Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
Een AVG-proof
bedrijfsvoering Van compliance naar accountability
Auteur: Liza van der Wolde
Studentnummer: 2083107
Afstudeerperiode: Najaar 2018
Afstudeerorganisatie: Solid Services BV
Afstudeermentor: Patrick Dewez
Onderwijsinstelling: Juridische Hogeschool Avans-Fontys
Opleiding: HBO-rechten
Locatie: Tilburg
Eerste afstudeerdocent: mr. A.L. (Astrid) de Boer
Tweede afstudeerdocent: drs. K. (Kim) Teeuwen
Tilburg, januari 2019
Een AVG-proof
bedrijfsvoering Van compliance naar accountability
Auteur: Liza van der Wolde
Studentnummer: 2083107
Afstudeerperiode: Najaar 2018
Afstudeerorganisatie: Solid Services BV
Afstudeermentor: Patrick Dewez
Onderwijsinstelling: Juridische Hogeschool Avans-Fontys
Opleiding: HBO-rechten
Locatie: Tilburg
Eerste afstudeerdocent: mr. A.L. (Astrid) de Boer
Tweede afstudeerdocent: drs. K. (Kim) Teeuwen
Tilburg, januari 2019
Voorwoord
In veertien weken tijd heb ik een onderzoek verricht naar de implementatie van de AVG in de
ISO 9001 werkprocessen en werkinstructies van Solid Services BV en daarover een
onderzoeksrapport geschreven. Zeer uitdagend, voornamelijk omdat dit rapport geschreven
is naar aanleiding van een probleem uit de praktijk. Bovendien is het een actueel en soms
complex onderwerp waardoor het een interessant onderzoek was.
Voor dit onderzoek is zowel de theorie als de praktijk onderzocht. Ik denk dat ik met dit
onderzoek en de daaropvolgende aanbevelingen praktische handvatten heb gegeven aan
Solid Services BV, waar zij écht iets mee kan.
Het was opmerkelijk dat een relatief eenvoudige wet kan zorgen voor zoveel onduidelijkheid
en problemen in de praktijk. Om een goed advies uit te kunnen brengen is een
rechtsbronnen- en literatuuronderzoek gedaan. Tevens zijn, om de koppeling te maken
tussen de ISO 9001 norm en de AVG, interviews afgenomen met mensen uit de praktijk.
Hierdoor kon er een goed beeld gevormd worden van hoe hiermee in de praktijk omgegaan
wordt. Daarnaast heb ik een uitgebreid onderzoek gedaan naar de praktijk, omdat de AVG in
elke specifieke situatie om een andere aanpak vraagt. Zeker gezien het feit dat in dit
onderzoek de ISO 9001 norm ook van groot belang was.
Ik wil graag de heer P. Dewez van Solid Services BV bedanken voor het aanleveren van
deze opdracht. Daarnaast wil ik mijn eerste lezer mevrouw mr. A. de Boer en mijn tweede
lezer mevrouw drs. K. Teeuwen bedanken voor de begeleiding tijdens mijn afstuderen. Als
laatste wil ik mijn gecommitteerde mevrouw mr. J. de Groot bedanken voor het geven van
een kritische blik op dit onderzoek vanuit de praktijk.
Met dit rapport hoop ik Solid Services BV van dienst te kunnen zijn met het creëren van één
werkwijze waarin alle werkprocessen en werkinstructies zowel ISO 9001- als AVG-proof zijn
voor nu en in de toekomst.
Liza van der Wolde
Oosterhout, januari 2019
Inhoudsopgave
Samenvatting…………………………………………………………………………………………………………………..
Hoofdstuk 1: inleiding ..................................................................................................................................................... 1
1.1. Probleembeschrijving ............................................................................................................................................. 1
1.2. Centrale vraag en deelvragen ................................................................................................................................ 1
1.3. Doelstelling ............................................................................................................................................................ 2
1.4. Werkwijze .............................................................................................................................................................. 2
1.5. Leeswijzer .............................................................................................................................................................. 3
Hoofdstuk 2: het wettelijk kader van de AVG ................................................................................................................ 4
2.1. Inleiding ................................................................................................................................................................. 4
2.2. Artikelen uit de AVG ............................................................................................................................................... 4
2.2.1. Materieel en territoriaal toepassingsgebied AVG ............................................................................................ 4
2.2.2. Verwerkingsverantwoordelijke en verwerker .................................................................................................. 5
2.2.3. Beginselen verwerking persoonsgegevens .................................................................................................... 5
2.2.4. Rechtmatigheid van de verwerking ................................................................................................................. 6
2.2.5. Voorwaarden voor toestemming ..................................................................................................................... 7
2.2.6. Verwerking van bijzondere persoonsgegevens .............................................................................................. 8
2.2.7. Rechten van de betrokkene ............................................................................................................................ 9
2.2.8. Algemene verplichtingen verwerkingsverantwoordelijke ............................................................................... 12
2.2.9. Verplichtingen verwerker .............................................................................................................................. 13
2.2.10. Persoonsgegevensbeveiliging .................................................................................................................... 14
2.2.11. Melding inbreuk (datalek) ........................................................................................................................... 14
2.2.12. Direct marketing ......................................................................................................................................... 15
2.2.13. Gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment) ...................................... 16
2.2.14. Functionaris voor de gegevensbescherming .............................................................................................. 18
2.2.15. Doorgiften van persoonsgegevens aan derde landen of internationale organisaties .................................. 18
2.2.16. Sancties als gevolg van overtreden van de AVG ........................................................................................ 19
2.3. De toekomst ......................................................................................................................................................... 19
2.3.1. De Functionaris voor de gegevensbescherming ........................................................................................... 19
2.3.2. Certificering .................................................................................................................................................. 20
2.4. Tussenconclusie .................................................................................................................................................. 20
Hoofdstuk 3: ISO 9001 norm en AVG ........................................................................................................................... 22
3.1. Inleiding ............................................................................................................................................................... 22
3.2. De ISO 9001 norm ............................................................................................................................................... 22
3.3. Koppeling ISO 9001 norm en de AVG ................................................................................................................. 22
3.4. Hard law vs. Soft law ........................................................................................................................................... 23
3.5. Tussenconclusie .................................................................................................................................................. 23
Hoofdstuk 4: huidige situatie bij Solid Services BV ................................................................................................... 24
4.1. Inleiding ............................................................................................................................................................... 24
4.2. Criteria Autoriteit Persoonsgegevens ................................................................................................................... 24
4.3. Toetsing van huidige ISO 9001 formulieren, checklists, werkinstructies en procedures ....................................... 24
4.3.1. Procedures ................................................................................................................................................... 24
4.3.1.1. Documenten en registraties .................................................................................................................. 24
4.3.1.2. Automatisering ...................................................................................................................................... 25
4.3.1.3. Bewaartermijnen ................................................................................................................................... 26
4.3.1.4. Beveiliging van persoonsgegevens ....................................................................................................... 27
4.3.1.5. Verwerkersovereenkomsten ................................................................................................................. 27
4.3.1.6. Direct marketing .................................................................................................................................... 27
4.3.1.7. Gegevens over de gezondheid ............................................................................................................. 28
4.3.1.8. Risicomanagement ............................................................................................................................... 28
4.3.1.9. Persoonsgegevens nieuwe werknemers ............................................................................................... 29
4.3.1.10. Vertrouwenspersoon ........................................................................................................................... 29
4.3.2. Formulieren .................................................................................................................................................. 29
4.3.3. Werkinstructies ............................................................................................................................................. 30
4.4. Algemene opmerkingen naar aanleiding van praktijkonderzoek .......................................................................... 30
4.5. Tussenconclusie .................................................................................................................................................. 31
Hoofdstuk 5: conclusies en aanbevelingen ................................................................................................................ 32
5.1. Inleiding ............................................................................................................................................................... 32
5.2. Conclusies ........................................................................................................................................................... 32
5.3. Aanbevelingen ..................................................................................................................................................... 34
Bronnenlijst ................................................................................................................................................................... 37
Samenvatting
Solid Services BV is een advies- en ingenieursbureau, dat zich bezig houdt met inspectie en
onderzoek van betonnen gebouwen en constructies. Aangezien de organisatie persoons-
gegevens verwerkt, is de Algemene verordening gegevensbescherming (hierna: AVG) van
toepassing. Solid Services BV wil uitgezocht hebben hoe de huidige ISO 9001
bedrijfsprocessen aangepast dienen te worden, zodat deze voldoen aan de AVG. De vraag
die centraal staat in dit onderzoeksrapport, is: ‘’Welke aanpassingen moet Solid Services BV
doorvoeren in de huidige werkprocessen en werkinstructies, die zijn ingericht volgens de ISO
9001 norm, zodat er uiteindelijk één werkwijze ontstaat waarbinnen alle werkprocessen en
werkinstructies voldoen aan zowel de AVG als aan de ISO 9001 norm?’’
