Wat is dat eigenlijk precies – de ‘AVG’?
De AVG is een Europese verordening op het gebied van privacyrecht. De AVG vervangt onze nationale wetgeving (de Wet Bescherming Persoonsgegevens). In alle Europese landen hebben we nu hetzelfde privacyrecht.
Verandert er veel met de AVG?
Nee, eigenlijk niet. Op de keper beschouwd legt deze wet organisaties dezelfde verplichtingen op die ze al hadden. Veel is hetzelfde.
Waarom maakt iedereen zich dan zo druk over die nieuwe AVG?
Het gaat om bewustwording. Veel organisaties hebben hun privacyhuishouding niet op orde. Er is eigenlijk gewoon sprake van achterstallig onderhoud. Nieuw is dat de AVG verlangt dat je kunt aantonen dat je voldoet aan de verplichtingen van die wet. Dat is een groot verschil met vroeger. Maar die verplichtingen waren er al, en zijn dezelfde.
Wat zijn de belangrijkste verplichtingen van de AVG?
Het belangrijkste van de privacy-wetgeving is dat als je persoonsgegevens registreert, je je best moet doen om ervoor te zorgen dat die gegevens niet in verkeerde handen vallen. Je moet ‘voldoende technische en organisatorische maatregelen treffen’ zoals dat heet om die gegevens te beveiligen. Als jouw gegevens in verkeerde handen vallen, of je kunt dat niet met zekerheid uitsluiten, dan is er sprake van een datalek. Als er een datalek is, dan moet je daar binnen 72 uur aangifte van doen bij de toezichthouder, de Autoriteit Persoonsgegevens. De AP kan een boete uitdelen tot maximaal 4% van je omzet. Zo’n boete kan je krijgen als de AP vindt dat je onvoldoende ‘technische en organisatorische maatregelen’ genomen hebt om die gegevens te beveiligen.
Wat bedoel je met ‘technische en organisatorische maatregelen’?
Laat ik een voorbeeld noemen. Stel een zieke medewerker bezoekt de bedrijfsarts. Ze neemt allerlei papieren van haar behandelend arts mee naar het consult. De arts neemt die papieren aan, en stopt deze aan het einde van het consult in haar tas. Ook haar notebook met de notities van het consult stopt ze in die tas. Als de bedrijfsarts nu die tas verliest, kunnen deze gegevens gemakkelijk in verkeerde handen komen. Je kunt dat in ieder geval niet uitsluiten. Het verlies van dit tas met de papieren en de computer is dan een datalek. Als de arts de papieren had ingescand en vernietigd, en haar notities in een veilig online verzuimprogramma zoals Track Verzuim had ingevoerd, dan heeft ze andere ‘technische en organisatorische maatregelen’ getroffen. Ze kan haar tas en haar notebook verliezen, maar haar gegevens waar zij verantwoordelijk voor is staan veilig in de cloud. Die is ze dan niet kwijt. En dat bedoelen we er mee.
Waarom is die AVG belangrijk voor arbodienstverleners?
Arbodienstverleners registreren op grote schaal medische persoonsgegevens. Vaak gaat het om dossiers van duizenden mensen. Als je kijkt naar het volume dan is dat vergelijkbaar met een ziekenhuis. Maar ze hebben vaak niet goed nagedacht over de beveiliging ervan. Tel je daarbij op dat je door de AVG moet kunnen aantonen dat je voldoende technische en organisatorische maatregelen hebt genomen om die gegevens te beschermen, dan heb je plotseling wel wat te doen.
Hoe kan je dat concreet aantonen dan?
Nou: als eerste inventariseer je welke gegevens je registreert. Je inventariseert hoe je dat doet, hoe je die gegevens vastlegt, wie daar bij kan, met welke partijen jij die gegevens deelt. Dat soort dingen. Vervolgens bekijk je per stap: wat is nou het risico dat ik, of iemand anders met wie ik die gegevens deel, kwijtraak? Wat is het risico dat anderen onbevoegd toegang kunnen krijgen tot de gegevens waar ik verantwoordelijk voor ben? Als je dat gedaan hebt, dan heb je een register van verwerkingen opgesteld, plus een risico-analyse uitgevoerd. Vervolgens moet je iets doen met die risico’s. En moet je – als je gegevens uit handen geeft waar jij verantwoordelijk voor bent – met die ander een verwerkingsovereenkomst sluiten.
Wat is dat – een verwerkingsovereenkomst?
Een verwerkingsovereenkomst moet je afsluiten als je persoonsgegevens waar jij verantwoordelijk voor bent uit handen geeft. Bijvoorbeeld doordat je ze deelt met een dienstverlener waar jij mee samenwerkt. Of bijvoorbeeld doordat je gegevens opslaat in de cloud of in een verzuimsysteem zoals Track Verzuim dat door anderen wordt beheerd. In zo’n overeenkomst leg je vast dat die ander jouw gegevens moet beschermen, dat hij ze niet mag gebruiken voor iets anders, dat hij ze later moet vernietigen, dat soort dingen. Want jij blijft verantwoordelijk voor die gegevens.
Als iemand jou als dienstverlener een verwerkingsovereenkomst voorlegt. Kan je die dan zo maar tekenen?
Nee. Dat is niet verstandig. Eerst moet je beoordelen over welke gegevens we praten en wie de verwerkingsverantwoordelijke is? Is er wel een noodzaak om zo’n overeenkomst te tekenen? Daarnaast bevatten zulke overeenkomsten soms ook onevenwichtige boeteclausules, aansprakelijkheden, kettingbedingen. Het is verstandig – als de noodzaak daartoe bestaat – je eigen format te ontwikkelen en niet zo maar een overeenkomst van een klant te tekenen.
Wat is eigenlijk een ‘datalek’?
Er is sprake van een datalek als anderen onbevoegd kennis genomen hebben van vertrouwelijke persoonsgegevens. Of als je dat niet kan uitsluiten. Dan kan je natuurlijk denken aan een ‘hack’. Maar veel meer voor de hand ligt: de beveiliging in de software of werkprocessen is niet op orde. De ene klant kan bij de gegevens van de andere.
Dit artikel is een weergave van een interview met Klaas van der Galiën, directeur van Track Software en is eerder gepubliceerd en te lezen op de website van Track Software.