Twee jaar nadat de Algemene Verordening Gegevensbescherming (AVG) in werking trad, is deze op 25 mei 2018 van toepassing geworden. Genoeg voorbereidingstijd om nu compliant te zijn, zou je zeggen. Maar voor veel advocaten blijkt het vooralsnog een klok-klepelverhaal, zo bleek tijdens het drukbezochte NOvA-innovatieplatform over de verordening. Welke gevolgen heeft de AVG voor onze beroepsgroep?
Tekst: Quirine van Voorst
De AVG in een notendop
De AVG vervangt de Nederlandse Wet bescherming persoonsgegevens (Wbp), en de Europese privacyrichtlijn, waarvan de Wbp is afgeleid. De AVG zorgt voor verderstrekkende harmonisatie van de regels rond de bescherming van persoonsgegevens binnen de EU. Betekent dit dat de privacywetgeving binnen de EU nu compleet gelijk is? Helaas niet. Men heeft ervoor gekozen om de lidstaten op een aantal belangrijke onderwerpen ruimte te bieden om eigen regels vast te stellen. De Nederlandse Uitvoeringswet is op 15 mei 2018 door de Eerste Kamer aangenomen. Net op tijd zullen we maar zeggen.
De AVG moet worden gezien als een noodzakelijke update van de Wbp, die stamt uit 2001. Een groot deel van de verplichtingen die uit de AVG volgen, golden dus al onder de Wbp. De belangstelling voor de AVG zou dan ook zo maar eens gelegen kunnen zijn in de nieuwe sancties die staan op niet navolging. Wie niet aan de regels voldoet, riskeert hoge boetes die kunnen oplopen tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet.
Het is belangrijk om scherp te hebben dat de AVG niet alles omtrent privacy regelt, maar één specifiek onderwerp behandelt: de bescherming van persoonsgegevens. De belangrijkste vraag is dan ook wat die persoonsgegevens precies zijn? Kort gezegd is dat elk stukje informatie dat, direct of indirect, tot de identificatie van een (levend!) natuurlijk persoon kan leiden. Een greep uit de voorbeelden van persoonsgegevens: naam, adres, telefoonnummer, e-mailadres, foto, IP-adres en vingerafdruk. Er zijn ook zogenoemde ‘bijzondere persoonsgegevens’. Daaronder worden bijvoorbeeld verstaan persoonsgegevens die zien op godsdienst, ras, politieke voorkeur en gezondheid. U voelt het al aan: laatstgenoemde categorie persoonsgegevens moet beter beschermd worden dan de eerste. Alle handelingen die je vervolgens kunt uitvoeren met een persoonsgegeven, zijn een verwerking daarvan, bijvoorbeeld: verzamelen, structureren, opslaan, wijzigen, opvragen, verspreiden, en vernietigen.
Drie categorieën
De verplichtingen die de AVG ons oplegt kunnen – grofweg – onder drie categorieën worden geschaard:
- De rechten van betrokkenen dienen gewaarborgd te worden: bijvoorbeeld het recht op informatie, inzage, afschrift, wijziging, en dataportabiliteit; en het recht om vergeten te worden;
- Privacy by design, waaronder privacy by default: al tijdens de ontwikkeling van de diensten dient aandacht besteed te worden aan privacyverhogende maatregelen, de organisatie dient alleen die gegevens te verwerken die noodzakelijk zijn voor het doel van de verwerking; en de standaardinstellingen dienen altijd zo privacy-vriendelijk mogelijk zijn;
- Verantwoording: als organisatie moet je transparant zijn over hoe je aan de eerste twee verplichtingen voldoet. Je moet dit vastleggen om je te kunnen verantwoorden. ‘Nobody likes a show off’, behalve de Autoriteit Persoonsgegevens.
Om te kunnen beoordelen aan welke specifieke verplichtingen je als organisatie moet voldoen, moet duidelijk zijn welke persoonsgegevens binnen de organisatie worden verwerkt. Er moet dus eerst grondig geïnventariseerd worden. Welk type persoonsgegevens wordt verwerkt, met welk doel en is daar een geldige grondslag voor? Wie zijn de betrokkenen en wie zijn de ontvangers? Het meest simpele advies lijkt: verwijder alle persoonsgegevens die onnodig verwerkt worden binnen de organisatie en zorg ervoor dat deze ook niet meer verzameld worden. Wat je niet hebt, kun je ook niet onvoldoende beschermen!
