Wat moeten bestuurders en directies over privacy minimaal weten?

Onze bijdrage over de Functionaris Gegevensbescherming 

De ingangsdatum van het sanctiebeleid en de verantwoordingsplicht

Met als uitgangspunt de Grondwet (artikel 10), worden de belangen van personen (de Betrokkenen) beschermd in de privacywetgeving. Vanaf 1995 in diverse  varianten, met als recente hoogtepunten: de Meldplicht Datalekken (januari 2016) en het uniformeren op Europees niveau (mei 2016):

de Algemene Verordening Gegevensbescherming (AVG)

Voor deze recente versie van de privacy wetgeving, geldt een implementatieperiode tot 25 mei 2018; de datum waarop het sanctiebeleid en de verantwoordingsplicht daadwerkelijk ingaan.



Wie zijn voor u  en uw organisatie de Betrokkenen en wat mogen zij van u verwachten?

Van ondernemers en bestuurders mogen betrokkenen verwachten, dat zij de privacy van hen respecteren en de persoonsgegevens, waarover zij beschikken, aantoonbaar beschermen tegen misbruik en oneigenlijk gebruik door derden.

Betrokkene (degene van wie een organisatie persoonsgegevens verwerkt: klant, abonnee, patiënt, leerling, student, personeelslid, sollicitant, lid (vereniging, geloofsgemeenschap, politieke organisatie), zakelijke relatie en prospect, leverancierscontact/medewerker, inwoners afnemer, sponsor/donateur, vrijwilliger, deelnemer aan enquêtes/onderzoeken, vakbondslid, <16 jarigen, strafrechtelijk geregistreerd, reiziger, enz.

De wettelijke verantwoordingspicht

De AVG legt meer dan voorheen de verantwoordelijkheid bij bestuurders/directie/eigenaren van een organisatie (bedrijfsleven, overheid, non-profit) om aan te tonen dat is voldaan aan de privacyregels. Het kunnen voldoen aan de verantwoordingsplicht (accountability) is een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

Deze verscherping dwingt om goed na te denken over hoe de organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat, bestuurders/directie/eigenaren moeten kunnen aantonen, dat hun verwerkingen aan de regels van de AVG voldoen. Zij zullen door de toezichthouder worden aangesproken en aansprakelijk worden gesteld voor de mogelijke omissies.

Definitie Verwerken (IT en non-IT): verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

De onderneming moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals: rechtmatigheid, transparantie, doelbinding en juistheid. Ook moet worden aangetoond dat, op basis van een beschreven risicoafwegingen, de juiste technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beschermen.

De onderneming is verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens (AP) daar om vraagt. Zorg daarom dat u aan uw verantwoordingsplicht voldoet vanaf 25 mei 2018. 


Verplichte maatregelen

De rol van de Functionaris Gegevensbescherming

Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht (bron AP).

  1. Overheden en publieke organisaties. Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen.
  2. Observatie. Organisaties die vanuit kernactiviteiten op grote schaal individuen volgen, ten behoeve van profilering en regelmatige en stelselmatige observatie. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.  
  3. Bijzondere persoonsgegevens. Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden. Voorbeelden van verwerkingen die niet als grootschalig worden beschouwd: patiëntgegevens door een individuele arts, persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten door een individuele advocaat.

Ad 2. Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met als doel: beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. 

Voorbeelden: beheren telecommunicatienetwerk, leveren telecommunicatiediensten, retargeting via e-mail, marketingactiviteiten op basis van gegevens, profilering en scores toekennen met het oog op risicobeoordeling (bijv. voor: toekenning van een kredietwaardigheidsscore, bepaling van verzekeringspremies, fraudepreventie, detectie van witwaspraktijken), locatietracering, bijv. via mobiele apps, programma's voor klantenbinding, gedrag gerelateerde publiciteit, monitoring van gezondheids- en conditiegegevens via draagbare apparaten, gesloten tv-circuit, gekoppelde apparaten bv. slimme meters, slimme wagens, domotica enz


Voor meer, gedetailleerde informatie over de FG, zie: autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf


De overige verplichte maatregelen die de AVG concreet benoemt

  • Bijhouden van een register van al de verwerkingsactiviteiten van persoonsgegevens.
  • Uitvoeren van een data protection impact assessment (DPIA) voor gegevensverwerkingen met een hoog privacy risico.
  • Bijhouden van een register van datalekken en verstoringen van verwerkingen.
  • Aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer voor een verwerking toestemming nodig is.
  • Wanneer onduidelijk is of u verplicht bent om een Functionaris voor gegevensbescherming aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om al dan niet een FG aan te stellen.

De technische kant

Een omvangrijk en lastig onderdeel van het geheel. Maar de wetgever omschrijft dit in art. 5.1 f en 5.2 als volgt: Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”). En dit ook kunnen aantonen.

Wilt u meer weten over de AVG, of:

  • Privacy en security vraagstukken binnen: bedrijfsvoering, marketing, design (diensten en producten) en boardroom
  • Informatiebeveiliging en Gegevensbescherming
  • De rol van Functionaris Gegevensbescherming
  • Assessments, audits en second opinion
  • Masterclass en workshops
  • Interimmanagement en project management
  • Vlottrekken vastgelopen projecten.



Kennen en herkennen van risico's