Algemene Verordening Gegevensbescherming: wat betekent dit voor mediators?

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing op een ieder die persoonsgegevens verwerkt. De AVG brengt meer verplichtingen mee voor iedere organisatie die persoonsgegevens verwerkt. Een belangrijke verandering is dat de AVG van organisaties eist dat ze zelf kunnen aantonen dat ze zich aan de wet houden (‘accountability’). Dit komt tot uiting in de verantwoordingsplicht: ze moeten met documenten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Ook als zelfstandig werkende mediator kunt u te maken krijgen met nieuwe of gewijzigde verplichtingen met betrekking tot het verweken van persoonsgegevens. Wij attenderen u daarom op een aantal zaken die voortvloeien uit de AVG. 

1. Het bijhouden van een verwerkingsregister

De AVG verplicht organisaties die persoonsgegevens verwerken een verwerkingsregister bij te houden. Er geldt echter een uitzondering voor organisaties met minder dan 250 werknemers. Die organisaties hoeven geen register bij te houden voor incidentele verwerkingen, maar wel voor alle structurele verwerkingen. Nu is het de vraag wat valt onder incidentele verwerkingen. Is bijvoorbeeld het bijhouden van persoonsgegevens ten behoeve van het versturen van maandelijkse facturen incidenteel?

Nu de Autoriteit Persoonsgegevens (AP) over de reikwijdte van de uitzondering nog geen duidelijkheid heeft verschaft, is het advies aan de mediators wel een register bij te houden, om altijd achteraf te kunnen aantonen dat de AVG wordt nageleefd voor het geval de uitleg daarvan nadelig uitpakt.

In het verwerkingsregister staan:

  • de naam en contactgegevens van de organisatie van de mediator
  • de naam en contactgegevens van eventuele medeverantwoordelijken
  • de verwerkingsdoeleinden
  • een beschrijving van de categorieën van betrokkenen (degenen over wie persoonsgegevens worden verwerkt) en van de categorieën van persoonsgegevens
  • informatie over doorgiften aan derde landen (zal niet snel aan de orde zijn in het geval van een mediator)
  • de beoogde bewaartermijnen
  • een beschrijving op hoofdlijnen van hoe de gegevens beveiligd zijn

Het register moet desgevraagd aan de AP ter beschikking worden gesteld.

2. ‘Privacy by design’ en ‘privacy by default’

Deze begrippen zullen in de praktijk waarschijnlijk veel vragen oproepen. De praktische betekenis wordt op grond van de AVG niet helemaal duidelijk.

‘Privacy by design’ komt neer op het volgende: de technische systemen waar de mediators gebruik van maken, moeten van meet af aan zo worden ingericht dat deze privacy-vriendelijk zijn, dus geschikt om gegevens op de juiste wijze te beschermen. Dit betekent dat zo min mogelijk persoonsgegevens worden verwerkt, dat zo min mogelijk personen er toegang toe hebben en de gegevens zo kort mogelijk worden bewaard. De bedoeling is dat privacy vanaf het begin in het proces wordt meegenomen door na te denken over de benodigde technische en organisatorische maatregelen en die in te bouwen in processen en systemen (‘privacy by design’). Als mediator dient u dus voor bijvoorbeeld de financiële administratie te kiezen voor software die voldoet aan dit principe.

Een voorbeeld van ‘privacy by design’ is een systeem dat gegevens automatisch verwijdert op het moment dat de bewaartermijn ervan verstrijkt.

Ook de betekenis van het begrip ‘privacy by default’ wordt niet duidelijk omschreven in de AVG. Het komt op het volgende neer: het systeem is, als de ‘privacy by design’ is toegepast, al privacy-bestendig vormgegeven, maar zal mogelijk verschillende instellingen kennen die op een meer of minder privacy-vriendelijke stand kunnen worden gezet. Het beginsel van ‘privacy by default’ leidt er dan toe dat de meest privacy-vriendelijke instelling aan moet staan. Een voorbeeld: een instelling die ertoe leidt dat zo min mogelijk personen toegang hebben tot de persoonsgegevens.

3. Informatiebeveiliging

Als mediator moet u ervoor zorgen dat u een goed informatiebeveiligingssysteem heeft.