Om deze vraag te beantwoorden is een rechtsbronnen- en literatuuronderzoek verricht.
Hierbij is gebruik gemaakt van verschillende bronnen, te weten de Algemene verordening
gegevensbescherming, tekst en commentaar, jurisprudentie, de Uitvoeringswet Algemene
verordening gegevensbescherming, de ISO 9001 norm van NEN, artikelen uit vakbladen,
elektronische bronnen, richtlijnen van de artikel 29-werkgroep over een Data Protection
Impact Assessment en toestemming, en andere relevante literatuur. Daarnaast is de
koppeling tussen de AVG en de ISO 9001 norm onderzocht door middel van een drietal
interviews, één met een medewerker van NEN, één met een medewerker van Kiwa en één
met een privacyjurist. Dit om zo te bepalen in hoeverre de ISO 9001 bedrijfsprocessen
herschreven kunnen worden. Als laatste is de huidige situatie binnen de organisatie
onderzocht door de bedrijfsprocessen te toetsen aan de relevante artikelen uit de AVG en
aan te geven waar deze aangepast dienen te worden.
Uit de interviews kwam naar voren dat binnen het kwaliteitsmanagementsysteem voldaan
moet worden aan geldende wet- en regelgeving, zoals de AVG. De ISO 9001 norm kan
daarom niet conflicteren met de AVG. Daarnaast is de AVG een Europese verordening die
hiërarchisch hoger staat dan een ISO norm. Gebleken is dat de werkinstructies voldoen aan
de AVG. De reden dat sommige formulieren niet voldoen aan de AVG is omdat er te veel
persoonsgegevens worden verwerkt. Niet alle procedures voldoen aan de AVG omdat deze
procedures meer uitleg behoeven of omdat er te veel persoonsgegevens worden verwerkt.
De Autoriteit Persoonsgegevens beoordeelt organisaties op de AVG en aanvullende regels
die zij opstelt. Het is daarom noodzakelijk deze via haar website regelmatig te raadplegen.
Tevens zijn er een aantal praktische aanbevelingen gedaan. Namelijk: een hoger niveau van
bewustwording rondom de AVG creëren binnen de organisatie, een verwerkingsregister
opstellen, de bewaartermijnen herzien, de risico’s van het verwerken van persoonsgegevens
in kaart brengen door een Data Protection Impact Assessment uit te voeren, een
Functionaris voor de gegevensbescherming aanstellen voor de implementatie van de AVG,
de procedures rondom automatisering en de beveiliging hiervan herzien, de beginselen van
Privacy by Design en Privacy by Default toepassen, definiëren wie toegang heeft tot fysieke
dossiers en waarom, het clean desk principe en het locken van computers meer onder de
aandacht brengen bij de werknemers, een procedure opstellen over omgang met datalekken,
een procedure opstellen omtrent de marketingactiviteiten, een procedure opstellen over de
doorgifte van persoonsgegevens aan derde partijen, zowel in binnen- als buitenland, met alle
derde partijen een verwerkersovereenkomst afsluiten, beschrijven hoe betrokkenen hun
rechten uit de AVG kunnen uitoefenen, het aanvragen van een SSL certificaat voor de
website bij de hostingprovider, toestemming vragen aan werknemers voor het plaatsen van
foto’s van hen op de website en een procedure opnemen omtrent sollicitanten.
Begrippenlijst1
AVG: Algemene verordening gegevensbescherming.
Persoonsgegevens: Alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon ("de
betrokkene"). Als identificeerbaar wordt
beschouwd een natuurlijke persoon die direct of
indirect kan worden geïdentificeerd, met name
aan de hand van een identificator zoals een
naam, een identificatienummer, locatiegegevens,
een online identificator of van een of meer
elementen die kenmerkend zijn voor de fysieke,
fysiologische, genetische, psychische,
economische, culturele of sociale identiteit van
die natuurlijke persoon.
Verwerking: Een bewerking of een geheel van bewerkingen
met betrekking tot persoonsgegevens of een
geheel van persoonsgegevens, al dan niet
uitgevoerd via geautomatiseerde procedés, zoals
het verzamelen, vastleggen, ordenen,
structureren, opslaan, bijwerken of wijzigen,
opvragen, raadplegen, gebruiken, verstrekken
door middel van doorzending, verspreiden of op
andere wijze ter beschikking stellen, aligneren of
combineren, afschermen, wissen of vernietigen
van gegevens.
Bestand: Elk gestructureerd geheel van
persoonsgegevens die volgens bepaalde criteria
toegankelijk zijn, ongeacht of dit geheel
gecentraliseerd of gedecentraliseerd is dan wel
op functionele of geografische gronden is
verspreid.
Verwerkingsverantwoordelijke: Een natuurlijke persoon of rechtspersoon, een
overheidsinstantie, een dienst of een ander
orgaan die/dat, alleen of samen met anderen, het
doel van en de middelen voor de verwerking van
persoonsgegevens vaststelt; wanneer de
doelstellingen van en de middelen voor deze
verwerking in het Unierecht of het lidstatelijke
recht worden vastgesteld, kan daarin worden
bepaald wie de verwerkingsverantwoordelijke is
of volgens welke criteria deze wordt
aangewezen.
1 art. 4 AVG
Verwerker: Een natuurlijke persoon of rechtspersoon, een
overheidsinstantie, een dienst of een ander
orgaan die/dat ten behoeve van de
verwerkingsverantwoordelijke persoonsgegevens
verwerkt.
Toestemming: Elke vrije, specifieke, geïnformeerde en
ondubbelzinnige wilsuiting waarmee de
betrokkene door middel van een verklaring of
een ondubbelzinnige actieve handeling een hem
betreffende verwerking van persoonsgegevens
aanvaardt.
Gegevens over de gezondheid: Persoonsgegevens die verband houden met de
fysieke of mentale gezondheid van een
natuurlijke persoon, waaronder gegevens over
verleende gezondheidsdiensten waarmee
informatie over zijn gezondheidstoestand wordt
gegeven.
Autoriteit Persoonsgegevens: De toezichthoudende autoriteit in Nederland op
het gebied van persoonsgegevens. Zij zien toe
op de naleving van de AVG.
1
Hoofdstuk 1: inleiding
1.1. Probleembeschrijving
Solid Services BV is een advies- en ingenieursbureau met 16 medewerkers dat zich
voornamelijk bezig houdt met inspectie en onderzoek van betonnen gebouwen en
constructies. Hierbij adviseert zij ook over herstelwerkzaamheden in geval van schade.
Daarnaast heeft zij een intern lab waar onderzoek wordt gedaan naar de invloed van
verschillende stoffen op betonnen constructies. Op basis hiervan geeft zij advies en stelt zij
desgewenst bestekken op ten behoeve van de renovatie of restauratie van gebouwen of
constructies. Tevens biedt Solid Services BV ondersteuning in aanbestedingsprocedures en
voert zij uiteindelijk directie bij restauratie- of renovatieprojecten. Tot slot geeft Solid Services
BV opleidingen, trainingen en advies en biedt zij ondersteuning bij arbitragezaken op het
gebied van onderhoud en beheer van beton.
