Zorgvuldigheid met privacygevoelige gegevens halszaak
Momenteel zetten de brancheorganisaties hun beste beentje voor om hun leden te informeren over de nieuwe Algemene Verordening Gegevensbescherming (AVG). Deze komt in de plaats van de Wet bescherming persoonsgegevens. Belangrijkste conclusie: iedere rijschoolhouder zal vanaf deze datum moeten kunnen aantonen hoe met er de persoonsgegevens van zijn klanten en personeelsleden wordt omgegaan.
BOVAG is al enige tijd bezig om haar leden voor te bereiden op de AVG. De brancheorganisatie heeft een BOVAG Privacytool in het leven geroepen om ondernemers zo veel mogelijk te helpen en heeft er zelfs een speciale projectmanager op zitten. Maar ook bij de VRB en de FAM (zoals wel vaker de laatste tijd trekken beide in deze samen op) is natuurlijk doorgedrongen dat de verandering die op 25 mei plaatsvindt een grote impact kan hebben op de rijschoolhouder.
Verantwoordingsplicht
Onlangs hielden Tim Schoenmakers en Chris van Straaten van het servicebureau voor brancheorganisaties De Eendracht in Den Haag op verzoek van beide organisaties een lezing waarin uit de doeken werd gedaan wat de AVG inhoudt en welke gevolgen deze kan hebben voor een rijschoolondernemer. Het verhaal leerde dat er op 25 mei een wezenlijke verandering plaatsvindt ten aanzien van het beheer van gegevens. De belangrijkste verandering is dat iedere ondernemer die privacygevoelige gegevens beheert van consumenten – en dat geldt voor iedere rijschoolhouder – moet kunnen aantonen (er is een zogeheten verantwoordingsplicht waarmee de vrijblijvendheid, zo die er al was, er definitief vanaf is) hoe met die gegevens wordt omgegaan en beheerd en ook moet helder zijn hoe wordt voorkomen dat de gegevens worden gehackt of gelekt.
AVG-proof
VRB heeft samen met de FAM De Eendracht ingeschakeld, die allereerst alle formulieren van de eigen organisatie 'AVG-proof' maakt. Te denken valt aan de lesovereenkomst, maar ook aan het eigen huishoudelijk reglement van de vereniging. Verder komen de organisaties binnenkort ook weer op basis van input van de juristen van De Eendracht met een stappenplan waarmee de leden hun datazaken kunnen aanpakken. Irma Brauers, secretaris van de VRB, laat hierover desgevraagd weten dat hierin uiteraard alle CBR-gerelateerde items in worden opgenomen. Dat het CBR hierin wordt betrokken is logisch, want iedere rijschoolhouder wisselt nu eenmaal gegevens van klanten uit met het CBR. Onder aan dit artikel staat uitvoerig waar het CBR in deze momenteel staat en wat er nog te verwachten valt.
Persoonsgegevens
Maar het is goed om eerst de vraag te beantwoorden: waar hebben we het eigenlijk over? Kort en goed: de AVG regelt het verzamelen, opslaan, gebruiken en delen van persoonsgegevens. Een persoonsgegeven is elk gegeven over een persoon. Specifieker: informatie die ofwel direct over iemand gaat, ofwel die naar een persoon te herleiden is. Denk bijvoorbeeld aan NAW-gegevens, maar ook aan pasfoto, geslacht, BSN, religie of medische gegevens.
Bewerking
Onder het verwerken van persoonsgegevens wordt verstaan eigenlijk alles wat u met gegevens kunt doen. In de AVG wordt dit als volgt omschreven: "Elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen. Het begrip 'verwerken' is erg ruim. Het varieert van het verzamelen van gegevens tot en met het vernietigen van gegevens. Zowel handmatig of op papier als via systemen, zoals een CRM."
Eisen
Bij dit alles stelt de AVG een aantal eisen aan organisaties die persoonsgegevens verzamelen of verwerken, waarbij moet worden voldaan aan zes basisbeginselen (bron: Microsoft.nl):
- Transparantie, behoorlijkheid en rechtmatigheid bij de omgang met en het gebruik van persoonsgegevens. Je moet personen duidelijkheid bieden over de manier waarop je persoonsgegevens gebruikt en je hebt ook een 'rechtmatige basis' nodig om die gegevens te verwerken.
- De verwerking van persoonsgegevens moet beperkt blijven tot welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Het is niet toegestaan om persoonsgegevens te hergebruiken of openbaar te maken voor doeleinden die niet 'verenigbaar' zijn met het doel waarvoor de gegevens oorspronkelijk zijn verzameld.
