misverstanden over de avg
Juridisch17 december, 2019

De tien grootste misverstanden over de AVG

17 december 2019 - Is alles wat u hoort of leest over de nieuwe privacywet ook waar? In deze whitepaper zetten we de tien grootste misverstanden voor u op een rij.

1. Het mag niet meer van de nieuwe privacyregels

Met stip op nummer 1: De bewering dat de regels nieuw zijn en dat nu opeens allerlei dingen niet meer mogen van de wet. Niets is minder waar. De meeste regels in de AVG, en zeker de regels die gaan over wat wel en niet mag met persoonsgegevens, zijn helemaal niet nieuw. Bijna al die regels stonden ook al in de vorige wet (de Wet bescherming persoonsgegevens uit 2000) en enkele regels stonden zelfs al in de wet van 1988 (de Wet persoonsregistraties). Grote kans dus dat als u denkt dat iets niet meer mag, u het vóór 25 mei 2018 ook al niet mocht. Alleen, u wist dat niet of het interesseerde u niet. Dit geldt trouwens ook voor de meeste rechten van betrokkenen, zoals het inzagerecht, en sommige wettelijke verplichtingen, zoals het sluiten van een verwerkersovereenkomst met een verwerker.

2. U kunt extreem hoge boetes krijgen

Ja, maar die worden niet zomaar opgelegd. De wet zegt dat een boete “afschrikwekkend” moet zijn (dus niet te laag zodat u het niet gauw nog een keer zult doen), maar ook dat een boete “proportioneel” moet zijn (dus niet te hoog; niet alleen moet de boete evenredig zijn aan de ernst van het begane feit, maar u mag er in principe ook niet financieel door in de problemen raken). Die miljoenenboetes in de wet zijn vooral bedoeld voor de hele grote bedrijven die als hun core business op grote schaal onze gegevens verwerken, zoals Facebook en Google. Bovendien is een boete ook niet de meest logische sanctie. Veel logischer is dat de toezichthouder, de Autoriteit Persoonsgegevens, een zogeheten ‘last onder dwangsom’ oplegt. Zo’n dwangsom hoeft u niet te betalen als u netjes en binnen de gestelde termijn het bevel van de AP opvolgt. En last, but not least, de boete was onder de vorige wet ook al hoog: maximaal 830.000 euro per overtreding (nu 20 miljoen voor bij elkaar horende overtredingen) of 10% van de jaaromzet (nu 4%).

3. U hebt altijd toestemming nodig

Nee, er zijn zes gronden om persoonsgegevens te mogen verwerken. Slechts één daarvan is de toestemming van de betrokkene. U hebt dus geen toestemming nodig in de andere vijf gevallen, te weten:

  1. het aangaan of de uitvoering van een overeenkomst met de betrokkene (bijv. een koopovereenkomst, een arbeidsovereenkomst of een lidmaatschap),
  2. de nakoming van uw wettelijke verplichtingen (bijv. het bewaren van uw administratie voor de belastingdienst of het nakomen van uw verplichtingen onder de Arbowet),
  3. het redden van iemands leven of beschermen van zijn/haar gezondheid (kortom, niemand hoeft dood te gaan van de privacywet),
  4. het uitvoeren van een wettelijke taak door een overheidsinstantie, en
  5. het behartigen van een gerechtvaardigd belang van uw organisatie of van een ander aan wie u de gegevens verstrekt (denk bijv. aan beveiliging van uw bedrijf met camera’s, marketing, intern beheer of een zakelijke overeenkomst met een derde).

In de gevallen 4 en 5 moet er vooraf wel een belangenafweging gemaakt worden met de belangen van de betrokkene(n). Is de uitkomst daarvan in het voordeel van de betrokkene, dan zult u alsnog toestemming moeten vragen. Wilt u direct marketing doen per e-mail of cookies gebruiken op uw website, dan hebt u vaak ook toestemming nodig, maar dat was al jaren wettelijk verplicht en staat ook niet in de AVG, maar in de Telecommunicatiewet. Het feit dat u zoveel mailtjes daarover hebt gehad, had waarschijnlijk vooral te maken met twijfel of al die toestemmingen wel correct verkregen waren (en dus rechtsgeldig zijn) en verder vrij weinig met de AVG zelf. Overigens hebt u bijna nooit toestemming nodig om gegevens te mogen verwerken, behalve als het wettelijk verplicht is (zoals bij e-mail marketing en cookies) of als u iets doet met gegevens wat iemand redelijkerwijs niet van u hoeft te verwachten. In alle andere gevallen hebt u waarschijnlijk genoeg aan een van de andere vijf grondslagen en hoeft u dus geen toestemming te vragen. En onthoud: als u toch toestemming vraagt ook al had u het niet nodig en iemand zegt “nee”, dan mag u geen gegevens verwerken, punt. Doe dus uw huiswerk en vraag geen toestemming als het niet hoeft.