Aangezien de organisatie diverse persoonsgegevens verwerkt (o.a. van klanten en eigen
personeel, zoals naam, adres, telefoonnummer, e-mailadres, bankgegevens e.d.), is de
Algemene verordening gegevensbescherming (hierna: AVG) op haar van toepassing. Om
deze reden moet de organisatie voldoen aan de AVG. Zij wil uitgezocht hebben hoe de
huidige werkprocessen en werkinstructies, die zijn ingericht volgens de ISO 9001 normering,
waar nodig aangepast dienen te worden zodat deze tevens voldoen aan de AVG. De ISO
9001 normering is de basis voor alle werkprocessen en werkinstructies binnen het bedrijf en
is noodzakelijk voor het behoud van klanten, omdat deze de ISO 9001 certificering verplicht
stellen. Sinds juni 2018 is de organisatie ingericht en gecertificeerd volgens de meest
recente ISO 9001 norm.
Solid Services BV werkt voor veel grote industriële bedrijven zoals Cargill, Akzo, Dow en
Yara. De ISO 9001 certificering is erg belangrijk voor Solid Services BV, aangezien veel van
haar klanten hierom vragen of dit zelfs eisen. De AVG verlangt een bepaalde werkwijze die
geïmplementeerd dient te worden binnen de organisatie. Aangezien binnen Solid Services
BV, in het kader van de ISO certificering, al veel werkprocessen en werkinstructies aanwezig
zijn, is het wenselijk om deze werkprocessen en werkinstructies zo in te richten dat er één
werkwijze ontstaat, die zowel aan de AVG als aan de ISO 9001 norm voldoet, maar die
tevens ook praktisch hanteerbaar blijft.
1.2. Centrale vraag en deelvragen
De vraag die centraal staat in dit onderzoeksrapport luidt als volgt:
‘’Welke aanpassingen moet Solid Services BV doorvoeren in de huidige werkprocessen en
werkinstructies, die zijn ingericht volgens de ISO 9001 norm, zodat er uiteindelijk één
werkwijze ontstaat waarbinnen alle werkprocessen en werkinstructies voldoen aan zowel de
AVG als aan de ISO 9001 norm?’’
Voor de beantwoording van deze centrale vraag is gebruik gemaakt van een aantal deelvragen
en subdeelvragen:
‘’Welke artikelen uit de AVG zijn relevant voor Solid Services BV?’’
• Hoe dienen de artikelen uit de AVG volgens de Uitvoeringswet Algemene
verordening gegevensbescherming geïnterpreteerd te worden?
2
• Zijn er bepaalde artikelen uit de AVG waaraan Solid Services BV nu niet hoeft te
voldoen, maar wellicht in de toekomst wel?
‘’Welke conclusies kunnen getrokken worden uit de interviews met medewerkers van Kiwa
en NEN en de privacyjurist omtrent de stand van zaken in de praktijk van de implementatie
van de AVG in ISO 9001 werkprocessen en werkinstructies?’’
‘’Welke huidige ISO 9001 werkprocessen en werkinstructies van Solid Services BV voldoen
nog niet aan de AVG en waarom niet?’’
• Welke criteria hanteert de Autoriteit Persoonsgegevens (hierna: AP) bij het
beoordelen of een organisatie wel of niet voldoet aan de AVG?
‘’Welke aanpassingen moeten er gedaan worden aan de ISO 9001 werkprocessen en
werkinstructies, zodat deze voldoen aan de AVG?’’
1.3. Doelstelling
Solid Services BV krijgt door middel van dit onderzoeksrapport, dat op dinsdag 8 januari
2019 is uitgebracht, aanbevelingen over haar ISO 9001 werkprocessen en werkinstructies,
zodat zij deze zo kan inrichten dat ze aan zowel de AVG als de ISO 9001 norm voldoen,
maar toch praktisch hanteerbaar blijven. Tevens is er een poster overhandigd die in het
kantoor komt te hangen, waarop tips en valkuilen omtrent de AVG worden benoemd, om
meer bewustwording bij zowel huidige als eventuele nieuwe werknemers te creëren.
1.4. Werkwijze
Voor dit onderzoek is gebruik gemaakt van een rechtsbronnen- en literatuuronderzoek.2 Om
inhoudelijk juiste informatie te vergaren, moesten schriftelijke bronnen worden gezocht en
geraadpleegd. De informatie die in deze bronnen staat moest worden geanalyseerd,
vergeleken en geïnterpreteerd. Vervolgens is de relevante informatie toegepast op de
deelvragen en maakt deze informatie deel uit van het uiteindelijke advies.
Daarnaast is er gebruik gemaakt van een drietal interviews. Om het onderzoek vanuit de
kant van de ISO 9001 norm te bekijken, zijn er interviews afgenomen bij Kiwa en NEN. Kiwa
is een certificeringsorganisatie en NEN heeft de ISO 9001 norm ontwikkeld. Hierdoor konden
de mensen van deze organisaties die hebben meegewerkt aan deze interviews, inhoudelijk
ook daadwerkelijk iets toevoegen aan dit onderzoek. Om het onderzoek te bekijken vanuit de
kant van de AVG is gekozen om een interview te houden met een jurist die gespecialiseerd
is in het privacyrecht. Hierdoor kon ook deze persoon een inhoudelijke bijdrage leveren aan
dit onderzoek.
Om ervoor te zorgen dat de informatie die is verkregen uit deze interviews betrouwbaar is,
zijn de interviews met een medewerker van Kiwa en de privacyjurist opgenomen en zijn van
deze interviews transcripten gemaakt, alvorens conclusies zijn getrokken. Het interview met
een medewerker van NEN kon alleen telefonisch worden afgenomen. Ter waarborging van
de betrouwbaarheid, zijn tijdens het interview aantekeningen gemaakt, die na het interview
direct zijn uitgewerkt.
Voor het beantwoorden van de vraag welke wettelijke artikelen uit de AVG relevant zijn voor
Solid Services BV, is naast de AVG ook nog naar andere bronnen gekeken. Om te kunnen
2 van Schaaijk 2015, p. 94.
3
bepalen hoe de AVG praktisch geïnterpreteerd moet worden is gekeken naar tekst en
commentaar, jurisprudentie, de Uitvoeringswet Algemene verordening
gegevensbescherming, artikelen uit vakbladen, elektronische bronnen en richtlijnen van de
artikel 29-werkgroep over een Data Protection Impact Assessment en toestemming. Tevens
is hierin meegenomen wat wordt beschreven in de literatuur. Hierbij is niet alleen gekeken
naar welke artikelen uit de AVG momenteel relevant zijn voor Solid Services BV, maar ook
welke artikelen in de toekomst relevant kunnen worden. Al deze informatie is samengevat en
geïnterpreteerd. Dit heeft geleid tot de beantwoording van deelvraag één.
Daarnaast is de praktische koppeling tussen de AVG en de ISO 9001 norm bekeken aan de
hand van bovengenoemde interviews. Hieruit is geconcludeerd hoe met een dergelijke
situatie in de praktijk wordt omgegaan. Deze informatie is gebruikt voor de beantwoording
van deelvraag twee.
Om te bepalen welke huidige ISO 9001 werkprocessen en werkinstructies van Solid Services
BV nog niet voldoen aan de AVG, zijn deze werkprocessen en werkinstructies getoetst aan
de artikelen uit de AVG die relevant zijn voor Solid Services BV. Dit is praktisch uitgevoerd
door de schriftelijke werkprocessen en werkinstructies naast het theoretisch kader van de
AVG te houden. Aanpassingen die doorgevoerd dienen te worden in de ISO 9001
werkprocessen en werkinstructies die nog niet voldoen aan de AVG, zijn schematisch
weergegeven. Bovendien zijn de criteria die de toezichthoudende autoriteit, in Nederland de
AP, hanteert om te beoordelen of de organisatie voldoet aan de AVG nader toegelicht. Dit
heeft geleid tot de beantwoording van de deelvragen drie en vier.
