Organisaties maken nogal eens fouten als het gaat om AVG implementatie. Er heersen bepaalde misvattingen, waar we in deze blog op ingaan. Ook bespreken we verschillende implementatiepunten, gaan we in grondslagen voor rechtmatige gegevensverwerking en bespreken we belangen bij het voldoen aan de AVG. Direct vragen over dit onderwerp? Neem dan contact op met ons zodat we een vrijblijvende afspraak kunnen inplannen.

De misvattingen bij het implementeren van de AVG

Met grote regelmaat worden we bij XY Legal Solutions benaderd met vragen over de Algemene Verordening Gegevensbescherming (AVG, of in het Engels: GDPR). Het valt ons dan op dat er nog best wat misvattingen heersen. Zo denken sommige organisaties dat de klus geklaard is met een simpele privacyverklaring. Dit is niet het geval: er komt veel meer bij kijken (zoals je in dit blogartikel zal lezen).

Ook gaat men er nogal eens vanuit dat die ene privacyverklaring een eenvoudig documentje is: “op Google vond ik een generator waar ik de verklaring zelf kon opstellen voor € 50,-! Waarom zou ik dat niet gewoon doen?” of “Ik kopieer er wel eentje van een andere website, dan heb ik het maar staan…”. Allebei niet handig: een privacyverklaring hoort op maat opgesteld te worden voor de betreffende organisatie. Daarnaast komt er überhaupt veel meer bij kijken.

Nu lijken deze misvattingen vaak ook het product te zijn van (lichte) frustratie. Op 25 mei 2018 was die Europese wet daar immers ineens, en ineens moeten er kosten gemaakt worden waar je misschien wel niet op zat (of zit) te wachten. Heel begrijpelijk, maar los van het voldoen aan die wettelijke plicht zijn er ook genoeg andere redenen om te willen voldoen aan de AVG (denk aan ethisch handelen en ‘de uitstraling van jouw organisatie’, zoals verderop ook besproken wordt).

Een aantal zaken op een rij bij voldoen aan de AVG

Als gezegd heerst de opvatting (misvatting) nogal eens dat een enkele privacyverklaring voldoende is om ‘AVG Compliant’ te zijn. Nu willen wij niet wederom een misvatting scheppen en impliceren dat voldoen aan de AVG geregeld is met het nalopen van een checklist (het is immers een continu proces). Maar voor de handigheid noemen we hieronder een aantal zaken waar je aan moet denken, náást die privacyverklaring (niet limitatief):

  • Cookieverklaring (AVG, in samenhang met de Telecommunicatiewet 11.7A ofwel de Cookiewet);
  • Verwerkingsregisters;
  • Register voor datalekken;
  • Eventueel een Data Protection Impact Assessment (DPIA) – een soort risicoanalyse bij verwerking op grote schaal, of bijvoorbeeld bij risicovolle verwerking van persoonsgegevens;
  • Leidraad voor een Functionaris Gegevensbescherming indien die is ingesteld;
  • Interne privacyverklaring;
  • Verwerkersovereenkomsten;
  • Protocol voor datalekken;
  • Voorlichtingen aan medewerkers;
  • Voorlichtingen aan klanten;
  • En meer…

Stel je nu voor, je gaat bezig met de bovenstaande lijst. Is het dan genoeg om ‘beschrijvend’ te werk te gaan? Nee: het enkele beschrijven van de huidige manier van omgang met persoonsgegevens binnen de organisatie is nog steeds niet voldoende. Er moet sprake zijn van rechtmatigheid van de verwerking van persoonsgegevens…

Gegevensverwerking volgens een rechtmatige grondslag: aan de hand van een ‘grappig’ voorbeeld

Artikel 6 lid 1 van de AVG noemt voorwaarden voor rechtmatige verwerking: er is toestemming van de betrokkene (expliciet), de verwerking is noodzakelijk (bijvoorbeeld voor het voldoen aan een overeenkomst), verwerking dient te berusten op een wettelijke plicht (denk aan de plichten met betrekking tot boekhouding),  verwerking is noodzakelijk voor vervulling van een taak van algemeen belang (in het kader van uitoefening van openbaar gezag bijvoorbeeld) of de verwerking is noodzakelijk voor het behartigen van gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde (wanneer deze belangen zwaarder wegen dan de fundamentele grondrechten van de betrokkene).

