Het ABC van de AVG

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Wat betekent dat voor het werk van klantmanagers? Daarover ging de goed bezochte lezing op 20 februari 2018, georganiseerd door de BvK in samenwerking met de HAN. Een verslag, met dank aan input van klantmanager Moja Heijne (gemeente Leiden).

AVG

De nieuwe verordening stelt een nieuw kader omtrent gegevensbescherming voor de 28 staten van de EU. De verordening moet nog ‘vertaald’ worden naar een uitvoeringswet. De AVG versterkt de rechten van de burger. Hiernaast wordt er strenger toezicht verlangd op instanties die omgaan met persoonsgegevens. Dit brengt meer verplichtingen met zich mee. De AVG heeft een grote reikwijdte met nog veel open en vage begrippen. Er is nog nauwelijks jurisprudentie, wat interpretatie van deze begrippen openlaat.

Rechten van de burger

De rechten van de burger worden uitgebreid:

• Zij kunnen toegang tot hun data verzoeken.
  
• Zij kunnen de reden opvragen waarom gegevens worden opgevraagd én kunnen hiertegen bezwaar maken.
  
• Hiernaast kunnen zij verzoeken om data (gegevens) over te dragen of te laten verwijderen.
  
• De burger kan bij de Autoriteit Persoonsgegevens een klacht indienen over de manier waarop een gemeente met zijn gegevens omgaat. De Autoriteit Persoonsgegevens is dan verplicht deze klacht te behandelen en de gemeente een passende (geld)boete op te leggen.

Hoge zorgplicht gemeente

Binnen de gemeente werken wij met ‘gevoelige persoonsgegevens’ en hiervoor geldt een hoge zorgplicht. Dit betekent dat wij extra goed moeten vastleggen wáárom wij bepaalde gegevens nodig hebben en verwerken. De persoon die deze gegevens verwerkt, is tevens eindverantwoordelijke en kan aansprakelijk gesteld worden.

In een ABC'tje

Spreker Sébastien Daniels omschrijft de AVG als 300 pagina’s stoffige wetgeving die samengevat kunnen worden in een ABC’tje.

1. Verwerkingsgrond “alles mag… tenzij”

1. geen toestemming
2. geen overeenkomst
3. geen wettelijke plicht voor het opvragen van gegevens
4. geen publiekrechtelijke macht

↓↓

2. Verzameldoel

Is er een welbepaald, rechtvaardig én vooral uitdrukkelijk omschreven verzameldoel?
'Met welk doel, bijvoorbeeld in de PW, vraag je gegevens op?'
↓↓

3. Bewaren

Niet langer dan nodig. De vraag hierbij is… ‘Wat is buitenproportioneel?’
↓↓

4. Doelbinding

Verdere verwerking van de verkregen gegevens mag niet als dit niet verenigbaar is met het verzameldoel.

Beleid

Het belangrijkste is dat er beleid gemaakt wordt dat ervoor zorgt dat de processen goed ingedeeld zijn. Mocht dit niet aantoonbaar zijn, dan kunnen er (financiële) maatregelen volgen. 

Concreet:

• Gemeenten moeten een risicoanalyse maken van de huidige processen om te kijken of deze nog voldoen aan de AVG.
  
• Gemeenten moeten verwerkersovereenkomsten opstellen met externe partijen. In deze overeenkomsten moet staan welke gegevens uitgewisseld worden en met welk doel.
  
• Er moet bewustwording komen bij het voorkómen van datalekken. Een datalek kan sneller voorkomen dan je misschien zou denken... Kladblok met persoonsgegevens en BSN per ongeluk mee naar huis genomen? Potentieel datalek. Thuiswerken in een ‘onveilige webomgeving’? Potentieel datalek!

Informed consent

Binnen ons werk is ‘vrijwillige toestemming’ vrijwel niet aan de orde. Dit komt omdat er vanuit de PW toch enige dwang wordt uitgeoefend op de betrokkene. Geen stukken/inzage betekent vrijwel altijd… geen uitkering. Om deze reden werd er gesproken over een ‘informed consent’ constructie waarbij de betrokkene geïnformeerd wordt én daarna toestemming geeft voor de verwerking van de stukken. Let op: deze toestemming moet je vastleggen.

Tot slot

Het was een leerzame lezing die gelijk de vinger legde op de pijnlijke plek. Er moet meer gedaan worden aan privacy binnen het sociaal domein. Deze transformatie vraagt betrokkenheid en transparantie.

Reacties van deelnemers

• Dankzij deze lezing weet ik wat de nieuwe privacywetgeving eigenlijk inhoudt!
• Meer bewustwording over het thema gekregen.
• Lezing was nuttig en praktisch!
• Geleerd dat er bij ons nog heel veel moet gebeuren rond privacy...