4. U moet altijd toestemming hebben van de ouders voor de verwerking van gegevens over kinderen

Onzin. De AVG en aanvullend de Uitvoeringswet AVG (UAVG) stellen alleen maar dat als u toestemming gebruikt als grondslag (zie hierboven punt 3), die toestemming door de ouders gegeven moet worden zolang het kind nog geen 16 is. In geval van de andere vijf grondslagen hebt u geen toestemming nodig om gegevens over kinderen te mogen verwerken en hoeven de ouders dus ook geen toestemming te geven. Wel ligt bij de belangenafweging bij het gerechtvaardigd belang de lat hoger als de betrokkene een kind is, zodat u iets sneller toch om toestemming van de ouders moet vragen om de gegevens toch voor die gerechtvaardigde belangen te mogen verwerken (denk bijv. aan direct marketing aan kinderen).

5. U moet met iedere dienstverlener aan wie u persoonsgegevens verstrekt een verwerkersovereenkomst sluiten

Nee. Niet iedere dienstverlener aan wie u persoonsgegevens verstrekt, is een verwerker. In de meeste gevallen is sprake van een zogeheten ‘derdenverstrekking’ van de ene verantwoordelijke aan de andere verantwoordelijke. Maar wat nou als die andere partij een datalek heeft? Heel simpel: AVG-technisch is dat niet uw probleem. Misschien heeft u wel iets uit te leggen aan de betrokkenen, maar dat gaat meer over uw reputatie dan over uw juridische verantwoordelijkheden. Had u maar beter op moeten letten toen u met die partij in zee ging. In het beste geval is zo’n datalek reden om de samenwerking te beëindigen.

Hoe herkent u nu een verwerker? Ook dat is niet heel ingewikkeld. Als de kernactiviteit van de dienstverlener is het namens u verwerken van uw persoonsgegevens, dan is de dienstverlener een verwerker. Denk bijvoorbeeld aan een ICT-hostingsbedrijf, een externe salarisadministrateur, of een beveiligingsbedrijf dat uw receptie runt en uw bewakingscamera’s in het oog houdt. Maar als de kernactiviteit van de dienstverlener niets met verwerking van uw persoonsgegevens te maken heeft, dan wel de gegevensverwerking slechts bijzaak is, dan is de dienstverlener geen verwerker en heeft u dus geen verwerkersovereenkomst nodig. Denk bijvoorbeeld aan een bloemist die in uw opdracht bloemen aflevert bij een jubilaris of een zieke, een arbodienst, een advocaat of accountant, een trainings- of congresbureau, een hotel voor uw heiweekend met uw personeel, of een leasemaatschappij. In al deze gevallen verstrekt u wel persoonsgegevens, vaak van uw medewerkers, aan deze partijen, maar zij zijn zelf verantwoordelijk voor de naleving van de AVG. Mocht u er behoefte aan hebben, dan zou u kunnen overwegen met zo’n partij een geheimhoudingsverplichting (NDA) overeen te komen, maar dat is alleen zinvol als zo’n afspraak toegevoegde waarde heeft (bedrijfsartsen en advocaten hebben bijvoorbeeld al een beroepsgeheimhoudingsplicht) en u ook iets te onderhandelen heeft (een vliegtuigmaatschappij waar u een ticket boekt voor uw personeel zal zo’n NDA waarschijnlijk niet accepteren).

Er zijn overigens ook dienstverleners die noch verantwoordelijke noch verwerker zijn voor uw gegevens. Zo zijn een postbedrijf en een telecombedrijf noch verantwoordelijke noch verwerker voor wat betreft de doorgifte van (de inhoud van) uw bericht. Zogeheten ‘mere conduit’ is namelijk geen ‘verwerking van persoonsgegevens’. En een uitzendbureau stuurt u wel een uitzendkracht die uw gegevens verwerkt, maar die verwerking wordt aan u als feitelijke werkgever van die uitzendkracht toegerekend en niet aan het uitzendbureau. Die laatste verwerkt uw gegevens dus niet en houdt ook geen toezicht op de verwerking van uw persoonsgegevens; dat doet u als feitelijke werkgever zelf. Ook met deze partijen hoeft u onder de AVG dus niets te regelen, en al helemaal geen verwerkersovereenkomst.

6. De AVG is van toepassing op EU-burgers

Nee, de AVG is van toepassing op de verwerking van persoonsgegevens van bedrijven (en andere instanties) in het kader van de activiteiten van hun Europese vestigingen, ongeacht de nationaliteit of woonplaats van de betrokkene. Een bedrijf in Amsterdam dat alleen gegevens verwerkt van Amerikanen, moet zich toch gewoon aan de AVG houden. Dit misverstand is ook wijdverbreid buiten de EU. Veel Amerikaanse websites sluiten Europese gebruikers af vanwege de AVG. Maar een niet-Europees bedrijf hoeft zich pas aan de AVG te houden als het zich “richt” op mensen in de EU. De AVG is dus vaak niet van toepassing als u als Europeaan iets koopt in een Amerikaanse webshop of een Amerikaanse website bezoekt.