Het is dus niet alleen een kwestie van het beschrijven van hoe jouw organisatie omgaat met persoonsgegevens: de gegevensverwerking moet rechtmatig zijn op grond van de AVG. Laten we hierbij een ietwat extreem voorbeeld nemen:

Piet gaat naar de feestwinkel omdat het bijna carnaval is. Hij ziet daar een mooie paarse pruik die perfect past bij zijn outfit. Hij loopt met de pruik naar de kassa om deze af te rekenen. Vlak voor het afrekenen vraagt de kassière aan Piet of hij nog even inzicht zou kunnen geven in de medische gegevens van al zijn familieleden. Piet fronst zijn wenkbrauwen en herinnert zich een AVG-training die hij op het werk heeft gehad. Zo onderlegd als hij door die training is, vraagt hij de kassière een rechtmatige grondslag te geven voor deze vorm van gegevensverwerking. “Oh, gewoon”, zegt de kassière, “dat vind ik erg interessant! Ik verzamel deze gegevens zodat ik een blogwebsite kan bijhouden waarop ik mensen informeer over wie precies welke aandoening heeft.” Vanzelfsprekend weigert Piet deze gegevens te verstrekken.

Het bovenstaande voorbeeld laat zien dat het inroepen van grondslagen voor gegevensverwerking niet zomaar kan: de verwerking moet rechtmatig zijn (en op zijn minst logisch). Het verwerken van ten naam gestelde facturen voor het doen van de belastingaangifte is daarmee weer een flinke tegenhanger: verwerking is nu noodzakelijk op grond van een wettelijke plicht.

Met bovenstaande voorbeelden willen we aangeven dat het belangrijk is om er niet zomaar vanuit te gaan dat de manieren van gegevensverwerking binnen jouw organisatie allemaal oké zijn.

Vragen om te stellen over de organisatie bij het implementeren van de AVG

Ga je bezig met AVG implementatie? Zorg dan dat je alvast wat voorbereidend werk verricht door vragen te stellen over de gegevensverwerking die plaatsvindt binnen de organisatie. Een aantal handige vragen (wederom absoluut niet limitatief):

  • Lijken de redenen (grondslagen) voor gegevensverwerking binnen de organisatie logisch?
  • Hebben medewerkers vanaf een eigen computer toegang tot beheeraccounts voor/van klanten? En hoe gaat dit wanneer een medewerker uit dienst treedt?
  • Komt het voor dat medewerkers na uitdiensttreding nog toegang hebben tot ‘de werkmail’?
  • Wordt er gewerkt met een laptop van de zaak, en zo ja; kunnen medewerkers terecht in een beveiligde omgeving?
  • Is er al sprake geweest van AVG voorlichting voor medewerkers?
  • Wat wordt er gedaan wanneer er sprake is geweest van een datalek?

Voldoen aan de AVG belangrijk om verschillende redenen

Het voldoen aan de AVG-wetgeving is om verschillende redenen belangrijk. Natuurlijk is het zo dat de Autoriteit Persoonsgegevens stevige sanctiebevoegdheden heeft. Boetes kunnen oplopen tot in de miljoenen Euro’s. Dit is absoluut een sterke reden om te voldoen aan de AVG: dergelijke risico’s wil je voorkomen. Toch zijn we bij XY Legal Solutions van mening dat dit niet de meest belangrijke reden is. Het voldoen aan de AVG heeft ook sterk te maken met de eigen verantwoordelijkheid; met ethisch handelen. Als organisatie moet je juist willen voldoen aan de AVG omdat klanten en andere betrokkenen hierbij gebaat zijn. Je geeft het juiste signaal af en dit wekt vanzelf weer vertrouwen.

Tijdens verschillende AVG trajecten bij organisaties, evenals bij ISO 27001 werkzaamheden, is ons meermaals opgevallen hoe prettig deze AVG conforme werkwijze wordt ervaren. Betrouwbaarheid en professionaliteit worden uitgestraald en dit levert uiteindelijk veel voordelen op voor een organisatie (grotere deals worden bijvoorbeeld makkelijker gesloten). Daarmee is het serieus nemen van AVG implementatie niet alleen een ethisch juiste keuze: het is ook een waardevolle investering.