Uit deze deelvragen zijn conclusies getrokken, waarna aanbevelingen zijn gedaan over
welke aanpassingen er precies doorgevoerd dienen te worden in de ISO 9001
werkprocessen en werkinstructies, zodat Solid Services BV voldoet aan de AVG maar ook
haar ISO 9001 certificering kan behouden.
1.5. Leeswijzer
Het eerste hoofdstuk bevat de inleiding. In het tweede hoofdstuk wordt het wettelijk kader
van de AVG besproken. Het derde hoofdstuk gaat over de koppeling van de ISO 9001 norm
en de AVG. Vervolgens zal in het vierde hoofdstuk de huidige situatie bij Solid Services BV
omtrent de ISO 9001 werkprocessen en werkinstructies worden besproken. Als laatste zullen
in hoofdstuk vijf de conclusies en aanbevelingen worden gepresenteerd.
4
Hoofdstuk 2: het wettelijk kader van de AVG
2.1. Inleiding
In dit hoofdstuk zal het wettelijk kader omtrent de AVG uiteengezet worden. De relevante
artikelen uit de AVG zullen worden toegelicht en worden onderbouwd aan de hand van tekst
en commentaar, jurisprudentie, de Uitvoeringswet Algemene verordening
gegevensbescherming, artikelen uit vakbladen, elektronische bronnen en richtlijnen van de
artikel 29-werkgroep over een Data Protection Impact Assessment en toestemming, en
andere relevante literatuur. Tevens zal worden toegelicht aan welke artikelen uit de AVG
Solid Services BV momenteel nog niet hoeft te voldoen, maar eventueel in de toekomst wel.
Om er uiteindelijk voor te zorgen dat de ISO 9001 werkprocessen en werkinstructies van
Solid Services BV AVG-proof worden, is deze analyse van belang, zodat gekeken kan
worden welke artikelen specifiek voor Solid Services BV van toepassing zijn, om deze
vervolgens te kunnen toetsen aan de bestaande ISO 9001 werkprocessen en
werkinstructies.
2.2. Artikelen uit de AVG
2.2.1. Materieel en territoriaal toepassingsgebied AVG
Allereerst moet er gekeken worden of Solid Services BV valt onder het materiële
toepassingsgebied van de AVG.3 Op grond van de AVG is hier sprake van als er geheel of
gedeeltelijk geautomatiseerd persoonsgegevens worden verwerkt en deze in een bestand
zijn opgenomen of bestemd zijn om in een bestand te worden opgenomen.
Onder een persoonsgegeven wordt verstaan, alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon.4 Als identificeerbaar wordt beschouwd een natuurlijke
persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een
identificator zoals een naam, een identificatienummer, locatiegegevens, een online
identificator of van één of meer elementen die kenmerkend zijn voor de fysieke,
fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die
natuurlijke persoon. Verwerkering moet worden geïnterpreteerd als het verzamelen,
vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen,
gebruiken, verstrekken door middel van doorzending, verspreiden, ter beschikking stellen,
aligneren of combineren, afschermen, wissen of vernietigen van gegevens.5 Daarnaast moet
er bekeken worden wat een bestand is op grond van de AVG. Een bestand is elk
gestructureerd geheel van persoonsgegevens.6
Concluderend kan gesteld worden dat Solid Services BV persoonsgegevens verwerkt van
haar eigen personeel en van klanten. Deze gegevens worden namelijk opgeslagen,
gestructureerd in systemen, bijgewerkt en waar nodig gewijzigd en/of gewist. Al deze
activiteiten vallen onder de definitie van verwerken volgens de AVG. Deze
persoonsgegevens zijn in een bestand opgenomen, zowel geautomatiseerd in systemen als
fysiek in papieren dossiers. Het betreft gegevens waar natuurlijke personen mee
geïdentificeerd zijn of kunnen worden. Solid Services BV voldoet hiermee aan het materiële
toepassingsgebied van de AVG.
3 art. 2 lid 1 AVG 4 art. 4 onder 1 AVG 5 art. 4 onder 2 AVG 6 art. 4 onder 6 AVG
5
Daarnaast kent de AVG nog een territoriaal toepassingsgebied.7 Dit houdt in dat de AVG
alleen van toepassing is op de verwerking van persoonsgegevens in het kader van de
activiteiten van een vestiging van een verwerkingsverantwoordelijke of verwerker in de
Europese Unie.
Solid Services BV heeft één vestiging in Udenhout, Nederland. Het bedrijf bevindt zich dus
binnen de Europese Unie, waardoor ook aan het territoriaal toepassingsgebied van de AVG
is voldaan.
Kortom, Solid Services BV voldoet aan zowel het materiële als het territoriale
toepassingsgebied van de AVG en is daarmee gebonden aan de uit deze verordening
voortvloeiende regels.
2.2.2. Verwerkingsverantwoordelijke en verwerker
Een verwerkingsverantwoordelijke is een natuurlijk persoon of rechtspersoon, die het doel
van en de middelen voor de verwerking van de persoonsgegevens vaststelt.8 Een verwerker
is een natuurlijke persoon of rechtspersoon die ten behoeve van de
verwerkingsverantwoordelijke persoonsgegevens verwerkt.9
Solid Services BV is verwerkingsverantwoordelijke voor de persoonsgegevens die zij van
haar eigen personeel en klanten verwerkt, omdat zij voor deze verwerking het doel en de
middelen vaststelt. Eventuele derde partijen die namens Solid Services BV
persoonsgegevens verwerken, zijn daarmee verwerker.
2.2.3. Beginselen verwerking persoonsgegevens
Conform de AVG zijn er een aantal beginselen waaraan de verwerking van
persoonsgegevens moet voldoen.10 Deze zullen in onderstaand schema worden
weergegeven.
Wettelijke grondslag Beginsel Uitleg
Artikel 5 lid 1 sub a AVG Rechtmatigheid, behoorlijkheid en transparantie.
Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.
Artikel 5 lid 1 sub b AVG Doelbinding. Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd.
Artikel 5 lid 1 sub c AVG Minimale gegevensverwerking. Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Artikel 5 lid 1 sub d AVG Juistheid. Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Alle
7 art. 3 lid 1 AVG 8 art. 4 onder 7 AVG 9 art. 4 onder 8 AVG 10 art. 5 AVG
6
redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.
Artikel 5 lid 1 sub e AVG Opslagbeperking. Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is. Persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens uitsluitend met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen.
Artikel 5 lid 1 sub f AVG Integriteit en vertrouwelijkheid.
Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Artikel 5 lid 2 AVG Verantwoordingsplicht. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze beginselen en kan dit aantonen.
2.2.4. Rechtmatigheid van de verwerking
Naast de beginselen zijn er ook een aantal gronden opgenomen in de AVG.11 Om
persoonsgegevens te mogen verwerken, moet sprake zijn van ten minste één van deze
redenen om persoonsgegevens te mogen verwerken.12 Indien hier niet aan wordt voldaan is
de verwerking van de persoonsgegevens onrechtmatig. Deze gronden zullen hieronder
schematisch worden weergegeven.
Wettelijke grondslag Gronden Uitleg
Artikel 6 lid 1 sub a AVG Toestemming. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden.
Artikel 6 lid 1 sub b AVG Uitvoering van een overeenkomst.
De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.
11 art. 6 lid 1 AVG 12 Engelfriet, Chew & Kager 2018, p. 37.
7
Artikel 6 lid 1 sub c AVG Wettelijke verplichting. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
Artikel 6 lid 1 sub d AVG Beschermen van vitale belangen.
De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.
Artikel 6 lid 1 sub e AVG Taak van algemeen belang. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
Artikel 6 lid 1 sub f AVG Behartiging van de gerechtvaardigde belangen, met name wanneer de betrokkene een kind is.
De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens dienen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Er moet dus altijd een belangenafweging plaatsvinden. Hierbij moet voldaan worden aan de vereisten van proportionaliteit en subsidiariteit.13 Een inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel. Daarnaast moet dit doel in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kunnen worden verwezenlijkt.
