08-05-2018 - Informatie over de AVG en privacy.

Per 25 mei 2018 vervalt de Wet Bescherming Persoonsgegevens en hebben alle ondernemers te maken met de Algemene Verordening Persoonsgegevens (AVG), in het Engels: de General Data Protection Regulation (GDPR). Ook ontwerpbureaus moeten op die datum hun privacybeleid op orde hebben, zowel zelfstandigen als bureaus. Voldoe je hier niet aan, dan kan de Autoriteit Persoonsgegevens enorme boetes opleggen van maximaal 20 miljoen euro, of 4% van de wereldwijde jaaromzet (en dan de hoogste van de twee).

Voor wie geldt de AVG?

De AVG geldt voor iedere organisatie, groot of klein, die persoonsgegevens verwerkt. Persoonsgegevens zijn alle gegevens die op zichzelf of in combinatie herleidbaar zijn tot een natuurlijk persoon. De persoon of organisatie die het doel en de middelen voor het verwerken van persoonsgegevens bepaalt noemen we de verwerkingsverantwoordelijke, of verantwoordelijke. Dit zijn nagenoeg alle bedrijven, overheidsinstanties, stichtingen en kleine zelfstandigen. Iemand die in opdracht van de verantwoordelijke en onder diens instructies persoonsgegevens verwerkt, heet de verwerker. Je kan tegelijkertijd verantwoordelijke en verwerker zijn. De natuurlijke persoon van wie de persoonsgegevens zijn, heet de betrokkene.

Wat verandert er?

Belangrijk onder de AVG is de bewustwording en de documentatieplicht rondom privacy. Ook krijgen betrokkenen meer en verbeterde rechten. Zo krijgen zij naast de al bestaande rechten op inzage, bezwaar, correctie, en beperking van de verwerking, het nieuwe recht op dataportabiliteit; betrokkenen moeten hun gegevens makkelijk kunnen krijgen en vervolgens door kunnen geven aan een andere organisatie. Daarnaast krijgen betrokken nu ook het recht om vergeten te worden; dit recht houdt in dat organisaties onder bepaalde omstandigheden persoonsgegevens moeten wissen als een betrokkene erom vraagt. Betrokken kunnen tot slot klachten indienen bij de Autoriteit Persoonsgegevens (AP) indien zij van mening zijn dat er niet correct wordt omgegaan met hun persoonlijkheidsrechten. Nieuw is dat de AP verplicht is om deze klachten in behandeling te nemen.

Eyeopeners: het eindeloos bewaren van e-mail is meestal in strijd met de (nieuwe) regels; deze bevatten immers naam- en adresgegevens, en worden vaak langer bewaard dan nodig is. En wist je dat je wel mag vastleggen dat een werknemer zich ziek meldt, maar dat je daarbij alleen de noodzakelijke informatie mag vastleggen en dat je bijvoorbeeld de e-mail waarin hij/zij meedeelt dat migraine de oorzaak van de ziekte is, direct moet verwijderen? Vastleggen of bewaren van dat soort medische gegevens is uit den boze!

Verantwoordingsplicht en verwerkingsregister

Als ondernemer moet je aan kunnen tonen dat je in overeenstemming handelt met de AVG en dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen. Om aan deze verantwoordingsplicht te voldoen, moet je o.a. een register met verwerkingsactiviteiten bijhouden. 

Het kan een behoorlijke klus zijn om in kaart te brengen welke persoonsgegevens je van wie ontvangt voor welk doel, wat je er mee doet, hoe lang je die bewaart, met wie de gegevens worden gedeeld en hoe de gegevens zijn beveiligd. Denk hierbij bijvoorbeeld aan gegevens van je opdrachtgevers en die je via opdrachtgevers van andere betrokkenen ontvangt, gegevens van bezoekers van je website, gegevens van leveranciers en ook gegevens van werknemers. Dat kun je vastleggen in een verwerkingsregister. Onder de AVG moet iedere ondernemer die persoonsgegevens verwerkt aan kunnen tonen dat hij/zij aan de privacyregels voldoet. Het verwerkingsregister is onderdeel van deze plicht. 