De werkwijze van XY Legal Solutions bij AVG implementatie voor bedrijven

Bij XY Legal Solutions ondersteunen we uiteenlopende organisaties met het op de juiste wijze implementeren van de AVG regels. Hierbij volgen we een efficiënte werkwijze:

Stap 1: De 0-meting. Hoe staat het er op dit moment voor? Welke documenten zijn er aanwezig; welke delen van de AVG zijn al dan niet correct geïmplementeerd? Wat is er bekend over de AVG en hoe wordt deze nageleefd binnen de organisatie?

Stap 2: Analyse en planning. Nadat we de nodige informatie hebben van de 0-meting, kunnen we bepalen wat er nodig is voor de organisatie. We plannen de werkzaamheden op een logische manier in, en bereiden toepasselijke vragen voor.

Stap 3: De vragenlijsten en consults. We delen de vragenlijsten, en plannen consults in met de verantwoordelijke personen. Op basis van de ontvangen antwoorden kunnen we aan de slag met stap 4.

Stap 4: Advisering en uitvoering. We adviseren over verbeterpunten, en stellen de benodigde documenten op de correcte manier op voor de organisatie.

Stap 5: We ondersteunen bij het implementeren van de nieuwe AVG-werkwijze. Vervolgens komen we na 6 maanden terug, waarbij we kijken of alles goed is gegaan. Daarna plannen we jaarlijks een afspraak in om alle zaken up-to-date te houden.

Nieuwsgierig naar de mogelijkheden bij AVG implementatie voor jouw organisatie? Een AVG-offerte op maat volgt bij ons altijd na een kosteloos en vrijblijvend oriënterend gesprek. Plan dit gesprek in door het contactformulier in te vullen, of bel direct naar 030 – 227 03 86.

GDPR Implementation: More than just a privacy statement …

Organizations often make mistakes when it comes to GDPR implementation. There are certain misconceptions, which we will discuss in this blog. We also discuss various implementation points, the principles for lawful data processing and we will address the interests in complying with the GDPR. Do you have any direct questions about this topic? Please contact us so that we can schedule a no-obligation appointment.

We are regularly approached at XY Legal Solutions with questions about the General Data Protection Regulation (GDPR, or in Dutch: AVG). We then noticed that there are still quite a few misconceptions. For example, some organizations think that the job is done with a simple privacy statement. This is not the case: there is much more to it (as you will read in this blog article).

It is also often assumed that the privacy statement is just one simple document: “I found a generator on Google where I could draw up the statement myself for € 50! Why shouldn’t I just do that? ” or “I’ll just copy one from another website, then I just have it…”. Neither is handy: a privacy statement should be tailor-made for the organization in question. In addition, there is much more to it than just that.

Now these misconceptions often seem to be the product of (slight) frustration. After all, on May 25, 2018, the European law was suddenly there, and suddenly costs have to be incurred that you may not have been (or are waiting) for. Quite understandable, but apart from complying with that legal obligation, there are also plenty of other reasons for wanting to comply with the GDPR (think of ethical conduct and “the image of your organization”, as discussed below).

A number of things in a row when complying with the GDPR

As mentioned, there is a common belief (misconception) that a single privacy statement is sufficient to be “GDPR Compliant”. Now we do not want to create a misconception again and imply that compliance with the GDPR is regulated by checking off a checklist (after all, it is a continuous process). But for the sake of convenience, below we list a number of things that you should consider, in addition to the privacy statement (not exhaustive):

  • Cookie statement (GDPR, in conjunction with the Telecommunications Act 11.7A also known as the Cookie Act);
  • Processing registers;
  • Register for data leaks; – Possibly a Data Protection Impact Assessment (DPIA) – a type of risk analysis when processing on a large scale, or for example when processing personal data at risk;
  • Guidelines for a Data Protection Officer if one has been established;
  • Internal privacy statement;
  • Processor agreements;
  • Data breach protocol;
  • Information for employees;
  • Information for customers;
  • And more…

Now imagine, you are going to cross of the list above. Is it enough to be “descriptive”? No: simply describing the current way of handling personal data within the organization is still not enough. The processing of personal data must be lawful …

Data processing on a lawful basis: going by a “funny” example

Article 6 paragraph 1 of the GDPR mentions conditions for lawful processing: there is consent from the data subject (explicit), the processing is necessary (for example to fulfill an agreement), processing must be based on a legal obligation (such as the obligations with regard to accounting), processing is necessary for the performance of a task carried out in the public interest (for example in the context of the exercise of official authority) or the processing is necessary for the defense of the legitimate interests of the controller or of a third party (if these interests outweigh the data subject’s fundamental rights).