- Minimaliseren van de verzameling en opslag van persoonsgegevens tot wat toereikend en ter zake dienend is gezien de beoogde doelstelling.
- Waarborgen van de juistheid van persoonsgegevens met de mogelijkheid om deze te wissen of te rectificeren. Je dient maatregelen te nemen om te waarborgen dat de persoonsgegevens die je bewaart juist zijn en dat deze bij fouten gecorrigeerd kunnen worden.
- Beperken van de opslag van persoonsgegevens. Je dient te waarborgen dat je persoonsgegevens uitsluitend bewaart gedurende de periode die nodig is om de doeleinden waarvoor de gegevens zijn verzameld, te realiseren.
- Waarborgen van de veiligheid, integriteit en vertrouwelijkheid van persoonsgegevens. Jouw organisatie moet er door middel van technische en organisatorische veiligheidsmaatregelen voor zorgen dat persoonsgegevens beveiligd zijn.
9 stappen
Maar hoe moet je hier nu als ondernemer mee omgaan? Omdat dit ingewikkelde materie is, maar wel materie is waar niet aan te ontkomen is, heeft de Autoriteit Persoonsgegevens een stappenplan voor ondernemers. Hieronder zetten we kort de negen stappen op een rij:
Stap 1: Bewustwording. Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels.
Stap 2: Rechten van betrokkenen. Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Bereid u daar op voor, zodat u op tijd en op de juiste manier op verzoeken reageert. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering.
Stap 3: Overzicht verwerkingen. Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.
Stap 4: Data protection impact assessment. Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen.
Stap 5: Privacy by design & privacy by default. Maak uw organisatie nu al vertrouwd met de nieuwe uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren. Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
Stap 6: Functionaris voor de gegevensbescherming. Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Bepaal nu alvast of dit voor uw organisatie geldt. In de rijscholenbranche is het gros eenpitter en voor hen geldt dit niet: de ondernemer is meteen ook verantwoordelijk. Stap 7: Meldplicht datalekken. De AVG stelt strengere eisen aan de eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren.
Stap 8: Bewerkersovereenkomsten. Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG 'verwerker' genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG.
Stap 9: Toestemming. Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Nieuw en essentieel is dat iedere ondernemer moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
Nota bene: Er is nog een tiende stap, maar die geldt alleen voor bedrijven die over de grens opereren.
De AVG en het CBR
Rest de vraag wat het CBR op dit moment op dit gebied onderneemt. Essentieel hierbij is dat niet het CBR, maar u als rijschoolhouder verantwoordelijk bent voor de persoonsgegevens; Afschuiven op het CBR is er niet bij.
Het CBR onderneemt momenteel een aantal dingen, te weten:
- Het stelt een functionaris gegevensbescherming aan die aanspreekpunt is voor burgers.
- Er komt een register van verwerkingen waarin duidelijk wordt wat we met persoonsgegevens van klanten en medewerkers doen.
- Er wordt voor gezorgd dat burgers hun recht op inzage van persoonsgegevens kunnen uitoefenen.
- Er worden verwerkersovereenkomsten afgesloten met partijen met wie het CBR persoonsgegevens uitwisselt.
- Er worden Privacy impact assessments (zie stap 4 hierboven) uitgevoerd op de systemen en te voeren maatregelen als dat noodzakelijk is.
- Er worden privacy- en securitybewustwordingsactiviteiten uitgevoerd.
Ook legden we het CBR een aantal vragen voor over de relatie tussen de AVG en de rijschoolhouder.
Valt al (enigszins) aan te geven welke veranderingen er komen voor rijschoolhouders qua beheer van persoonsgegevens?
"Rijschoolhouders moeten zich ook houden aan de nieuwe verordening en zijn hiervoor zelf verantwoordelijk. Als het gaat om de samenwerking tussen rijschool en CBR dan geldt dat het momenteel niet mogelijk is om op alle specifieke vragen van de rijschoolbranche antwoord te geven, aangezien het project nog loopt. We voeren een privacy impact assessment uit op TOP. Mogelijk worden naar aanleiding van de uitkomst daarvan maatregelen getroffen."
Wanneer worden eventuele ingrijpende wijzigingen bekendgemaakt?
"Wij verwachten dat we alle opleiders ruim op tijd kunnen informeren."
Moeten rijschoolhouders sowieso rekening houden met veranderingen?
"Ja, maar dan gaat het vooral over hun eigen administratie en manier van werken."
