Veelgemaakte fouten m.b.t. de AVG

Helaas zie ik in de praktijk dat er nog veel misvattingen zijn over de AVG, en dat er ook veel onjuiste informatie te vinden is op het internet. Als u besluit om het voldoen aan de wetgeving in eigen hand te nemen, dan raad ik u aan om enkel op de informatie van de Autoriteit Persoonsgegevens af te gaan. En de tekst van de wet natuurlijk. (Die vind u hier: https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=EN) Onderstaande websites zijn beide van de AP:

https://hulpbijprivacy.nl/

https://autoriteitpersoonsgegevens.nl/

Hieronder een lijst van veelgemaakte fouten die ik in de praktijk gezien heb.

“Een privacyverklaring is alleen nodig als de organisatie / onderneming een website heeft”

Onjuist. Als uw organisatie papieren facturen verstuurd of pinbetalingen accepteert heeft u al een privacyverklaring nodig. U verwerkt zo immers persoonsgegevens.

Veel onduidelijkheid over verwerkingsregister

Veel bedrijven die een verwerkingsregister zouden moeten hebben blijken niet op de hoogte van de verplichting. En ik zie ook websites die beweren dat het hebben van een verwerkingsregister altijd verplicht is. Dus hoe zit dat nou? Het staat er toch vrij duidelijk, in artikel 30, lid 5: Het bijhouden van een verwerkingsregister is niet verplicht voor bedrijven of organisaties die minder dan 250 personen in dienst hebben, tenzij er gegevens verwerkt worden die een verhoogd risico inhouden (de gegevens zoals bedoeld in artikel 9 en 10), zoals bijvoorbeeld ras, religie, seksuele geaardheid e.d. Artikel 10 gaat over de verwerking van strafrechtelijke gegevens, niet bepaald de corebusiness van de meeste ondernemingen. Dus voor de gemiddelde éénpitter of kleine MKB onderneming is een verwerkingsregister niet verplicht.

Mijn advies zou echter zijn om er wel degelijk eentje te maken, voor uzelf. Dat kan gewoon een Excel zijn met 4 kolommen (aard van de gegevens, reden van verwerking, juridische grondslag, en bewaartermijn). Deze lijst is dan heel handig bij het maken van uw privacy verklaring. Verder zou ik aanraden een lijst te maken van alle verwerkers die u gebruikt, en welke gegevens zij voor u verwerken (per verwerker).

Verwerkers vergeten

In de praktijk zie je vaak dat verwerkers niet goed in kaart zijn gebracht. Er is dan bijvoorbeeld wel gedacht aan de accountant, maar bijvoorbeeld het hostingbedrijf van de website, of PostNL voor het bezorgen van pakjes worden vergeten. Gebruikt u Google Analytics op uw website? Dan moet u ook een verwerkingsovereenkomst afsluiten met Google. Heeft u al uw bedrijfsgegevens op uw Apple laptop en synchroniseert u onder het mom van “backup” uw hele harde schijf met Apple’s iCloud? Dan moet u een verwerkingsovereenkomst afsluiten met Apple.

Instemming vragen

Een privacyverklaring is een eenzijdige verklaring en geen overeenkomst. Het doel van een privacyverklaring is de betrokkene(n) te informeren. Dit betekent dat u, in tegenstelling tot bij de algemene voorwaarden, geen toestemming of akkoord hoeft te vragen op uw privacyverklaring. Dit is iets wat ik op veel websites zie terugkomen, een aanvinkvakje met “ik ga akkoord met de privacyverklaring”. Zoiets is onnodig, en jurdisch gezien heeft het nul waarde. Ik zie deze fout zelfs gemaakt worden in privacyverklaringen van “AVG adviesbureaus” en bij enkele advocatenkantoren.

Niet goed weten wat een datalek is

Voor de AVG is een datalek niet alleen het op straat komen te liggen van persoonlijke gegevens. De AVG ziet ook het onrechtmatig verwerken of wissen van gegevens als een datalek. Een aantal concrete voorbeelden van datalekken:

  • verlies van een USB-stick;
  • diefstal van een mobiele telefoon of laptop;
  • een hack van uw netwerk of PC;
  • het delen van persoonsgegevens met een partij waarmee u geen verwerkingsovereenkomst hebt gesloten;
  • persoonsgegevens blijken ook toegankelijk voor niet-geautoriseerde personen;
  • verlies van gegevens door ransomware;
  • het versturen van vertrouwelijke gegevens naar een verkeerd post- of mailadres;
  • patiënt- of personeelsgegevens, bij het oud papier in een niet-beveiligde papierbak;
  • per ongeluk verkeerde mensen in de CC van een mail met gevoelige gegevens zetten;
  • en bestand dat zonder de juiste voorzorgsmaatregelen en versleuteling digitaal is verstuurd.

Er moet wel sprake zijn van persoonsgegevens. Verliest u een USB-stick met daarop de blauwdrukken van een nieuw apparaat dat u aan het ontwerpen bent, dan word dit niet aangemerkt als datalek. Er staan immers geen persoonsgegevens op.

U moet alle datalekken in uw organisatie documenteren. Een ernstig datalek moet u melden bij de Autoriteit Persoonsgegevens. In de meest ernstige gevallen zult u ook de betrokkenen moeten inlichten (dit is een afweging die los staat van de afweging tot melden bij de AP. U zult moeten inschatten wat de gevolgen voor de betrokkenen kunnen zijn).

Een meldingsplichtig datalek dient binnen 72 uur gemeld te worden bij de Autoriteit Persoonsgegevens. Een formulier om melding te doen vind u hier: https://datalekken.autoriteitpersoonsgegevens.nl/

Vergeten om rechten van betrokkenen te vermelden in de privacyverklaring

De AVG verplicht u betrokkenen te wijzen op hun rechten in uw privacyverklaring. Het gaat dan om de rechten zoals vastgelegd in artikel 15 t/m 20, te weten:

  • Recht van inzage van de betrokkene
  • Recht op rectificatie
  • Recht op gegevenswissing („recht op vergetelheid”)
  • Recht op beperking van de verwerking
  • Recht op overdraagbaarheid van gegevens

Bij recht op gegevenswissing moet u natuurlijk goed uitkijken dat u geen gegevens wist die onder een wettelijke verplichting vallen (zoals bijv. recente facturen, die mag u niet wissen).

Eigenaar stelt zichzelf aan als Functionaris Gegevensbescherming

Al meerdere keren gezien dat een zzp-er of eigenaar van een klein bedrijf zichzelf aanstelde als FG in de privacyverklaring. Dit kan niet, want de FG hoort een onafhankelijke rol te zijn. Ook het aanstellen van bijv. hoofd ICT als FG is niet toegestaan. Grappig is dat in alle gevallen dat ik dit gezien heb gold dat de organisatie helemaal geen FG hoefde aan te stellen.

Als je als eenmanszaak toch een FG wil aanstellen, is de enige oplossing een externe FG in te huren. Bijv. via IT & meer.