De inventarisatie kan vervolgens gebruikt worden om (bijvoorbeeld):
- te toetsen of de persoonsgegevens wel rechtsgeldig verwerkt worden;
- te toetsen of de persoonsgegevens voldoende beveiligd worden;
- het verplichte verwerkingsregister aan te leggen;
- het privacystatement up to date te maken;
- te bepalen met wie er zoal een verwerkersovereenkomst moet worden gesloten;
- te bepalen of een functionaris voor de gegevensbescherming nodig is (en zo niet wie er binnen de organisatie voor gaat zorgen dat alles op rolletjes loopt);
- te bepalen wanneer er een privacy impact assessment gedaan moet worden;
- het verplichte datalekregister voor te bereiden; en
- te toetsen of kan worden voldaan aan eventuele verzoeken van betrokkenen om een of meerdere van hun rechten uit te oefenen.
Concrete invulling
Bovenstaande verplichtingen gelden voor alle organisaties, groot en klein. Daarbij moet worden opgemerkt dat er meer wordt verwacht van een organisatie, naarmate de verwerkingen waarvoor deze verantwoordelijk is, meer risico’s voor betrokkenen met zich mee brengen. Verder zal er de komende tijd steeds meer duidelijk worden ten aanzien van de concrete invulling van alle verplichtingen. Om hiervan op de hoogte te blijven kan het bijvoorbeeld nuttig zijn om je te abonneren op de nieuwsbrief van de Autoriteit Persoonsgegevens en de website van de European Data Protection Board (voorheen de ‘Article 29 Working Party’) in de gaten te houden.
Zorg ervoor dat u niet die timmerman bent bij wie de deur kraakt, en ga met de AVG aan de slag!
De AVG, wat moeten we ermee?
‘De AVG, wat moeten we ermee?’, zo luidde de titel van het innovatieplatform dat de Nederlandse Orde van Advocaten op 25 april 2018 organiseerde. Ruim zeshonderd advocaten namen deel aan de bijeenkomst, die werd geleid door IT-specialist Brenno de Winter. In het panel van deskundigen zaten onder meer Gerrit-Jan Zwenne (hoogleraar Recht en de Informatiemaatschappij) en Thijs Drouen (Autoriteit Persoonsgegevens).
Na een stoomcursus AVG volgden vier stellingen. De meest opvallende was: ‘Dekentoezicht gaat vóór het toezicht van de Autoriteit Persoonsgegevens’. Het leek de NOvA en de Autoriteit Persoonsgegevens een goed idee om die middag uit te maken wie er als eerste bij een advocatenkantoor zou mogen binnenvallen als er stront aan de knikker is. Dit bleek de deelnemers echter een stap te ver te gaan. Die waren gekomen om te horen hoe advocaten de AVG aan de voorkant moesten inregelen en niet wie er aan de achterkant zou mogen komen straffen.
Er was veel vraag naar gedragsrichtlijnen en templates voor documenten die verplicht worden onder de AVG. De NOvA heeft inmiddels een aantal modellen op haar website geplaatst en er zal in de zomer een nieuw hoofdstuk over privacy verschijnen in het modelkantoorhandboek.
Een aantal tips vanuit het panel:
- Een goed begin is het halve werk: zorg dat de inventarisatie goed gebeurt.
- Outlook is niet veilig en dus is het aan te bevelen om op je website een (eenvoudig) portal te bouwen waar cliënten op kunnen inloggen en bestanden met persoonsgegevens kunnen uploaden en downloaden.
- Software is vaak niet gemaakt om gegevens te verwijderen. Dit moet – in het kader van de verplichte dataminimalisatie – wel worden ingeregeld. Ditzelfde geldt voor back-ups.
- AVG-compliant zijn is een ‘work in progress’ en moet binnen elk kantoor met een team worden aangepakt en onderhouden.