Dossier AVG en privacy

Informatie over de Algemene Verordening Persoonsgegevens (AVG)

Per 25 mei 2018 is de Wet Bescherming Persoonsgegevens vervallen en hebben alle ondernemers te maken met de Algemene Verordening Persoonsgegevens (AVG), in het Engels: de General Data Protection Regulation (GDPR). Ook zelfstandige ontwerpers en ontwerpbureaus moeten op die datum hun privacybeleid op orde hebben, zowel zelfstandigen als bureaus. Voldoe je hier niet aan, dan kan de Autoriteit Persoonsgegevens enorme boetes opleggen van maximaal 20 miljoen euro, of 4% van de wereldwijde jaaromzet (en dan de hoogste van de twee).

Voor wie geldt de AVG?

De AVG geldt voor iedere organisatie, groot of klein, die persoonsgegevens verwerkt.

  • Persoonsgegevens zijn alle gegevens die op zichzelf of in combinatie herleidbaar zijn tot een natuurlijk persoon. Er zijn 'gewone' persoonsgegevens, zoals naam, adres en telefoonnummer. Er zijn 'gevoelige' persoonsgegevens, zoals economische situatie of inloggegevens, en er zijn 'bijzondere' persoonsgegevens, zoals godsdienst, ras, politieke overtuiging, seksueel leven, gezondheid, vakbondslidmaatschap, biometrische gegevens en BSN. (Bijzondere gegevens mag je nooit verwerken, tenzij er een uitzonderingsgrond is).

  • De persoon of organisatie die het doel en de middelen voor het verwerken van persoonsgegevens bepaalt noemen we de verwerkingsverantwoordelijke, of verantwoordelijke. Dit zijn nagenoeg alle bedrijven, overheidsinstanties, stichtingen en kleine zelfstandigen.

  • Iemand die in opdracht van de verantwoordelijke en onder diens instructies persoonsgegevens verwerkt, heet de verwerker. Je kan tegelijkertijd verantwoordelijke en verwerker zijn.

  • De natuurlijke persoon van wie de persoonsgegevens zijn, heet de betrokkene.

Wat verandert er?

  • Belangrijk met de komst van de AVG is de bewustwording rondom privacy.

  • Nieuw is de verantwoordingsplicht of 'accountability'.

  • Betrokkenen krijgen meer en verbeterde rechten. Zo krijgen zij naast de al bestaande rechten op inzage, bezwaar, correctie, en beperking van de verwerking, het nieuwe recht op dataportabiliteit; betrokkenen moeten hun gegevens makkelijk kunnen krijgen en vervolgens door kunnen geven aan een andere organisatie. Daarnaast krijgen betrokken nu ook het recht om vergeten te worden; dit recht houdt in dat organisaties onder bepaalde omstandigheden persoonsgegevens moeten wissen als een betrokkene erom vraagt.

  • Betrokken kunnen klachten indienen bij de Autoriteit Persoonsgegevens (AP) wanneer zij van mening zijn dat er niet correct wordt omgegaan met hun persoonlijkheidsrechten. Nieuw is dat de AP verplicht is om deze klachten in behandeling te nemen.

Verwerking: beginselen en grondslagen

Verwerking is eigenlijk alles wat je met een persoonsgegevens kan doen, van inzien, opslaan, wijzigen tot verwijderen. Het uitgangspunt is dat je ‘gewone’ persoonsgegevens gewoon mag verwerken, als je de beginselen in acht neemt, en een grondslag voor de verwerking hebt. Voor ‘gevoelige’ gegevens geldt hetzelfde, maar zal je meer veiligheidsmaatregelen moeten treffen. Voor ‘bijzondere gegevens’ geldt dat je niet mag verwerken, tenzij er een specifieke wettelijke uitzondering geldt én er een grondslag is die geldt voor het verwerken van ‘gewone’ persoonsgegevens

Je moet altijd de volgende beginselen toepassen (privacy by design en privacy by default, zie ook verderop in dit dossier):

  • wat is het doel?

  • is het noodzakelijk

  • verwerk ik zo min mogelijk gegevens?

  • bewaar ik ze niet langer dan nodig is?

  • zijn de gegevens correct en actueel?

  • zijn de gegevens goed beveiligd?

  • heb ik alles goed gedocumenteerd?

