Eind 2018 schreven we in een blog over het jaar van de AVG. Inmiddels is het mei 2019, wat betekent dat de ‘verordering (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/eg’ haar eerste verjaardag viert. Een jaar na de invoering op 25 mei 2018 krijgen we nog regelmatig vragen over allerlei aspecten rondom de AVG / GDPR. Compliance Officer Maik van de Graaf beantwoordt daarom enkele van de meest gestelde vragen.
1. Geldt de plicht om een register van verwerkingsactiviteiten bij te houden voor alle organisaties?
De plicht om zo’n register bij te houden wordt in artikel 30 van de AVG beschreven. In lid 5 van dit artikel staat echter dat de verplichting om een register bij te houden niet van toepassing is op ondernemingen of organisaties die minder dan 250 personen in dienst hebben. Maar… mocht een organisatie minder dan 250 medewerkers hebben, dan kan het alsnog verplicht zijn om een register van verwerkingsactiviteiten bij te houden. Dat is het geval wanneer één (of meer) van onderstaande criteria van toepassing zijn:
- het is waarschijnlijk dat de verwerkingen die de organisatie verricht een risico inhouden voor de rechten en vrijheden van de betrokkenen;
- de verwerking is niet incidenteel;
- de verwerking betreft bijzondere categorieën van persoonsgegevens, waaronder strafrechtelijke veroordelingen en strafbare feiten.
2. Is er al een organisatie die in het bezit is van een AVG-certificaat?
In de AVG wordt certificering beschreven als wijze waarop organisaties kunnen aantonen dat ze aan de AVG voldoen. Om een dergelijk certificaat te mogen uitgeven, moet een organisatie worden geaudit. In Nederland bestaat echter nog geen certificatie-instelling die door de Raad van Accreditatie is geaccrediteerd om een AVG-certificaat uit te mogen geven. Bij het schrijven van dit artikel is er dus nog geen énkele organisatie die een AVG-certificaat heeft. Natuurlijk zijn er wel alternatieven om aan te tonen dat je als organisatie voldoet aan de geldende wetgeving. Zo maakt Eshgro gebruik van de mogelijkheid om het NOREA Privacy Control Framework binnen een ISAE 3000A type 2 assurance rapportage op te nemen en dit te laten auditen.
3. Is een verwerkingsovereenkomst verplicht of mag ik ook een Privacy Policy hanteren?
Beide documenten hebben doorgaans een andere functie en moeten zeker niet met elkaar worden verward. In een verwerkingsovereenkomst worden afspraken gemaakt tussen de contractpartijen over de verwerking van persoonsgegevens. Dit hoeft echter niet perse in een document dat Verwerkingsovereenkomst heet. Volgens de AVG moet je verplicht afspraken maken over de verwerking van persoonsgegevens en deze afspraken schriftelijk vastleggen. Daarnaast schrijft de AVG voor over welke punten je in ieder geval afspraken moet maken. Dit betekent dat je dergelijke bepalingen ook in de Algemene Voorwaarden, Overeenkomst van Opdracht of in een ander document mag opnemen. Zo lang je de afspraken maar maakt en deze schriftelijk vastlegt.
Een Privacy Policy daarentegen is vaak een ‘statement’ over hoe een organisatie die verwerkingsverantwoordelijke is, omgaat met de verwerking van persoonsgegevens. Doel hiervan is het bieden van transparantie. Ook hiervoor geldt dat dit document diverse namen kan hebben, zoals Privacyverklaring, Privacybeleid of Verwerkingsbeleid. Vaak vind je de Privacy Policy terug op de website. Het belangrijkste verschil met de verwerkingsovereenkomst is dat deze tussen meerdere partijen wordt gesloten, een wettelijke basis vindt in de AVG en in sommige gevallen verplicht moet worden gesloten, terwijl de Privacy Policy een ‘statement’ is waarvan de noodzaak tot het voeren ervan niet in de AVG is vastgelegd. Het is dus niet verplicht een Privacy Policy te hanteren, maar het helpt je wel om te voldoen aan het ‘transparantiebeginsel’ uit de AVG.
4. Wat is het verschil tussen anonimiseren en pseudonimiseren?
Beide begrippen zijn methodieken om persoonsgegevens te beschermen. In het geval van pseudonimiseren van persoonsgegevens is herleiding naar een natuurlijk persoon (nog steeds) mogelijk. Bij anonimisering van gegevens is daarentegen geen herleiding naar een natuurlijk persoon mogelijk. De AVG is van toepassing op gepseudonimiseerde gegevens en niet op geanonimiseerde gegevens. Immers, geanonimiseerde gegevens zijn geen persoonsgegevens meer, omdat de herleidbaarheid naar een persoon weg is.
5. Wat is het verschil tussen een PIA en DPIA?
De afkoring PIA staat voor Privacy Impact Assesment. Met name het woord ‘privacy’ kenmerkt direct het verschil met de DPIA. De afkorting DPIA staat voor Data Protection Impact Assesment. De woorden ‘impact assesment’ staan voor een impact, oftewel een effectbeoordeling. Maar waarvan dan precies? Dat hangt ervan af of je vanuit de terminiologie van de PIA (privacy) of DPIA (data protectie) spreekt. Deze woorden worden in de praktijk echter vaak door elkaar gebruikt. Daardoor verwatert het daadwerkelijke verschil en wordt vaak hetzelfde bedoeld. Vaststaat dat de AVG spreekt over DPIA in plaats van PIA.