2.2.5. Voorwaarden voor toestemming
Als een betrokkene toestemming geeft voor de verwerking van zijn persoonsgegevens, moet
deze toestemming wel aan een aantal voorwaarden voldoen.14 Allereerst moet de
verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft
gegeven.15 Dit kan bijvoorbeeld door het bijhouden van een register.16 Wanneer de
toestemming is verleend door een schriftelijke verklaring die ook op andere
aangelegenheden betrekking heeft, dan moet het verzoek om toestemming in een
begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden
gepresenteerd, zodat onderscheid gemaakt kan worden met de andere aangelegenheden.17
13 HR 9 september 2011, ECLI:NL:HR:2011:BQ8097 (Santander). 14 art. 7 lid 1 AVG 15 art. 7 lid 1 AVG 16 Article 29 Working Party, Guidelines on Consent under Regulation 2016/679, p. 24. 17 art. 7 lid 2 AVG
8
Daarnaast heeft de betrokkene het recht te allen tijde zijn toestemming weer in te trekken.18
De verwerking van de persoonsgegevens vóór het intrekken van de toestemming blijft wel
rechtmatig. De betrokkene wordt van dit recht vooraf op de hoogte gebracht en het intrekken
van de toestemming moet op eenvoudige wijze mogelijk zijn.
Toestemming moet daarnaast vrijelijk gegeven kunnen worden.19 Dit houdt in dat de
toestemming vrijwillig gegeven moet kunnen worden, dit mag niet onder dwang gebeuren en
er mag geen nadelige behandeling volgen als de toestemming wordt geweigerd.20 Er kan
geen sprake zijn van vrijelijk gegeven toestemming wanneer er sprake is van een
wanverhouding tussen de verwerkingsverantwoordelijke en de betrokkene. Hier is
bijvoorbeeld sprake van in een arbeidsverhouding.21 Het is onwaarschijnlijk dat een
werknemer vrijelijk, zonder druk te voelen, toestemming kan geven. De werknemer bevindt
zich namelijk in een afhankelijkheidspositie ten opzichte van de werkgever. De rechtsgrond
toestemming kan dan ook in de meeste gevallen niet worden toegepast door een werkgever.
Daarnaast moet de toestemming ondubbelzinnig zijn. Er mag geen twijfel ontstaan over of
een persoon bedoeld heeft toestemming te geven.22 Als laatste moet de
toestemmingshandeling een actieve handeling zijn, stilzwijgend toestemming geven is
hiermee dan ook uitgesloten.23
2.2.6. Verwerking van bijzondere persoonsgegevens
Het verwerken van bijzondere persoonsgegevens is in beginsel verboden.24 Bijzondere
persoonsgegevens zijn:
o Gegevens waaruit ras of etnische afkomst blijkt;
o Gegevens waaruit politieke opvattingen blijken;
o Gegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
o Gegevens waaruit een lidmaatschap van een vakbond blijkt;
o Genetische gegevens;
o Biometrische gegevens;
o Gegevens over gezondheid;
o Gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid.
Verwerking van deze gegevens kan enkel onder bepaalde voorwaarden.25 De voorwaarden
die van toepassing kunnen zijn voor Solid Services BV zullen hierna uiteengezet worden.
Allereerst kan de betrokkene uitdrukkelijk toestemming geven voor het verwerken van deze
gegevens voor één of meer welbepaalde doeleinden.26 Daarnaast als dit noodzakelijk is met
het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de
verwerkingsverantwoordelijke of de betrokkene, op het gebied van arbeidsrecht, het
sociaalzekerheidsrecht en socialebeschermingsrecht.27 Het verwerken van
persoonsgegevens is ook toegestaan wanneer het persoonsgegevens betreffen die kennelijk
18 art. 7 lid 3 AVG 19 art. 7 lid 4 AVG 20 Engelfriet, Chew & Kager 2018, p. 38. 21 Article 29 Working Party, Guidelines on Consent under Regulation 2016/679, p. 7-8. 22 Engelfriet, Chew & Kager 2018, p. 39. 23 Engelfriet, Chew & Kager 2018, p. 29. 24 art. 9 lid 1 AVG 25 art. 9 lid 2 AVG 26 art. 9 lid 2 sub a AVG 27 art. 9 lid 2 sub b AVG
9
door de betrokkene openbaar zijn gemaakt.28 Ook mogen persoonsgegevens worden
verwerkt voor de instelling, uitoefening of onderbouwing van een rechtsvordering.29 Tevens
wanneer de verwerking noodzakelijk is voor doeleinden van preventieve of
arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer,
medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of
behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale
stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een
overeenkomst met een gezondheidswerker.30 Deze gegevens mogen echter alleen worden
verwerkt door een beroepsbeoefenaar die gebonden is aan beroepsgeheim of een andere
persoon die gebonden is aan geheimhouding.31 Solid Services BV dient voor voorgenoemde
doeleinden gegevens over de gezondheid van haar werknemers te verwerken en voldoet
hiermee aan deze uitzondering.
Verder mogen er geen strafrechtelijke gegevens worden verwerkt.32 Daarnaast hoeft de
verwerkingsverantwoordelijke de betrokkene niet te identificeren, indien de doeleinden
waarvoor de persoonsgegevens worden verwerkt dit niet vereisen.33 Een werkgever heeft
echter wel een identificatieplicht, waardoor zij de identiteit inclusief identificatienummer
(BSN) van haar werknemers moet controleren en een kopie van een identiteitsbewijs moet
bewaren.34 Hierdoor gaat deze regel voor Solid Services BV niet op.35 Dit wordt bevestigd in
de Uitvoeringswet. 36
2.2.7. Rechten van de betrokkene
De betrokkene waarvan zijn persoonsgegevens worden verwerkt, heeft op grond van de
AVG een aantal rechten die gewaarborgd dienen te worden. De verwerkings-
verantwoordelijke dient mee te werken aan de mogelijkheid voor de betrokkene om zijn
rechten uit te oefenen.37 Betrokkenen mogen dit verzoek op iedere manier doen. Wanneer
een betrokkene een elektronisch verzoek indient, dient dit verzoek ook elektronisch
beantwoord te worden. Verzoeken moeten binnen één maand worden ingewilligd of
gemotiveerd worden afgewezen.38 Wanneer één maand niet haalbaar is, dient gemotiveerd
te worden waarom deze termijn niet haalbaar is. De periode waarin verzoeken moeten
worden behandeld wordt dan verlengd met twee maanden.
➢ Recht op informatie en toegang tot persoonsgegevens
de betrokkene wordt door de verwerkingsverantwoordelijke op de hoogte gesteld van
het feit dat zijn persoonsgegevens worden verwerkt, de reden voor deze verwerking,
de duur van de verwerking en indien de persoonsgegevens verder worden verwerkt
dan het doel waarvoor zij zijn verzameld.39
28 art. 9 lid 2 sub e AVG 29 art. 9 lid 2 sub f AVG 30 art. 9 lid 2 sub h AVG 31 art. 9 lid 3 AVG 32 art. 10 AVG 33 art. 11 lid 1 AVG 34 Identificatieplicht, www.rijksoverheid.nl 35 Engelfriet, Chew & Kager 2018, p. 46-47. 36 art. 25 sub a van de Uitvoeringswet 37 art. 12 lid 2 AVG 38 Engelfriet, Chew & Kager 2018, p. 77. 39 art. 13 lid 1-3 AVG
10
➢ Recht op informatie persoonsgegevens niet van betrokkene verkregen
indien de persoonsgegevens door de verwerkingsverantwoordelijke niet zijn
verkregen van de betrokkene, dan moet deze hiervan op de hoogte gebracht
worden.40 Ook hiervoor geldt dat de betrokkene op de hoogte gesteld moet worden
over het feit dat zijn persoonsgegevens worden verwerkt, voor welk doel dit gebeurt
en de duur van de verwerking.
➢ Recht van inzage
de betrokkene heeft het recht om de persoonsgegevens die worden verwerkt in te
zien en de daarbij behorende gegevens zoals verwerkingsdoeleinden en dergelijke.41
➢ Recht op rectificatie
de betrokkene heeft recht op rectificatie van, naar zijn mening, onjuiste
persoonsgegevens.42 De verwerkingsverantwoordelijke moet vervolgens de
persoonsgegevens onverwijld rectificeren.