Lees hier meer over het verwerkingsregister.
BNO-leden kunnehier een voorbeeld verwerkingsregister voor een ontwerppraktijk downloaden.

Privacystatement

Ook moet je betrokken personen informeren over wat je met hun gegevens doet, en wat hun rechten zijn zoals dat ze recht hebben op inzage, wijziging en verwijdering van hun gegevens. Verzamel je gegevens online aan de hand van cookies, dan moet je ook informeren over welke cookies je gebruikt. Het advies is dan ook om een privacy- en cookieverklaring of -statement op te stellen. 

Online vind je een goede Privacyverklaring generator die je kan helpen met het opzetten van zo'n statement, inclusief cookieverklaring, dat je vervolgens op je website kan zetten. 

Privacy by design & privacy by default

Het is belangrijk om in je onderneming rekening te houden met de AVG en deze op de juiste manier toe te passen. Privacy by design betekent dat je bij het ontwerpen van producten en diensten ervoor zorgt dat niet meer gegevens worden verzameld dan nodig is voor het doel van de verwerking, dat de gegevens niet langer worden bewaard dan nodig, en dat de persoonsgegevens goed worden beschermd. Ook moet alles zo zijn ingericht dat je binnen een redelijke termijn kunt voldoen aan een verzoek van een betrokkene om inzage in al zijn persoonsgegevens te krijgen, of om deze zelfs in een machine-readable bestand over te dragen aan een andere door de betrokkene aan te wijzen partij (recht op inzage en recht op dataportabiliteit). Privacy by default betekent dat je technische en organisatorische maatregelen neemt om er voor te zorgen dat je standaard alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wil bereiken. 

Zie voor voorbeelden onze FAQ.

Verwerkersovereenkomst

Wanneer je persoonsgegevens verwerkt voor een opdrachtgever, waarbij de opdrachtgever het doel en de middelen heeft vastgesteld voor de verwerking van de gegevens, dan ben jij verwerker en is de opdrachtgever de (verwerkings)verantwoordelijke. Jullie zijn dan verplicht om een schriftelijke verwerkersovereenkomst te sluiten. Daarin moet een aantal onderwerpen vastgelegd worden, zoals:

  • een algemene beschrijving, dat de verwerking uitsluitend plaats vindt op basis van de schriftelijke instructies van de verantwoordelijke, 
  • dat de personen die in dienst zijn van of werkzaam zijn voor de verwerker een geheimhoudingsplicht hebben, 
  • welke passende technische en organisatorische maatregelen zijn getroffen om de verwerking te beveiligen, 
  • dat sub-verwerkers alleen ingeschakeld mogen worden na schriftelijke toestemming van de verantwoordelijke en alleen onder dezelfde verplichtingen als de verwerker zelf heeft, 
  • dat de verwerker medewerking verleent aan verzoeken van betrokkenen die hun privacyrechten uitoefenen,
  • het melden van datalekken,
  • het retourneren of verwijderen van de gegevens na afloop van de overeenkomst,
  • het meewerken aan audits.

BNO heeft een voorbeeld van een verwerkersovereenkomst opgesteld, die volledig in lijn is met de AVG. BNO-leden kunnen de verwerkersovereenkomst hier downloaden. 

De verwerkersovereenkomst zal over het algemeen onderdeel zijn van een andere opdracht, zoals bijvoorbeeld het ontwerpen en realiseren van een website of multimedia applicatie. In die (hoofd)opdracht leg je vast wat je daadwerkelijk voor de opdrachtgever gaat doen. Bij het offreren / begroten of bevestigen van die opdracht kun je de Algemene Voorwaarden BNO (2013) van toepassing verklaren, en daarbij de Aanvullende voorwaarden bij interactief multimedia ontwerp (2018).