Daarnaast moet je altijd een grondslag kunnen noemen voor de verwerking. De wet noemt er zes, maar voor de ontwerppraktijk zijn er vier van belang:

  • toestemming van de betrokkene (actieve handeling)

  • uitvoering van een overeenkomst

  • gerechtvaardigd belang

  • voldoen aan een wettelijke verplichting

Lees hier meer over verwerking en grondslagen, en hier over de beginselen.

Verantwoordingsplicht en verwerkingsregister

Onder de AVG moet iedere ondernemer die persoonsgegevens verwerkt aan kunnen tonen dat hij/zij aan de privacyregels voldoet. Het verwerkingsregister is onderdeel van deze plicht. Hierin leg je onder meer vast:

  • naam en contactgegevens van de verantwoordelijke,

  • welke persoonsgegevens je van wie ontvangt,

  • voor welk doel,

  • wat je er mee doet,

  • hoe lang je die bewaart,

  • met wie de gegevens worden gedeeld, en

  • hoe de gegevens in je organisatie en technisch zijn beveiligd.

Denk hierbij bijvoorbeeld aan gegevens van je opdrachtgevers en die je via opdrachtgevers van andere betrokkenen ontvangt, gegevens van bezoekers van je website, gegevens van leveranciers en ook gegevens van werknemers. Dat leg je allemaal vast in een verwerkingsregister.

Lees hier meer over het verwerkingsregister.

BNO-leden kunnen hier een voorbeeld verwerkingsregister voor een ontwerppraktijk downloaden.

Rechten betrokkenen en privacystatement

Je moet betrokken personen informeren over wat je met hun gegevens doet, en wat hun rechten zijn (zie hiervoor onder ‘Wat verandert er’). Verzamel je gegevens online aan de hand van cookies, dan moet je ook informeren over welke cookies je gebruikt.

Het advies is dan ook om een privacy- en cookieverklaring of -statement op te stellen en op je website te plaatsen. Zie Vraag & Antwoord voor wat er allemaal in een privacystatement moet staan, of ga meteen naar de online Privacyverklaring generator, die je kan helpen met het opzetten van zo'n statement, inclusief cookieverklaring.

Privacy by design & privacy by default

Het is belangrijk om in je onderneming rekening te houden met deze beginselen van de AVG en deze op de juiste manier toe te passen.

Privacy by design betekent dat je bij het ontwerpen van producten en diensten ervoor zorgt dat niet meer gegevens worden verzameld dan nodig is voor het doel van de verwerking, dat de gegevens niet langer worden bewaard dan nodig, en dat de persoonsgegevens goed worden beschermd. Ook moet alles zo zijn ingericht dat je binnen een redelijke termijn kunt voldoen aan een verzoek van een betrokkene om inzage in al zijn persoonsgegevens te krijgen, of om deze zelfs in een machine-readable bestand over te dragen aan een andere door de betrokkene aan te wijzen partij (recht op inzage en recht op dataportabiliteit).

Privacy by default betekent dat je technische en organisatorische maatregelen neemt om er voor te zorgen dat je standaard alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wil bereiken. Bijvoorbeeld door:

  • een app die je aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;

  • op je website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;

  • als iemand zich op jouw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Kijk voor andere voorbeelden bij Vraag & Antwoord.

Verwerkersovereenkomst

Als ontwerper of ontwerpbureau ben je altijd (verwerkings)verantwoordelijke en soms verwerker. Je bent verantwoordelijk voor de gegevens die je zelf verzamelt en verwerkt, denk aan gegevens van je klanten en opdrachtgevers, van leveranciers, mogelijk van personeel. Wellicht schakel je derden in die in opdracht van jou gegevens verwerken en waarbij jij het doel en de middelen bepaalt, zoals bijvoorbeeld de salarisadministratie of een hostingbedrijf.

Wanneer je persoonsgegevens verwerkt voor een opdrachtgever, waarbij de opdrachtgever het doel en de middelen heeft vastgesteld voor de verwerking van de gegevens, dan ben jij verwerker en is de opdrachtgever de (verwerkings) verantwoordelijke.

In beide gevallen zijn jullie verplicht om een schriftelijke verwerkersovereenkomst te sluiten. De wet schrijft voor dat een aantal onderwerpen altijd geregeld moet zijn. Zie hiervoor deze veelgestelde vraag. Let op: als verantwoordelijke moet jij ervoor zorgen dat er een verwerkersovereenkomst gesloten wordt.

