Ga naar OnlyHuman home

De AVG gaat over ons allemaal!

Blog

Vanaf 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG)  de nu geldende Wet bescherming persoonsgegevens (Wbp). Voor veel organisaties een typisch geval van ver-van-onze-bed-show, zo blijkt uit het verhaal van Jean Paul van Schoonhoven. Hij is de directeur van Legal2Practice en onze gastspreker op de eerste OnlyHuman Kennissessie van het jaar, bij EMMA op 15 maart.

 

 

De nieuwe AVG nadert snel en we moeten er wat mee. Maar wat? En waarom eigenlijk? En wat gaat het ons persoonlijk aan?

 

De privacy paradox

Nou, alles. Eerst maar even over privacy. Weleens gehoord van de privacy paradox?

Jean Paul: “Vraag de gemiddelde Nederlander hoe belangrijk hij privacy vindt. Heel belangrijk, zal het antwoord zijn. Als iets gratis is stellen we onze gegevens zonder al te veel na te denken ter beschikking. Maar gratis betekent dat jij zelf het product bent. Dat is de privacy paradox.” Elke app komt dus met een prijs.

Wat wij doen is geld waard

We beseffen niet wat we allemaal prijsgeven, aldus Jean Paul: “Ik ben, dus ik word gevolgd.” Alles wat wij doen is geld waard. Bij een bezoek aan Nu.nl zitten er gemiddeld veertig trackers op de site, die ons gedrag bekijken en vervolgens de data verkopen.
Jean Paul: “Dat is op zich misschien niet zo eng, alleen: we weten het niet. We zijn ongeïnformeerd en daardoor nemen we te veel klakkeloos aan. En Assumption is the mother of all fuck ups.”

 

Datalek? Kans op boete

Wat betekent dat nu voor de aankomende AVG?

Jean Paul: “Alles wat te leiden is tot een persoon, is zo’n beetje een persoonsgegeven. Je BSN, naam, kentekennummer, je telefoon. Met de huidige stand van de techniek zijn gegevens eenvoudig te herleiden tot een uniek persoon. De AVG versterkt en breidt de privacyrechten uit, terwijl organisaties meer verantwoordelijkheden krijgen. Denk aan een meldplicht bij datalekken, waar je bovendien een boete voor riskeert. Nog even los van de reputatieschade die het kan opleveren.”

 

Transparantie is verplicht

In de AVG zijn ook een aantal zaken opgenomen die individuen tegenwicht bieden. Zo mag de klant zelf bepalen wat er met zijn gegevens gebeurt. Transparantie is voor organisaties dus een verplichting. Tegelijkertijd laten we fluitend een spoor achter via ons (surf)gedrag op onze devices.

“Bakentechnologie”, zegt Jean Paul, “is als een device dat de hele dag roept: ‘Wie wil er met mij paren?’

En er is altijd wel een wifinetwerk dat wil paren. Met alle mogelijke gevolgen van dien. We zijn naïef te denken dat dat alleen in James Bond films gebeurt. Wij staan erbij, en laten het gebeuren.”

We are being watched”, zegt Gary Kovacs in zijn TedTalk.

 

Tips voor veilig(er) werken

Net zoals flexwerken. Hartstikke leuk en handig, maar het geeft veel grotere risico’s op lekken. “Het gaat goed, zolang het goed gaat”, aldus Jean Paul.

 

Daarom nog wat praktische tips:

  • Gebruik een privacy filter, zeker als je op een openbare plek werkt. Als mensen kunnen meelezen kan dat een schending van de geheimhoudingsplicht zijn.
  • Gebruik geen willekeurige USB-sticks.
  • Gebruik geen open wifinetwerk; gebruik liever je telefoon als hotspot.
  • Gebruik Dropbox en WhatsApp alleen voor niet-vertrouwelijke stukken.
  • Activeer een bitlocker waarmee je gegevens kunt versleutelen.
  • Ga je weg van je werkplek? Vergrendel je scherm.

 


Kennissessie AVG Q&A!

Als bonus hebben we alle aanwezigen bij deze kennissessie in de gelegenheid gesteld vragen te stellen aan Jean Paul. Vragen  omtrent de nieuwe wetgeving, veranderingen in het vakgebied en consequenties die dat tot gevolg kan hebben.

Jean Paul is zo vriendelijk geweest om al deze vragen te beantwoorden.

 

Vraag:

Wat is de impact op mailinglijsten die je in de loop van de tijd samengesteld hebt? Opnieuw toestemming vragen?

Antwoord:

Ja, bij alle verwerkingen waarbij toestemming de grondslag is zul je opnieuw moeten beoordelen of die toestemming voldoet aan de verzwaarde vereisten van de AVG en de verzwaarde informatieplicht.