➢ Recht op gegevenswissing (recht op vergetelheid)
de betrokkene heeft recht op wissing van zijn persoonsgegevens zonder onnodige
vertraging.43 Hiervan kan sprake zijn wanneer de verwerking van de
persoonsgegevens niet meer nodig is voor de doeleinden waarvoor zij zijn
verzameld.44 Ook dienen de persoonsgegevens gewist te worden wanneer de
betrokkene zijn toestemming intrekt en voor de verwerking verder geen rechtsgrond
aanwezig is.45 Daarnaast kan de betrokkene bezwaar maken en dienen de
persoonsgegevens gewist te worden als er verder geen prevalerende, dwingende en
gerechtvaardigde gronden aanwezig zijn voor de verwerking.46 Ook kan het
voorkomen dat de persoonsgegevens onrechtmatig verwerkt zijn, deze dienen dan
ook gewist te worden.47 Als laatste moeten persoonsgegevens gewist worden als de
verwerkings- verantwoordelijke hier wettelijk toe verplicht is.48
➢ Recht op beperking van de verwerking
de betrokkene heeft het recht op beperking van de verwerking van zijn
persoonsgegevens als de juistheid van de persoonsgegevens wordt betwist, de
verwerking van de persoonsgegevens onrechtmatig is en de betrokkene zich verzet
tegen het wissen van de gegevens, de verwerkingsverantwoordelijke de gegevens
niet meer nodig heeft maar de betrokkene wel voor het instellen, uitvoeren of
onderbouwen van een rechtsvordering of als de betrokkene bezwaar heeft
gemaakt.49 De persoonsgegevens van de betrokkene dienen in geval van een
dergelijk verzoek bevroren te worden.50 Dit dient te gebeuren totdat een bezwaar
tegen of probleem met de verwerking van de persoonsgegevens is opgelost.
40 art. 14 lid 1-2 AVG 41 art. 15 lid 1 AVG 42 art. 16 AVG 43 art. 17 lid 1 AVG 44 art. 17 lid 1 sub a AVG 45 art. 17 lid 1 sub b AVG 46 art. 17 lid 1 sub c AVG 47 art. 17 lid 1 sub d AVG 48 art. 17 lid 1 sub e AVG 49 art. 18 lid 1 sub a-d AVG 50 Engelfriet, Chew & Kager 2018, p. 75.
11
➢ Kennisgevingsplicht
de betrokkene heeft het recht om door de verwerkingsverantwoordelijke op de hoogte
gesteld te worden van elke rectificatie of wissing van de persoonsgegevens of een
beperking van de verwerking, tenzij dit onmogelijk blijkt of onevenredig veel
inspanning vergt.51
➢ Recht op overdraagbaarheid van gegevens
de betrokkene heeft het recht om zijn persoonsgegevens te verkrijgen zodat hij deze
persoonsgegevens aan een andere verwerkingsverantwoordelijke kan overdragen,
zonder hinder van de verwerkingsverantwoordelijke aan wie de persoonsgegevens
waren verstrekt.52 De verwerking moet wel berusten op toestemming of een
overeenkomst en de verwerking moet geschieden via geautomatiseerde procedés.53
De betrokkene heeft bij de uitoefening van zijn recht op gegevensoverdraagbaarheid
het recht dat gegevens, indien dit technisch mogelijk is, rechtstreeks worden
doorgezonden van de ene verwerkingsverantwoordelijke naar de andere.54 De
betrokkene moet ook de mogelijkheid krijgen om bij zijn eigen gegevens te kunnen.
Een goede optie hiervoor is een downloadknop, waardoor de betrokkene zijn
gegevens zelf kan downloaden, opslaan en eventueel kan doorzenden naar een
derde.55 Dit bestand moet in een gestructureerd, gangbaar, machineleesbaar en
interoperabel formaat beschikbaar zijn.56
➢ Recht van bezwaar
de betrokkene heeft te allen tijde het recht om bezwaar te maken tegen de
verwerking van zijn persoonsgegevens.57 De verwerkingsverantwoordelijke moet dan
de verwerking staken, tenzij de verwerkingsverantwoordelijke dwingende,
gerechtvaardigde gronden heeft die zwaarder wegen dan de belangen van de
betrokkene of die verband houden met de instelling, uitvoering of onderbouwing van
een rechtsvordering.
➢ Geautomatiseerde individuele besluitvorming
de betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op
geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor
hem rechtsgevolgen zijn verbonden of hem anderszins in aanmerkelijke mate raakt.58
➢ Klachtrecht
de betrokkene heeft het recht om een klacht in te dienen bij de toezichthoudende
autoriteit, in Nederland de AP.59 Dit kan als de betrokkene van mening is dat zijn
persoonsgegevens worden verwerkt in strijd met de AVG.60
51 art. 19 AVG 52 art. 20 lid 1 AVG 53 art. 20 lid 1 sub a-b AVG 54 art. 20 lid 2 AVG 55 Engelfriet, Chew & Kager 2018, p. 69. 56 Vries, de & Goudsmit, NJB 2016/1077 p. 1071-1125. 57 art. 21 lid 1 AVG 58 art. 22 lid 1 AVG 59 Engelfriet, Chew & Kager 2018, p. 117. 60 art. 77 lid 1 AVG
12
➢ Recht om een voorziening in rechte in te stellen tegen de
verwerkingsverantwoordelijke of verwerker
als een betrokkene van mening is dat zijn rechten uit de AVG geschonden zijn met
betrekking tot de verwerking van zijn persoonsgegevens, dan kan hij een
rechtsvordering tegen de verwerkingsverantwoordelijke of de verwerker instellen.61
➢ Recht op schadevergoeding
één ieder die materiële of immateriële schade heeft geleden als gevolg van een
inbreuk op de AVG, heeft het recht een schadevergoeding te ontvangen voor de
geleden schade van de verwerkingsverantwoordelijke of de verwerker.62
2.2.8. Algemene verplichtingen verwerkingsverantwoordelijke
Zoals eerder geconcludeerd is Solid Services BV verwerkingsverantwoordelijke. Als
verwerkingsverantwoordelijke gelden er een aantal verplichtingen. Deze verplichtingen zullen
hieronder toegelicht worden.
Allereerst zal de verwerkingsverantwoordelijke organisatorische en technische maatregelen
moeten nemen.63 Hierbij dient gelet te worden op de aard, omvang, context en het doel van
de verwerking. Tevens moet er gekeken worden naar de waarschijnlijkheid en de ernst van
de uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen. Hiervoor
dient dan ook beleid opgesteld te worden.64
Daarnaast geldt voor de verwerkingsverantwoordelijke het principe van
gegevensbescherming door ontwerp en standaardinstellingen.65 Dit wordt ook wel Privacy by
Design en Privacy by Default genoemd.66 Privacy by Design houdt in dat de software die
gebruikt wordt bij de verwerking van persoonsgegevens, zo is ontworpen dat de privacy van
betrokkenen zo optimaal mogelijk wordt beschermd. Privacy by Default houdt in dat de
instellingen in deze software zo privacy vriendelijk mogelijk moeten zijn. Dit houdt in dat niet
iedereen zomaar bij alle persoons gegevens moet kunnen, maar alleen als dit echt
noodzakelijk is.
Tevens is de verwerkingsverantwoordelijke verplicht een register van de
verwerkingsactiviteiten bij te houden.67 Dit register dient de onderstaande gegevens te
bevatten.68
o De naam en de contactgegevens van de verwerkingsverantwoordelijke;
o De verwerkingsdoeleinden en grondslagen waarop de verwerking berust;
o Een beschrijving van de categorieën van betrokkenen en van de categorieën van
persoonsgegevens;
o De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden
verstrekt, onder meer ontvangers in derde landen of internationale organisaties, met
inbegrip van de vermelding van dat derde land of die internationale organisatie;
o De beoogde termijnen waarbinnen de verschillende categorieën van
persoonsgegevens moeten worden gewist;
61 art. 79 lid 1 AVG 62 art. 82 lid 1 AVG 63 art. 24 lid 1 AVG 64 art. 24 lid 2 AVG 65 art. 25 lid 1-2 AVG 66 Engelfriet, Chew & Kager 2018, p. 87. 67 art. 30 lid 1 AVG 68 Engelfriet, Chew & Kager 2018, p. 30-33.