BNO heeft twee voorbeelden van een verwerkersovereenkomst opgesteld (een voor de ontwerper/verantwoordelijke en een voor de ontwerper/verwerker, die allebei in lijn zijn met de AVG. BNO-leden kunnen de verwerkersovereenkomsten hier downloaden.

De verwerkersovereenkomst zal over het algemeen onderdeel zijn van een andere opdracht. In de hoofdopdracht leg je vast wat je daadwerkelijk voor de opdrachtgever gaat doen.

Voorbeeld: bij het offreren / begroten of bevestigen van een opdracht voor het ontwerpen en realiseren van een website of multimedia applicatie kun je de Algemene Voorwaarden BNO van toepassing verklaren, en daarbij de Aanvullende voorwaarden bij interactief multimedia ontwerp. Ga je als opdrachtnemer ook gegevens verwerken omdat de website of app persoonsgegevens bevat, en jij deze ook gaat hosten of onderhouden, dan maak je daarnaast gebruik van de Verwerkersovereenkomst (verwerker).

Meldplicht en register datalekken

In iedere onderneming gaat wel eens iets mis. Als er een inbreuk plaatsvindt en hierbij persoonsgegevens zijn betrokken, is er sprake van een datalek. Er kan moedwillig zijn ingebroken (hack, fishing) maar het kan ook gaan om een kwijtgeraakt of gestolen apparaat/drager, een e-mail met een lijst geadresseerden in een zichtbaar veld i.p.v. in de BCC, of een lijst met contactgegevens die op het kopieerapparaat is blijven liggen. In de AVG zijn aparte bepalingen opgenomen voor datalekken en de meldplicht.

Een datalak moet binnen 72 uur na ontdekking daarvan gemeld worden bij de Autoriteit Persoonsgegevens. Melden kan eenvoudig online. Geen melding hoeft te worden gedaan als het niet waarschijnlijk is dat de inbreuk redelijkerwijs een risico voor rechten en vrijheden van de betrokkenen personen met zich meebrengt.

Als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokken personen, dan moet het datalek ook direct aan de betrokkenen gemeld worden. Denk hierbij onder andere aan identiteitsfraude, discriminatie of reputatieschade.

Van een hoog risico is sprake wanneer de te verwachten gevolgen van het datalek zich met grote waarschijnlijkheid voordoen. Leg de interne procedure hoe binnen je onderneming wordt omgegaan met datalekken vast in een datalekprotocol. Daarnaast moeten alle datalekken (ook als die niet gemeld hoeven te worden) intern geregistreerd worden.

BNO-leden kunnen hier een voorbeeld-register datalekken downloaden. 

Wat moet ik nu als ontwerper of ontwerpbureau concreet doen?

  • Zorg voor bewustzijn over privacy en persoonsgegevens binnen je bedrijf. Heb je werknemers, informeer die dan ook en zorg dat zij op de hoogte zijn van het privacy beleid en het datalek-protocol.

  • Breng alle persoonsgegevens in kaart en leg de verwerking daarvan (doel, middelen, sub-verwerkers, bewaartermijn en beveiliging) vast in een verwerkingsregister.

  • Maak een datalek-register aan en leg ieder beveiligingsincident daarin vast. Heb je werknemers, stel dan een datalek-protocol op.

  • Stel een privacy- en cookiestatement op en informeer daarmee de betrokkenen over je privacybeleid en de getroffen organisatorische en technische maatregelen.

  • Sluit verwerkersovereenkomsten met partijen die of verantwoordelijk zijn (en jij bent verwerker) of verwerker zijn (en jij bent verantwoordelijk).

Zie verderop in dit dossier bij Handige documenten van MKB-Nederland de linkjes naar twee overzichtelijke infographics met stappenplannen voor een verwerker en voor een verantwoordelijke.

Kan ik dit uitstellen?

Nee, de Autoriteit Persoonsgegevens laat er geen onduidelijkheid over bestaan; je moet vanaf 25 mei 2018 aan kunnen tonen op welke manier je binnen je onderneming aan de AVG voldoet. Natuurlijk kan het zijn dat in de loop van de tijd de Autoriteit Persoonsgegevens met nuanceringen gaat komen en bepaalde verplichtingen voor kleinere ondernemers afzwakt, maar vooralsnog moet iedereen die met persoonsgegevens werkt aan de slag.

