Wat betekent de AVG voor mijn kantoor?

Kern van de AVG is dat de consument meer eigen regie krijgt over zijn eigen gegevens. Kort gezegd: ‘De gegevens van de klant zijn van de klant, blijven van de klant en de klant bepaald wat ermee gebeurd.’

Dit betekent echter niet dat klanten op dit moment geen privacyrechten hebben, immers vanuit de huidige Wet bescherming persoonsgegevens zijn er al veel zaken geregeld op gebied van privacy. De basis van deze wet is dat er voor elke verwerking van persoonsgegevens een rechtvaardigingsgrond aanwezig moet zijn. Vrij vertaald; je mag alleen data verwerken als deze een doel dient.

Zowel de huidige Wbp als de AVG hebben beiden als doelstelling het beschermen van de privacyrechten van de klant. De AVG geldt alleen voor alle landen in Europa en is meer gericht op de huidige technologieën voor verwerking van persoonsgegevens.

Onderstaand een overzicht van de belangrijkste punten in de AVG.

Als kantoor moet u in ieder geval voldoen aan de onderstaande verplichtingen:

Transparantieverplichting
Op grond hiervan moet u als kantoor informatie verstrekken aan klanten over de gegevens die u verwerkt. Dit betekent bijvoorbeeld dat u een privacyverklaring op uw website moet hebben staan die een juiste weergave geeft van gegevens die u verwerkt van de klant via uw website. Verder moet u een privacybeleid opstellen en dit communiceren aan uw klanten en medewerkers. Ook hierin moet terugkomen welke gegevens u van uw klanten verwerkt en waarvoor, welke rechten uw klant heeft om deze gegevens te laten aanpassen of verwijderen etc. 

Recht op overdraagbaarheid van gegevens
Wat dacht je van een klantprofiel of kennis- en ervaringstoets? Of een huishoudboekje met de inkomsten en uitgaven? Handig voor jou als adviseur, dat je die door de klant kunt laten opvragen bij zijn vroegere adviseur en (margnaal) kunt verifiëren. Dat scheelt nogal wat werk, nietwaar? Dat geldt ook als een klant wil overstappen naar een andere verzekeraar of hypotheekverstrekker. Je adviesproces gaat er anders uitzien: korter en digitaler. Je rol verandert daarmee ook; duiding geven wordt belangrijker dan overzicht bieden.

Bijhouden van een register van verwerkingsactiviteiten
Met de AVG krijgen consumenten ook het recht om persoonsgegevens te laten verwijderen. Als een persoon een verwijderverzoek doet, ben je in de meeste gevallen verplicht om de opgeslagen gegevens te verwijderen. Om zo’n verzoek goed te kunnen uitvoeren zul je als kantoor een goed beeld moeten hebben van welke klantgegevens u verwerkt en waar welke gegevens zijn vastgelegd. De vormgeving van zo’n verwerkingsregister is vrij maar de AVG schrijft wel exact voor welke informatie je als verantwoordelijke of verwerker in het register moet zetten. Verder moet je in zo’n register ook aangeven of de gegevens naast jullie als kantoor zelf ook nog door derden verwerkt kunnen worden (bewerkers cq. verwerkers). Indien dit het geval is ben je in het kader van de AVG verplicht om met deze partijen verwerkersovereenkomsten (ook wel bewerkersovereenkomsten) te sluiten.

Rechtmatige grondslag voor de verwerking of het vragen van toestemming voor de verwerking van persoonsgegevens
Vanuit de AVG moet u als kantoor voortaan expliciet toestemming hebben van de consument om gegevens te mogen verwerken of om commerciële e-mails te mogen versturen.

Beleid omtrent datalekken en doen van meldingen aan toezichthouder en betrokkenen
Als kantoor zult u moeten beschikken over een procedure en beleid omtrent datalekken. Daarin staat wat binnen uw kantoor wordt beschouwd als een datalek en uiteraard moet uw beleid daarbij aansluiten bij de AVG. Verder zal dit beleid een procedure moeten bevatten hoe te handelen bij een datalek en in welke gevallen er een melding moet worden verricht bij de Autoriteit Persoonsgegevens.

Het aanstellen van een Functionaris Gegevensbescherming (FG)
Afhankelijk van het soort persoonsgegevens dat u als kantoor verwerkt bestaat de mogelijk dat u ook een FG moet aanstellen binnen uw kantoor. Deze persoon zal het privacybeleid van het kantoor bewaken en moeten controleren of procedures op een juiste wijze worden nageleefd.

Privacy Impact Assessment
Na invoering van de AVG bestaat de mogelijkheid dat u als kantoor voor één of meerdere gegevensverwerkingen een PIA moet uitvoeren. Een PIA is alleen verplicht als u als kantoor een gegevensverwerking heeft met een grote hoeveelheid bijzondere persoonsgegevens en daardoor een hoog privacyrisico kan opleveren voor de klant. Als voorbeelden noemt de Autoriteit Persoonsgegevens op dit moment bijvoorbeeld een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden. Daarnaast hebben de gezamenlijke Europese toezichthouders aangegeven dat verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig worden beschouwd.

De vraag is nu waar u zich als kantoor mee mag vergelijken en of een PIA voor u verplicht is. Omdat ook de Europese privacytoezichthouders zien dat veel organisaties worstelen met de term “een gegevensverwerking heeft met een grote hoeveelheid bijzondere persoonsgegevens die een hoog privacyrisico kan opleveren”, is de verwachting dat er op den duur een praktische standaard komt waarmee u eenvoudiger bepaalt of u volgens de AVG op grote schaal bijzondere persoonsgegevens verwerkt en dus een FG moet aanstellen en een PIA moet uitvoeren. De Autoriteit Persoonsgegevens geeft aan te informeren zodra er meer bekend is hieromtrent.

Heeft u als kantoor vragen over privacy en de impact voor uw kantoor dan kan Ophrys u hier uiteraard volledig over informeren en daar waar nodig voor u implementeren binnen uw onderneming. Wilt u weten wat Ophrys voor u kan betekenen? Neem dan contact op met ons kantoor op telefoonnummer 0492-344988 of via het contactformulier.