13
o Een algemene beschrijving van de technische en organisatorische
beveiligingsmaatregelen;
o Een inschatting van het risico voor betrokkenen.
Dit register wordt opgesteld in schriftelijke vorm, waaronder in elektronische vorm.69 Indien
gewenst stelt de verwerkingsverantwoordelijke het register ter beschikking aan de
toezichthoudende autoriteit.70
In beginsel is het bijhouden van een dergelijk register niet verplicht voor bedrijven die minder
dan 250 werknemers in dienst hebben.71 Solid Services BV heeft 16 werknemers in dienst en
zou daarmee in principe niet verplicht zijn een register van de verwerkingsactiviteiten bij te
houden. Echter, er zijn uitzonderingen waarbij in voorgenoemd geval toch een register
bijgehouden moet worden. Dit is het geval wanneer het waarschijnlijk is dat het verwerken
van de gegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de
verwerking niet incidenteel is of de verwerking bijzondere categorieën van
persoonsgegevens betreft. Solid Services BV verwerkt bepaalde persoonsgegevens
structureel. Daarnaast worden er ook bijzondere persoonsgegevens verwerkt, zoals
gegevens over de gezondheid van werknemers en hun nationaliteit (etnisch gegeven) door
de identificatieplicht. Solid Services BV dient door voorgenoemde redenen wel een register
van de verwerkingsactiviteiten bij te houden.72 Als laatste werken de
verwerkingsverantwoordelijke en de verwerker, indien gevraagd, samen met de
toezichthoudende autoriteit bij het vervullen van haar taken.73
2.2.9. Verplichtingen verwerker
De verwerker is degene die namens de verwerkingsverantwoordelijke persoonsgegevens
verwerkt.74 De verwerker moet net als de verwerkingsverantwoordelijke passende,
technische en organisatorische maatregelen treffen voor de verwerking van
persoonsgegevens. De verwerking van persoonsgegevens door een verwerker moet worden
geregeld door middel van een overeenkomst.75 Deze overeenkomst wordt schriftelijk,
waaronder elektronisch, opgesteld.76 Een dergelijke overeenkomst wordt ook wel een
verwerkersovereenkomst genoemd.77 Deze overeenkomst regelt de privacyaspecten van het
werk dat de verwerker doet.78 Als een verwerker de doeleinden en middelen van een
verwerking bepaalt, dan wordt de verwerker met betrekking tot die verwerking als
verwerkingsverantwoordelijke beschouwd.79 De verwerker verwerkt dus alleen
persoonsgegevens in opdracht van de verwerkingsverantwoordelijke.80 De verwerker dient
tevens, evenals de verwerkingsverantwoordelijke, een register bij te houden van de
persoonsgegevens die zij voor de verwerkingsverantwoordelijke verwerkt.81 Dit register dient
de onderstaande gegevens te bevatten.82
69 art. 30 lid 3 AVG 70 art. 30 lid 4 AVG 71 art. 30 lid 5 AVG 72 art. 30 lid 5 AVG 73 art. 31 AVG 74 art. 28 lid 1 AVG 75 art. 28 lid 3 AVG 76 art. 28 lid 9 AVG 77 Engelfriet, Chew & Kager 2018, p. 99. 78 Bijlage 5. 79 art. 28 lid 10 AVG 80 art. 29 AVG 81 art. 30 lid 2 AVG 82 Engelfriet, Chew & Kager 2018, p. 34.
14
o De naam en de contactgegevens van de verwerkers en van iedere
verwerkingsverantwoordelijke waarvoor de verwerker in opdracht handelt;
o De categorieën van verwerkingen die voor rekening van iedere
verwerkingsverantwoordelijke zijn uitgevoerd;
o Een omschrijving van de ontvangers en indien van toepassing, doorgiften van
persoonsgegevens aan een derde land of een internationale organisatie, onder
vermelding van dat derde land of die internationale organisatie;
o Indien mogelijk, een algemene beschrijving van de technische en organisatorische
beveiligingsmaatregelen.
Dit register wordt opgesteld in schriftelijke vorm, waaronder in elektronische vorm.83 Indien
gewenst stelt de verwerker het register ter beschikking aan de toezichthoudende autoriteit.84
2.2.10. Persoonsgegevensbeveiliging
De verwerkingsverantwoordelijke dient organisatorische en technische maatregelen te
treffen en de persoonsgegevens op een passend beveiligingsniveau te beveiligen gelet op
het risico.85 Hierbij dient rekening gehouden te worden met de stand van de techniek, de
uitvoeringskosten, de aard, de omvang, de context, de verwerkingsdoeleinden en de
waarschijnlijkheid en de ernst van de uiteenlopende risico’s voor de rechten en vrijheden van
personen. Deze beveiliging houdt, waar passend, onder andere in:
o De pseudonimisering en versleuteling van persoonsgegevens;
o Het vermogen om op permanente basis de vertrouwelijkheid, integriteit,
beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te
garanderen;
o Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de
toegang tot de persoonsgegevens tijdig te herstellen;
o Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van
de doeltreffendheid van de technische en organisatorische maatregelen ter
beveiliging van de verwerking.
Bij de beoordeling van het passende beveiligingsniveau wordt vooral rekening gehouden met
de verwerkingsrisico’s als gevolg van vernietiging, verlies, wijziging, ongeoorloofde
verstrekking of ongeoorloofde toegang tot doorgezonden, opgeslagen of anders verwerkte
persoonsgegevens, per ongeluk of onrechtmatig.86
2.2.11. Melding inbreuk (datalek)
Als er een inbreuk heeft plaatsgevonden met betrekking tot persoonsgegevens, dan moet de
verwerkingsverantwoordelijke dit melden, zonder onredelijke vertraging, en indien mogelijk
uiterlijk na 72 uur nadat hij er kennis van heeft genomen, aan de toezichthoudende
autoriteit.87 De inbreuk hoeft niet gemeld te worden als het niet waarschijnlijk is dat de
inbreuk met betrekking tot persoonsgegevens een risico inhoudt voor de rechten en
vrijheden van natuurlijke personen. Indien de inbreuk niet binnen 72 uur gemeld is bij de
toezichthoudende autoriteit, dan dient de reden van vertraging gemotiveerd te worden. In
Nederland is de toezichthoudende autoriteit de AP.88 De verwerker dient bij een inbreuk de
verwerkingsverantwoordelijke op de hoogte te stellen, zonder onredelijke vertraging, zodra
83 art. 30 lid 3 AVG 84 art. 30 lid 4 AVG 85 art. 32 lid 1 AVG 86 art. 32 lid 2 AVG 87 art. 33 lid 1 AVG 88 Engelfriet, Chew & Kager 2018, p. 117.
