigen. Een gerechtvaardigd belang heb je als jouw belang zwaarder weegt dan het grondrecht van privacy van degene van wie je gegevens verwerkt.

In de praktijk zullen grondslag 1 (toestemming) en 2 (uitvoeren overeenkomst) het meest worden gebruikt. Gerechtvaardigd belang is een grondslag die mijns inziens vaker gebruikt kan worden, in plaats van de grondslag toestemming. In hoofdstuk 6 ga ik in op het voordeel van de grondslag gerechtvaardigd belang boven de (te) veel gebruikte grondslag toestemming. Ad 2 – Transparantie Bij het domein transparantie gaat het vooral om transparantie op het gebied van de rechten en verplichtingen die de betrokkenen op basis van de AVG hebben. Allereerst is er een informatieplicht naar de betrokkenen. Je moet ze informeren dat je hun gegevens verwerkt, welke gegevens je precies verwerkt, wat de grondslag hiervoor is en hoelang je de gegevens bewaart. Dit is allemaal opgenomen in de privacyverklaring, waarin ook een aantal zaken uit het domein compliance wordt vermeld. Daarnaast hebben de betrokkenen ook een aantal rechten: het recht op inzage, rectificatie, gegevenswissing en dataportabiliteit. Het framework schaart ‘logging’ ook onder het domein transparantie. Wie heeft wanneer toegang gehad tot welke gegevens en wat heeft die persoon ermee gedaan? Vanuit de AVG wordt dit niet expliciet genoemd, hoewel je het zou kunnen scharen onder de vereiste technische maatregelen. Hoe dan ook, om grip te hebben op de persoonsgegevens is logging en het volgen van loggegevens van essentieel belang. Ad 3 – Security Securitymanagement in de brede zin van het woord gaat over het beschermen van de bezittingen van de organisatie, zoals gebouwen, systemen, gegevens en databases. Bezittingen bescherm je door ze te identificeren, door ze te documenteren en door beschermende procedures te implementeren. De AVG spitst dit toe op de persoonsgegevens die de organisatie bezit. De wet eist dat passende technische en organisatorische maatregelen worden getroffen. Die maatregelen dienen in balans te zijn met de omvang, de soort organisatie en de soort gegevens die worden verwerkt. Het classificeren van data uit het domein compliance en het vaststellen van de dreigingen en kwetsbaarheden bepalen of een maatregel passend is. De AVG noemt een aantal specifieke aandachtspunten:

Het pseudonimiseren en versleutelen van gegevens;
De vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen;
De snelheid waarmee de beschikbaarheid van en toegang tot de persoonsgegevens hersteld zijn na een calamiteit;
Het periodiek testen, beoordelen en evalueren van de doeltreffendheid van de maatregelen.

De technische en organisatorische maatregelen uit het domein security worden ook opgenomen in het register. Ad 4 – Governance Het vierde domein is dat van governance. Dit gaat om alle structuren en processen die ervoor zorgen dat de organisatie aantoonbaar in control is over de gegevens die worden verwerkt. De AVG geeft een aantal processen en tools op dit gebied: de verwerkersovereenkomst, een goede procedure datalekken en de verplichting om een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren (zie hoofdstuk 8). Ad 5 – Organisatie Op organisatieniveau verwacht de AVG dat er een privacybeleid wordt geformuleerd en dat privacymanagementprocessen worden geïmplementeerd. In het privacybeleid, niet te verwarren met de privacyverklaring, beschrijft de organisatie wat haar beleid is op het gebied van privacy. Dit gaat dus verder dan de AVG; de organisatie geeft in dit document aan hoe ze over privacy denkt, wat haar opvattingen daarover zijn en hoe ze daarmee wil omgaan. Uit het beleid volgen de processen die nodig zijn om het beleid te implementeren. Het privacybeleid is geen op zichzelf staand document: het sluit aan bij en versterkt de missie, visie en strategie van de organisatie. Een privacybeleid zal alleen succesvol zijn als de medewerkers privacybewustzijn. Zij moeten het beleid in de praktijk brengen. De verplichting uit de AVG om privacybewustzijn te creëren bij medewerkers valt dan ook in dit domein. Onder dit domein valt ook het aanstellen van een Functionaris Gegevensbescherming (FG). De AVG geeft richtlijnen in welke gevallen dit een vereiste is. De Nederlandse toezichthouder heeft deze generieke regels verder concreet uitgewerkt. Als het misgaat: een Duitse woningbouwcorporatie In oktober 2019 heeft de toezichthouder voor gegevensbescherming van de Duitse deelstaat Berlijn aan een woningbouwcorporatie een boete van maar liefst 14.500.000 euro opgelegd. De reden voor deze boete was tweeledig. De gegevens van de huurders werden vastgelegd in een computersysteem, maar die konden op een later tijdstip daar niet meer uit worden verwijderd. De gegevens die werden vastgelegd, waren te classificeren als gevoelige gegevens; het ging over de financiën en over de persoonlijke omstandigheden van de betrokkenen, van salarisstroken en arbeidsovereenkomsten tot fiscale gegevens en informatie over de sociale verzekeringen. Naar het oordeel van de toezichthouder legde de woningbouwcorporatie langere tijd meer gegevens vast dan voor het doel noodzakelijk was (doelbinding). De woningbouwcorporatie nam weliswaar maatregelen hiervoor, maar die waren onvoldoende om te voldoen aan de AVG. De corporatie had bij de ontwikkeling van de software onvoldoende rekening gehouden met de bescherming van de persoonsgegevens, het beginsel van ‘privacy by design’. De organisatie had als verwerkersverantwoordelijke vanaf het begin van de ontwikkeling van de software rekening moeten houden met de privacyaspecten, zodat de gegevens niet langer worden bewaard dan noodzakelijk.