7. Iedereen moet een privacy officer (FG, DPO) benoemen

Wederom nee. Een functionaris voor de gegevensbescherming (FG, of in het Engels DPO) is maar in enkele gevallen verplicht (bijvoorbeeld voor de overheid en voor bedrijven die als kernactiviteit grootschalig medische gegevens verwerken of het gedrag van mensen in kaart brengen). In alle andere gevallen is het benoemen van een FG vrijwillig. Zo’n FG moet overigens wel verstand van zaken hebben, dus je kan niet zomaar iedereen aanwijzen. En de FG is ook niet verantwoordelijk voor de naleving van de wet; dat is en blijft het management. Maar het is in een grotere organisatie vaak wel zinvol om iemand aan te wijzen die als eerste zijn of haar vinger opsteekt als er persoonsgegevens worden verwerkt en iets meer verstand heeft van de AVG dan de rest.

8. U moet persoonsgegevens verwijderen als iemand daar om vraagt

Nee. Sterker nog, als u 100% compliant bent met de AVG, dan zou zo’n verzoek om ‘vergeten te worden’ meestal moeten falen. De belangrijkste reden om zo’n verzoek wel te honoreren, is als u de gegevens niet (meer) nodig hebt. Lees: u hebt te veel gegevens verzameld of de bewaartermijn is verstreken en u hebt de gegevens niet zelf al verwijderd. De betrokkene kan dan eisen dat u de gegevens alsnog verwijdert. Maar u hoeft dus geen gevolg te geven aan zo’n verzoek als u de gegevens nog steeds nodig hebt (bijv. als bewijs of omdat u de overeenkomst met de betrokkene anders niet kan nakomen) of als u de gegevens nog een tijdje moet bewaren van de wet (bijv. in uw administratie ten behoeve van de belastingdienst). Probleem is natuurlijk dat veel organisaties nog op stapels persoonsgegevens zitten die ze allang hadden moeten weggooien en dus zullen we in de komende tijd nog veel terechte verwijderingsverzoeken zien.

9. U moet een datalek binnen 72 uur na ontdekking melden bij de AP

Ja en nee. U moet een beveiligingsincident zo spoedig mogelijk, en als het even kan binnen 72 uur, nadat u hebt vastgesteld dat dat incident kwalificeert als een datalek in de zin van de definitie is de wet, melden bij de AP. De wet kwalificeert een datalek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. U mag best even de tijd nemen (niet lang) om vast te stellen of het incident ook dergelijke gevolgen heeft gehad. Anders dan in de oude wet is het onder de AVG niet van belang of u redelijkerwijs een datalek niet kunt uitsluiten. De wet is soepeler op dit punt. Komt u na een (voorlopig) onderzoek niet “redelijkerwijs tot de overtuiging” dat er sprake is van een datalek, dan is het incident dus geen datalek in de zin van de AVG. Overigens hoeft u niet elk datalek te melden bij de AP. Alleen de datalekken die een risico opleveren voor de betrokkene(n) of zijn/haar omgeving worden gemeld. Zogeheten ‘bagatelzaken’ hoeft u dus niet te melden, alleen intern te registreren. En als het risico waarschijnlijk hoog is, dan moet het ook worden gemeld aan de betrokkene. Maar bij dat laatste geldt: luister eerst naar uw crisiscommunicatiespecialisten en dan pas naar uw juristen. Het laatste wat u moet doen is de indruk wekken dat u een datalek onder de pet hebt willen houden. Mocht u langer dan 72 uur nodig hebben om vast te stellen dat er sprake is van meer dan een verwaarloosbaar risico voor de betrokken personen, dan is er geen man overboord. U moet wel kunnen uitleggen aan de AP waarom het niet binnen 72 uur gelukt is.

Een andere veelgemaakte fout is dat mensen denken dat de tijd die een verwerker nodig heeft om een datalek bij u als verantwoordelijke te melden, af gaat van uw 72 uur om een datalek bij de AP te melden. Ook dat is niet waar. Een verwerker moet een datalek “onverwijld” melden bij de verantwoordelijke. Die mag dan een (voorlopig) onderzoek doen of er inderdaad sprake is van een datalek. Als het antwoord op die vraag bevestigend is, begint de 72 uur pas te lopen. Maar niet te lang wachten met uw onderzoek, anders loopt u het risico alsnog een boete te krijgen. Niet voor het te laat melden (art. 33/34 AVG), naar voor het niet op orde hebben van “passende beveiliging” (art. 32) waartoe ook het gezwind onderzoeken van beveiligingsincidenten behoort.

10. U kunt als bestuurder/directeur persoonlijk een boete krijgen

Ja, in theorie wel. Maar dat staat niet in de AVG of de UAVG, maar volgt uit 100 jaar oude jurisprudentie van de Hoge Raad over het vervolgen van “feitelijk leidinggevenden” voor overtredingen van de wet. Als een directeur dus opdracht geeft om de AVG te overtreden dan zou hij/zij in theorie als “medepleger” kunnen worden beschouwd en zelf ook een boete kunnen krijgen. Zo’n boete is echter hoogst onwaarschijnlijk. Maar het blijft een goed argument om tegenstribbelende of inactieve bestuurders tot de juiste actie te bewegen.

Back To Top