4. Op de juiste manier toestemming vragen

Iedere verwerking van persoonsgegevens, moet de verwerkingsverantwoordelijke kunnen baseren op een van de in de wet genoemde grondslagen. Een van die grondslagen is: “de verwerking is nodig om een overeenkomst met de betrokkene voor te bereiden of uit te voeren.” Zo zal u als mediator de adresgegevens van de partijen bij de mediation nodig hebben om uw facturen naartoe te sturen. Een andere grondslag is: “aan een wettelijke verplichting voldoen.” De Wwft brengt bijvoorbeeld bepaalde verplichtingen mee die leiden tot het verwerken van persoonsgegevens.

Voor sommige vormen van verwerking zal echter toestemming van de betrokkene nodig zijn. Denk aan het opnemen van de adresgegevens van de betrokkene voor het versturen van een nieuwsbrief. Op grond van de AVG is de toestemming:

  • vrij (betrokkene moet kunnen weigeren)
  • specifiek (het moet de betrokkene weten voor welk specifiek doel zijn toestemming wordt gevraagd)
  • geïnformeerd (de betrokkene moet erop gewezen worden dat hij zijn toestemming altijd weer kan intrekken)
  • ondubbelzinnig
  • actief (uit zwijgen mag geen toestemming worden afgeleid en de betrokkene moet actief aan hokje aankruisen, er mag geen gebruik worden gemaakt van reeds aangevinkte hokjes)
  • controleerbaar

5. Een beleid voor datalekken

De AVG kent een registratieplicht en een meldplicht voor datalekken. Een datalek is een inbreuk op de beveiliging dit leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van, of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Die inbreuk kan per ongeluk zijn.

Als mediator dient u een registratie bij te houden van alle datalekken die u overkomen. Daarin moet ten minste het volgende worden geregistreerd:

  • de details van het datalek
  • de gevolgen die het had voor de betrokkenen
  • de corrigerende maatregelen die de verantwoordelijke heeft genomen

De meldplicht houdt in dat de verantwoordelijke datalekken in veel gevallen moet melden aan de AP en soms ook aan de betrokkenen. Ieder datalek moet gemeld worden bij de AP, tenzij het lek geen risico’s inhoudt voor de rechten en vrijheden van betrokkenen. Dat laatste zal niet snel het geval zijn, dus meestal moet een datalek gemeld worden aan de AP. Een datalek moet ook aan de betrokkenen gemeld worden als het waarschijnlijk een hoog risico meebrengt voor hun rechten en vrijheden. Wanneer dat precies is, maakt de AVG niet duidelijk. Dat zal de praktijk moeten uitwijzen.

Om datalekken te voorkomen, op te sporen en op te lossen verdient het aanbeveling hiervoor een procedure te ontwikkelen.

6. Verwerkersovereenkomst

Maakt u als mediator gebruik van de diensten van een verwerker (die ten behoeve van hem persoonsgegevens verwerkt), dan bent u en de verwerker verplicht een verwerkersovereenkomst op te stellen. Daarin moet onder meer het volgende worden vastgelegd:

  • een omschrijving van het onderwerp, de duur en de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën betrokkenen en de rechten en plichten van de verwerkingsverantwoordelijke
  • de verwerking vindt in principe uitsluitend plaats op basis van de schriftelijke instructies van de mediator
  • in de overeenkomst moeten ook de geheimhouding en de beveiliging geregeld zijn

7. Nieuwe rechten van betrokkene

Als mediator dient u uw privacy-beleid te toetsen op alle nieuwe rechten van de betrokkenen, zoals het recht op vergetelheid. Het recht op vergetelheid houdt in dat organisaties in bepaalde gevallen persoonsgegevens moeten wissen als een betrokkene daarom vraagt. Dat recht geldt niet altijd, maar bijvoorbeeld wel als de organisatie de persoonsgegevens niet meer nodig heeft voor de doeleinden waarvoor de organisatie ze heeft verzameld of als de betrokkene zijn toestemming voor het gebruik van zijn gegevens heeft ingetrokken. Let wel op de bewaartermijnen die voor u gelden.

 

 

 

 

 

 

 

U kunt weer inloggen op het besloten gedeelte van onze website.

Mogelijk kunnen bepaalde onderdelen iets trager werken dan u gewend bent. Hier wordt hard aan gewerkt. Wij vragen om uw begrip.

Een moment geduld alstublieft, het zoeken kan enige tijd duren.