Meldplicht en register datalekken

In iedere onderneming gaat wel eens iets mis. Als er een inbreuk plaatsvindt en hierbij persoonsgegevens zijn betrokken, is er sprake van een datalek. Er kan moedwillig zijn ingebroken (hack, fishing) maar het kan ook gaan om een kwijtgeraakt of gestolen apparaat/drager, een e-mail met een lijst geadresseerden in een zichtbaar veld i.p.v. in de BCC, of een lijst met contactgegevens die op het kopieerapparaat is blijven liggen. In de AVG zijn aparte bepalingen opgenomen voor datalekken en de meldplicht.

Een datalak moet binnen 72 uur na ontdekking daarvan gemeld worden bij de Autoriteit Persoonsgegevens. Geen melding hoeft te worden gedaan als het niet waarschijnlijk is dat de inbreuk redelijkerwijs een risico voor rechten en vrijheden van de betrokkenen personen met zich meebrengt. Als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokken personen, dan moet het datalek ook direct aan de betrokkenen gemeld worden. Denk hierbij onder andere aan identiteitsfraude, discriminatie of reputatieschade. Van een hoog risico is sprake wanneer de te verwachten gevolgen van het datalek zich met grote waarschijnlijkheid voordoen. Leg de interne procedure hoe binnen je onderneming wordt omgegaan met datalekken vast in een datalekprotocol. Daarnaast moeten alle datalekken (ook als die niet gemeld hoeven te worden) intern geregistreerd worden.

BNO-leden kunnen hier een voorbeeld-register datalekken downloaden. 

10 stappen-plan en AVG-Regelhulp

De Autoriteit Persoonsgegevens heeft op zijn website een uitgebreid dossier aangelegd ter voorbereiding op de AVG met handige tips en tools.

Er is een 10-stappenplan en wekelijks worden de drie meest gestelde vragen beantwoord.

Ondernemend Nederland (RVO) heeft een AVG-regelhulp ontwikkeld, een interactieve tool waarbij je praktisch advies op maat krijgt wat je nog moet doen om te voldoen aan de verplichtingen uit de AVG.

Wat moet ik nu als ontwerper of ontwerpbureau concreet doen?

  • Zorg voor bewustzijn over privacy en persoonsgegevens binnen je bedrijf. Heb je werknemers, informeer die dan ook en zorg dat zij op de hoogte zijn van het privacy beleid en het datalek-protocol.
  • Breng alle persoonsgegevens in kaart en leg de verwerking daarvan (doel, middelen, sub-verwerkers, bewaartermijn en beveiliging) vast.
  • Maak een datalek-register aan en leg ieder beveiligingsincident daarin vast. Heb je werknemers, stel dan een datalek-protocol op.
  • Stel een privacy- en cookiestatement op en informeer daarmee de betrokken over je privacybeleid en de getroffen organisatorische en technische maatregelen.
  • Sluit verwerkersovereenkomsten met opdrachtgevers die jou in het kader van een opdracht persoonsgegevens laten verwerken, waarvan zij de verantwoordelijke zijn en waarvan zij het doel en de middelen bepalen.

Kan ik dit uitstellen?

Nee, de Autoriteit Persoonsgegevens laat er geen onduidelijkheid over bestaan; je moet vanaf 25 mei 2018 aan kunnen tonen op welke manier je binnen je onderneming aan de AVG voldoet. Natuurlijk kan het zijn dat in de loop van de tijd de Autoriteit Persoonsgegevens met nuanceringen gaat komen en bepaalde verplichtingen voor kleinere ondernemers afzwakt, maar vooralsnog moet iedereen die met persoonsgegevens werkt aan de slag.

Dus, haal diep adem en begin er gewoon aan. Het kost even tijd, maar met de beschikbare hulpmiddelen en BNO Advies op de achtergrond, hoef je niet het wiel uit te vinden. Vergeet niet om alles regelmatig bij te houden en te updaten.

Masterclass privacy en datalekken voor ontwerpers

BNO heeft in samenwerking met Van der Steenhoven advocaten een aantal masterclasses verzorgd over de nieuwe privacy wet- en regelgeving voor ontwerpers en ontwerpbureaus. Houd de nieuwsbrief en agenda in de gaten voor een herhaling van deze masterclass. BNO-leden kunnen de powerpoint-presentatie van deze Masterclass inclusief tips van een ethical hacker hier downloaden. 