Dus, haal diep adem en begin er gewoon aan. Het kost even tijd, maar met de beschikbare hulpmiddelen en BNO Advies op de achtergrond, hoef je niet het wiel uit te vinden. Vergeet niet om alles regelmatig bij te houden en te updaten.

10 stappenplan en AVG-regelhulp

De Autoriteit Persoonsgegevens heeft op zijn website een uitgebreid dossier aangelegd ter voorbereiding op de AVG met handige tips en tools.

Er is een 10-stappenplan en wekelijks worden de drie meest gestelde vragen beantwoord.

Ondernemend Nederland (RVO) heeft een AVG-regelhulp ontwikkeld, een interactieve tool waarbij je praktisch advies op maat krijgt wat je nog moet doen om te voldoen aan de verplichtingen uit de AVG.

Masterclass privacy en datalekken voor ontwerpers

Wij hebben in samenwerking met Van der Steenhoven advocaten een aantal masterclasses verzorgd over de nieuwe privacy wet- en regelgeving voor ontwerpers en ontwerpbureaus. BNO-leden kunnen de powerpoint-presentatie van deze Masterclass inclusief tips van een ethical hacker hier downloaden.

Wat doet de BNO voor mij?

Naast het organiseren van de Masterclasses, hebben wij hebben de meest relevante informatie voor ontwerpers bij elkaar gezocht en maken wij dat via dit dossier en onze website toegankelijk. Daarnaast zijn onze adviseurs van BNO Advies altijd beschikbaar voor eerstelijns advies. Dat houdt in dat wij hulp op de achtergrond geven om je verder op weg te helpen. Neem hiervoor contact op met Kim Braber of Anouk Siegelaar

50% BNO-korting op online AVG-programma voor MKB-bedrijven. 

Voor concrete hulp bij de implementatie van de wet en bij het vastleggen en beschrijven van hoe je omgaat met persoonsgegevens kun je gebruik maken van het online programma van AVG voor het MKB. In dit programma vind je een 15-stappenplan wat je aan de hand van invulformulieren, toelichtingen en instructievideo's helpt bij het inrichten en vastleggen van je privacybeleid. Met het programma zie je geen onderdelen van de wettelijke verplichtingen over het hoofd. Als je alle stappen hebt doorlopen, heb je aangetoond dat je voldoet aan de eisen die wet stelt. Het programma is gebruiksvriendelijk en ontdaan van moeilijke juridische taal. Je kunt je ook aanmelden voor invulsessies. Kijk hier voor meer informatie. 

BNO-leden ontvangen 50% korting op gebruik van het online programma. De kosten voor het gebruik van het AVG-programma hangen af van de omvang van je bedrijf en het aantal medewerkers (vanaf 125 euro per jaar). Kijk hier voor het overzicht. 

De bijdrage kan worden gezien als een abonnement. Je houdt als gebruiker van het AVG-programma permanent toegang tot het online stappenplan. Dat wordt voortdurend aangepast omdat de wetgeving en de uitwerking en voering daarvan nog steeds in beweging is. Zodra er nieuwe ontwikkelingen zijn, wordt het programma hierop aangepast en ontvang je daar automatisch informatie over. Wil je van dit aanbod gebruik maken, dan kun je hier de kortingscode en de link naar de speciale omgeving vinden (hiervoor moet je ingelogd zijn op de site).

Ben je nog geen lid van de BNO en wil je ook gebruik maken van dit aanbod? Meld je dan snel aan

Handige documenten van MKB Nederland

Wil je alles wat in dit dossier geschreven is nog een keer teruglezen, maar dan anders, dan heeft MKB Nederland, waar de BNO bij is aangesloten, een AVG-brochure gepubliceerd, speciaal voor het mkb. In deze brochure wordt zo beknopt mogelijk uitgelegd wat de AVG voor kleine en middelgrote ondernemers betekent. Er wordt uitgelegd wat de regels zijn en hoe je je als ondernemer er aan kunt houden.

Er is dus vooral veel aandacht voor wat gedaan moet worden. In zo duidelijk mogelijke taal.

Er zijn ook twee infographics gemaakt: stappenplan voor de verwerker en stappenplan voor de verantwoordelijke.

Alle downloads en links op een rij

Veelgestelde vragen (alleen voor BNO-leden)