It is therefore not just a matter of describing how your organization handles personal data: the data processing must be lawful under the GDPR. Let’s take a somewhat extreme example:

Piet goes to the party shop because it is almost carnival. He sees a beautiful purple wig that matches his outfit perfectly. He walks with the wig to the checkout to pay for it. Just before paying, the cashier asks Piet if he could provide some insight into the medical data of all his family members. Piet frowns and remembers a GDPR training he had at work. As educated as he is through that training, he asks the cashier to provide a legitimate basis for this form of data processing. “Oh, just cause”, says the cashier, “I think that it is very interesting! I collect this information so that I can maintain a blog website where I inform people about who exactly has which condition.” Naturally, Piet refuses to provide this information.

The example above shows that invoking bases for data processing cannot be done just like that: the processing must be lawful (and at least logical). The processing of named invoices for the purpose of submitting the tax return is therefore a significant counterpart: processing is now necessary on the basis of a legal obligation.

With the examples above we want to indicate that it is important to not just assume that the data processing methods within your organization are all okay.

Questions to ask about the organization when implementing the GDPR

Are you going to implement the GDPR? Then make sure you do some preparatory work by asking questions about the data processing that takes place within the organization. A number of useful questions (again by no means exhaustive):

  • Do the reasons (bases) for data processing within the organization seem logical?
  • Do employees have access to management accounts for/of customers from their own computer? And how does this work when an employee leaves employment?
  • Does it happen that employees still have access to “the work email” after leaving employment?
  • Is a company laptop used, and if so; can employees go to a secure environment?
  • Have the employees been informed on subjects related to the GDPR?
  • What is done when there has been a data breach?

GDPR compliance is important for several reasons

Compliance with GDPR legislation is important for several reasons. It is of course the case that the Dutch Data Protection Authority has strong sanctioning powers. Fines can amount to millions of euros. This is definitely a strong reason to comply with the GDPR: you want to prevent such risks. Yet at XY Legal Solutions, we believe this is not the most important reason. Compliance with the GDPR is also strongly related to personal responsibility (as of the first of February there is no English version); with ethical behavior. As an organization you have to want to comply with the GDPR because it benefits customers and other stakeholders. You send out the right signal and this automatically instills confidence.

During various GDPR processes at organizations, as well as with ISO 27001 activities, we have repeatedly noticed how pleasant this GDPR-compliant method is experienced. Reliability and professionalism are radiated and this ultimately delivers many benefits for an organization (larger deals are closed more easily, for example). Therefore, taking GDPR implementation seriously is not only an ethically correct choice: it is also a worthwhile investment.

The way XY Legal Solutions works for GDPR implementation for companies

At XY Legal Solutions we support various organizations with the correct implementation of the GDPR rules. We follow an efficient working method:

Step 1: The baseline measurement. How are things currently going? Which documents are available; which parts of the GDPR are implemented correctly or not? What is known about the GDPR and how is it complied with within the organization?

Step 2: Analysis and planning. After we have the necessary information from the baseline measurement, we can determine what is needed for the organization. We plan the work in a logical manner and prepare appropriate questions.

Step 3: The questionnaires and consultations. We share the questionnaires and schedule consultations with the responsible persons. Based on the answers received, we can get started with step 4.

Step 4: Advice and implementation. We advise on areas to improve and prepare the necessary documents for the organization in the correct manner.

Step 5: We support the implementation of the new GDPR method. We then come back after 6 months to see if everything went well. After that, we schedule an annual appointment to keep everything up to date.

Curious about the possibilities with GDPR implementation for your organization? We always follow up with a customized GDPR quotation after a free, no-obligation exploratory meeting. Schedule this meeting by filling in the contact form, or directly call 030 – 227 03 86.

Blijf op de hoogte van onze laatste blogs