Wat doet de BNO voor mij?

Naast het organiseren van de Masterclasses, hebben wij hebben de meest relevante informatie voor ontwerpers bij elkaar gezocht en maken wij dat via dit dossier en onze website toegankelijk. Daarnaast zijn de adviseurs van BNO Advies altijd beschikbaar voor eerstelijns advies. Dat houdt in dat wij hulp op de achtergrond geven om je verder op weg te helpen. Neem hiervoor contact op met Kim Braber (kim@bno.nl) of Anouk Siegelaar (anouk@bno.nl).

50% BNO-korting op online AVG-programma voor MKB bedrijven

Voor concrete hulp bij de implementatie van de wet en bij het vastleggen en beschrijven van hoe je omgaat met persoonsgegevens kun je nu gebruik maken van het online programma van AVG voor het MKB. In dit programma vind je een 15-stappenplan wat je aan de hand van invulformulieren, toelichtingen en instructievideo's helpt bij het inrichten en vastleggen van je privacybeleid. Met het programma zie je geen onderdelen van de wettelijke verplichtingen over het hoofd. Als je alle stappen hebt doorlopen, heb je aangetoond dat je voldoet aan de eisen die wet stelt. Het programma is gebruiksvriendelijk en ontdaan van moeilijke juridische taal. Je kunt je ook aanmelden voor invulsessies. Kijk op hier voor meer informatie. 

BNO-leden ontvangen 50% korting op gebruik van het online programma. De kosten voor het gebruik van het AVG-programma hangen af van de omvang van je bedrijf en het aantal medewerkers (vanaf 125 euro per jaar). Kijk hier voor het overzicht. 

De bijdrage kan worden gezien als een abonnement. Je houdt als gebruiker van het AVG-programma permanent toegang tot het online stappenplan. Dat wordt voortdurend aangepast omdat de wetgeving en de uitwerking en voering daarvan nog steeds in beweging is. Zodra er nieuwe ontwikkelingen zijn, wordt het programma hierop aangepast en ontvang je daar automatisch informatie over. Wil je van dit aanbod gebruik maken, dan kun je hier de kortingscode en de link naar de speciale omgeving vinden (hiervoor moet je ingelogd zijn op de site).

Ben je nog geen lid van de BNO en wil je ook gebruik maken van dit aanbod? Meld je dan snel aan! 

Alle downloads en links op een rij

Dossier voorbereiding op de AVG van de Autoriteit Persoonsgegevens (info) 
10 stappenplan (download)
AVG-regelhulp (online tool)
Verwerkingsregister (info)
Voorbeeld verwerkingsregister voor een ontwerppraktijk (download)* 
Voorbeeld verwerkersovereenkomst (download) * 
Aanvullende voorwaarden bij interactief multimedia ontwerp (2018) (download) * 
Meldplicht datalekken (info) 
Voorbeeld datalekregister (download) *
Privacyverklaringgenerator (online tool)
Powerpoint-presentatie Masterclass inclusief tips ethical hacker (download) *
Handleiding Algemene Verordening Gegevensbescherming (AVG) van het Ministerie van Justitie en Veiligheid (info/download) 

(* alleen voor BNO-leden)

Lees meer:

FAQ - Ben ik als ontwerper of ontwerpbureau verantwoordelijke in de zin van de AVG? *
FAQ - Ben ik als ontwerper of ontwerpbureau verwerker in de zin van de AVG? *
FAQ - Als ik een gezondheidsapp ontwikkel voor een opdrachtgever, ben ik dan verwerker? *
FAQ - Als ik visitekaartjes ontwerp voor een opdrachtgever, ben ik dan verwerker? *
FAQ - Moet ik een verwerkersovereenkomst sluiten met de drukker? *
FAQ - Ben ik verwerker als ik de hosting van een website verzorg voor een opdrachtgever?*
FAQ - Moet ik voor iedere opdracht een aparte verwerkers- of sub-verwerkersovereenkomst sluiten? *

(* alleen voor leden van de BNO) 

AVG en privacy op de BNO website