Iedereen is inmiddels bekend met de Algemene verordening gegevensbescherming (AVG). Met nog maar 2 maanden op de teller tot de Europese privacywetgeving van kracht is, delen wij graag de 5 meest gestelde vragen over de AVG van dit moment met u. We hopen dat de antwoorden u weer een stapje verder helpen in uw eigen proces om de AVG te implementeren.

1. Mag ik privégegevens van klanten blijven opslaan in CRM?

Denk daarbij aan de privévelden die accountmanagers graag invullen over favoriete vakantiebestemming of hobby van een contactpersoon. Het antwoord op die vraag is nee. U mag alleen persoonsgegevens gebruiken, indien ze noodzakelijk zijn voor de gerechtvaardigde doeleinden waarvoor ze worden verwerkt. Bij een e-mailadres en een telefoonnummer kunt u de noodzakelijkheid onderbouwen, bij de namen van de kinderen of de favoriete sportclub wordt dat lastig.  

2. Krijg ik direct een boete van 20 miljoen euro of 4% van de wereldwijde jaaromzet bij overtreding van de AVG?

Nee, 20 miljoen euro per inbreuk is de maximum. De boetes worden afgestemd op onder meer de aard en ernst van de overtreding, of u deze opzettelijk heeft begaan of nalatig bent geweest en eerdere relevante inbreuken die hebben plaatsgevonden. Zo’n boete wordt opgelegd wanneer u bijvoorbeeld een inbreuk maakt op de basisbeginselen uit de AVG of de rechten van betrokkenen schendt. Zelfs op het niet hebben van een verwerkersovereenkomst staat een boete.

3. Waar vind ik een Privacy Impact Assessment (PIA)?

Een PIA is bedoeld om de privacy risico’s bij de verwerking van persoonsgegevens in een vroeg stadium op een gestructureerde en heldere manier in beeld te brengen. Bijvoorbeeld bij de start van een project, waarin de privacy geraakt wordt. Dit kan voorkomen als u een gebruikersapp ontwikkelt of een nieuw tabblad met persoonsgegevens toevoegt aan uw reeds bestaande CRM. Een PIA brengt de impact en risico’s in kaart en wijst waar mogelijk een alternatieve aanpak die minder gevolgen voor privacy heeft.

U kunt zelf een PIA opstellen, maar steeds vaker vindt u een PIA op de site van uw branche- of beroepsvereniging. U vindt een handreiking voor de uitvoering van een PIA op de website van de beroepsorganisatie voor IT-auditors (NOREA). Daarnaast kunt u het Model gegevensbeschermingseffectbeoordeling rijksdienst downloaden op de website van Rijksoverheid.

4. Wat zijn passende technische en organisatorische maatregelen?

Op dit gebied is de AVG minder specifiek omdat de wetgeving ‘technologieneutraal’ is. Passende maatregelen zijn daardoor per organisatie en per project anders te interpreteren en onderhevig aan veranderingen in de techniek. Er zijn echter wel een aantal concrete maatregelen die de AVG benoemt. Denk aan:

  • de pseudonimisering en versleuteling van persoonsgegevens;
  • permanent aantoonbaar de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten garanderen;
  • het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  • een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

De PIA helpt bij het bepalen welke maatregelen ‘passend’ zijn.

5. Moet een aansprakelijkheids- vrijwarings- en garantieregeling worden opgenomen in de verwerkersovereenkomst?

Het antwoord is nee. In de verwerkersovereenkomst mag u iets opnemen over aansprakelijkheid, vrijwaringen en garanties, maar dit is geen vereiste. Risico’s, hoge boetes en claims van betrokkenen maken dat partijen ervoor kiezen in de verwerkersovereenkomst afspraken te maken die afwijken van de aansprakelijkheids-, vrijwarings- en garantieregeling zoals deze zijn opgenomen in het contract en/of algemene voorwaarden. 

Meer weten?

Legalz verzorgt op regelmatige basis trainingen over de AVG. Daarnaast kunt u ook bij ons terecht voor advies op maat. Onze ICT-juristen helpen u graag verder. Heeft u nog vragen over de AVG of wilt u advies? Neem dan contact met ons op.