 

Vraag:

Heeft de invoering van de AVG ook consequenties voor het gebruik van beeld waarop personen staan afgebeeld?

Antwoord:

De regels die vanuit de Wet bescherming persoonsgegevens golden gelden in dit geval nog steeds.

 

Vraag:

Ik werk bij een kennisinstelling en wil alleen kennis delen. Geen commercieel product verkopen. Mag ik visitekaartjes die ik op een event verzamel toevoegen aan mijn mailinglist voor nieuwsbrieven?

Antwoord:

ja dat mag. Door het afgeven van je visitekaartje voor zakelijke doeleinden is het een feit van algemene kennis dat je een nieuwsbrief zou kunnen ontvangen. Toestemming zou hier verondersteld kunnen worden. De waarborg tegen onverenigbaar gebruik is dat de Telecommunicatiewet vereist dat je in elke mailing een opt-out moet worden geboden.

 

Vraag:

Je mag data maar 18 maanden behouden. Moet je vervolgens testimonials van klanten of bijvoorbeeld tweets verwijderen?

Antwoord:

Ik ben onbekend met deze bewaartermijn. Van belang is te weten waar deze termijn op is gebaseerd. Maar als je hebt gecommuniceerd dat je testimonials e.d. maar 18 maanden bewaart, dan moet je ze inderdaad verwijderen na afloop van deze periode.

 

Vraag:

Verwacht je bij invoering AVG een tsunami van mensen die  gegevens gaan opvragen? Zo ja, hoe bereid je je daar op voor? Zo nee, waarom niet?

Antwoord:

Ja dat verwacht ik. Het is een doos van Pandora die bij steeds meer mensen bekend zal worden. Je bereid je er op voor door te inventariseren welke data je hebt van personen, een procedure uitoefening rechten betrokkenen te schrijven, deze te implementeren in je organisatieprocessen en vervolgens te testen op uitvoerbaarheid. Hoe meer dit geautomatiseerd kan, hoe lager de nalevingskosten zullen zijn en hoe hoger het vertrouwen in jouw organisatie.

 

Vraag:

Zijn er verschillen tussen bedrijven, overheden, stichtingen en vrijwilligerswerk vwb de Privacywet?

Antwoord:

Nee, in beginsel niet. Alleen de registerplicht van artikel 30 AVG geldt niet voor organisaties tot 250 medewerkers die ook geen gevoelige of bijzondere persoonsgegevens verwerken.

 

Vraag:

Moet de organisatie voor alle persoonsgericht verwerkingsfuncties een data inventarisatie formulier  maken ?
Antwoord:

Je mag dit bundelen in categorieën van verwerkingen die soortgelijk zijn. Als bundeling niet mogelijk is, moet je elk verwerkingsproces in kaart brengen.

 

Vraag:

In hoeverre mag je een contactpersoon s naam en profiel opslaan, om vervolgens wel via een algemeen telefoonnummer (of info@ email ) contact op te nemen.
Antwoord:

Dat blijft toegestaan zolang het een handmatige handeling betreft en geen geautomatiseerde oproep via een computer.

 

Vraag:

Hoe zit het met AVG in relatie tot eventuele derde partijen die zijn gekoppeld aan een website en gebruik maken van persoonsgegevens. BV een reviewsite, of een aanmeldingssite?
Antwoord:

Daarvan moet je beoordelen of die derden een verwerker zijn, een gezamenlijke verantwoordelijke of een zelfstandig verantwoordelijke. Aan de hand van die beoordeling weet je of je verplicht een ‘verwerkersovereenkomst’ moet afsluiten, een ‘onderlinge regeling’ moet treffen of op een andere wijze een regeling wil treffen over de omgang met persoonsgegevens. Verder zal dit invloed hebben op je informatieplicht van artikel 13 en 14 AVG en de mogelijkheden voor betrokkenen om hun rechten te kunnen uitoefenen (namelijk bij wie en waarvoor).

 

Vraag:

AVG en koude acquisitie? wat moet er geregeld worden?
Antwoord:

Niets anders dan onder de Wet bescherming persoonsgegevens.

 

Vraag:

Wij hebben als organisatie contacten met bepaalde mensen (er is bijvoorbeeld een sales gesprek mee geweest). In hoeverre mogen wij deze personen een update met nieuws sturen? Mag dat met een email nieuwsbrief met vraag tot opt-in vraag of moet je eerst een opt-in regelen voor je ze een update kan sturen?
Antwoord:

Een sales lead mag beschouwd worden als een klant (wordingsproces). Hiervoor geldt de zogeheten ‘soft opt in’ van artikel 11.7 lid 3 Telecommunicatiewet. De AVG brengt hierin geen verandering.