15
hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.89 In deze
melding van een inbreuk, gemaakt door de verwerkingsverantwoordelijke, worden tenminste
de volgende gegevens opgenomen:
o De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder
vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in
kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in
kwestie;
o De naam en de contactgegevens van een contactpunt waar meer informatie kan
worden verkregen;
o De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
o De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen
om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in
voorkomend geval, de maatregelen ter beperking van de eventuele nadelige
gevolgen daarvan.90
Indien alle informatie niet in één keer kan worden verstrekt, dan is het ook mogelijk dat de
informatie in stappen wordt verstrekt, zonder onredelijke vertraging.91 De
verwerkingsverantwoordelijke documenteert alle inbreuken met betrekking tot
persoonsgegevens, voorzien van de feiten, de gevolgen van de inbreuk en de genomen
corrigerende maatregelen.92
Indien de inbreuk met betrekking tot persoonsgegevens een hoog risico inhoudt voor de
rechten en vrijheden van de betrokkenen, dan deelt de verwerkingsverantwoordelijke de
inbreuk onverwijld mede.93 De mededeling dient een beschrijving van de aard van de
inbreuk, de maatregelen, contactgegevens van een contactpunt waar meer informatie te
verkrijgen is en de waarschijnlijke gevolgen van de inbreuk te bevatten.94 De inbreuk hoeft
niet aan de betrokkene medegedeeld te worden als één van de onderstaande voorwaarden
is vervuld:
o De verwerkingsverantwoordelijke heeft passende technische en organisatorische
beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de
persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking
heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor
onbevoegden, zoals versleuteling;
o De verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te
zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich
waarschijnlijk niet meer zal voordoen;
o De mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de
plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij
betrokkenen even doeltreffend worden geïnformeerd.95
2.2.12. Direct marketing
Wanneer persoonsgegevens worden gebruikt voor direct marketing, dan dient hier in de
meeste gevallen toestemming voor gevraagd te worden.96 Als persoonsgegevens die eerder
89 art. 33 lid 2 AVG 90 art. 33 lid 3 AVG 91 art. 33 lid 4 AVG 92 art. 33 lid 5 AVG 93 art. 34 lid 1 AVG 94 art. 34 lid 2 AVG 95 art. 34 lid 3 AVG 96Direct marketing, www.autoriteitpersoonsgegevens.nl
16
verzameld zijn voor een ander doel, vervolgens worden ingezet voor direct marketing, dan
gelden daar regels voor. Welke regels er gelden is afhankelijk van welke soort direct
marketing gebruik wordt gemaakt en of deze is gericht aan bestaande klanten of niet. Er zijn
drie soorten direct marketing, namelijk: digitale direct marketing, telemarketing en
reclamepost.97 Solid Services BV maakt geen gebruik van reclamepost, dus hier zal verder
niet op ingegaan worden. De organisatie moet betrokkenen informeren over het feit dat hun
persoonsgegevens gebruikt worden voor direct marketing. Dit moet op een duidelijke wijze
geschieden, zodat betrokkenen weten wat er met hun persoonsgegevens gebeurt en zij
kunnen kiezen of zij wel of geen direct marketing willen ontvangen.98
In het kader van digitale direct marketing, verstuurt Solid Services BV nieuwsbrieven.99 De
hoofdregel is dat dit alleen mag als daarvoor toestemming is verkregen, tenzij dit bestaande
klanten betreft waarbij aanbiedingen worden gestuurd van eigen, soortgelijke producten van
de organisatie. Betrokkenen hebben het recht om zich te verzetten tegen het gebruik van
hun persoonsgegevens voor digitale direct marketing. Indien dit van toepassing is, dan mag
de betrokkene niet meer worden benaderd. Betrokkenen moeten dit op een eenvoudige
wijze kunnen doen. Van dit recht dienen betrokkenen op de hoogte gesteld te worden bij het
verkrijgen van hun persoonsgegevens en bij elke marketinguiting die zij toegestuurd krijgen.
Denk bijvoorbeeld aan een opt-out functie bij nieuwsbrieven, waardoor mensen zich hiervoor
gemakkelijk kunnen afmelden. Voorgaande geldt eveneens voor het benaderen van
bedrijven voor digitale direct marketing, tenzij zij bewust een e-mailadres hebben
aangemaakt dat erop duidt dat het bedrijf het geen probleem vindt dergelijke communicatie
te ontvangen of dit een bedrijf betreft dat buiten de Europese Unie gevestigd is.
Daarnaast bestaat er telemarketing.100 Dit betreft telefonische reclameaanbiedingen. Solid
Services BV probeert via nazorg en een klanttevredenheidsonderzoek mogelijk nieuwe
opdrachten binnen te halen. Dit valt hierdoor onder telemarketing, omdat er gevraagd wordt
aan klanten of zij nogmaals gebruik wensen te maken van de diensten van Solid Services
BV. Ook hierbij heeft de betrokkene het recht van verzet. De betrokkene mag indien zij zich
heeft verzet, niet meer gebeld worden. Tevens mogen klanten die in een Bel-Me-Niet-
Register staan niet gebeld worden. Tijdens elk gesprek moet de betrokkene gewezen
worden op deze rechten. Voor het benaderen van betrokkenen op deze wijze is geen
toestemming vereist, als hun gegevens rechtmatig zijn verkregen en zij hun recht op verzet
niet hebben uitgeoefend en niet in een Bel-Me-Niet-Register staan. Indien een betrokkene is
ingeschreven in een Bel-Me-Niet-Register, maar een bestaande klant is, dan mag deze wel
worden benaderd voor telemarketing, totdat er verzet wordt aangetekend.
2.2.13. Gegevensbeschermingseffectbeoordeling (Data Protection Impact
Assessment)
Een Gegevensbeschermingseffectbeoordeling, ook wel Data Protection Impact Assessment
genoemd (hierna: DPIA), dient uitgevoerd te worden wanneer een soort verwerking, in het
bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard,
omvang, context en de doeleinden daarvan, waarschijnlijk een hoog risico inhoudt voor de
rechten en vrijheden van natuurlijke personen.101 De verwerkingsverantwoordelijke voert dan
vóór de verwerking een DPIA uit betreffende het effect van de beoogde
verwerkingsactiviteiten op de bescherming van persoonsgegevens. Hierdoor kan er, waar
97 Direct marketing, www.autoriteitpersoonsgegevens.nl 98 Direct marketing, www.autoriteitpersoonsgegevens.nl 99 Vragen over digitale direct marketing, www.autoriteitpersoonsgegevens.nl 100 Vragen over telemarketing, www.autoriteitpersoonsgegevens.nl 101 art. 35 lid 1 AVG
17
nodig, preventief ingegrepen worden om een foutieve omgang met persoonsgegevens te
voorkomen.102 Eén beoordeling kan gelden voor een reeks van verwerkingen als deze
vergelijkbare hoge risico’s inhouden. De AP heeft een lijst openbaar gemaakt met gevallen
waarin een DPIA uitgevoerd dient te worden.103 Deze lijst is openbaar en voor iedereen
toegankelijk.104 Solid Services BV verwerkt gegevens waarvoor een DPIA vereist is. Zo wordt
bijvoorbeeld de locatie van de werkauto’s uitgelezen. Daarnaast worden ook
evaluatieverslagen van evaluatie- en beoordelingsgesprekken van personeel bewaard, wat
gevoelige gegevens en gegevens van persoonlijke aard zijn.105 Concluderend kan gesteld
worden dat Solid Services BV een DPIA dient uit te voeren. De beoordeling moet tenminste
onderstaande onderdelen bevatten:
o Een systematische beschrijving van de beoogde verwerkingen en de
verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde
belangen die door de verwerkingsverantwoordelijke worden behartigd;
o Een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met
betrekking tot de doeleinden;
o Een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen;
o De beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen,
veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens
te garanderen, met inachtneming van de rechten en gerechtvaardigde belangen van
de betrokkenen en andere personen in kwestie.106
Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de
verwerking overeenkomstig de DPIA wordt uitgevoerd.107 Dit wordt in elk geval gedaan als er
sprake is van een verandering van het risico dat de verwerkingen inhouden. De resultaten
kunnen worden gebruikt om maatregelen vast te stellen en om aan te kunnen tonen dat aan
de AVG wordt voldaan.108 De resultaten van de DPIA dienen regelmatig geëvalueerd te
worden. Het proces van een DPIA zou volgens onderstaande cyclus kunnen verlopen.109 Om
te controleren of een DPIA goed is uitgevoerd, kan de checklist van de Article 29 Working
Party gebruikt worden.110
102 Bastiaans, Bb 2018/24, p. 86-88. 103 Data Protection Impact Assessment, www.autoriteitpersoonsgegevens.nl 104 art. 35 lid 4 AVG 105 Hooghiemstra & Nouwt, in: T&C AVG 2018, art. 35 AVG, aant. 93. 106 art. 35 lid 7 AVG 107 art. 35 lid 11 AVG 108 Hooghiemstra & Nouwt, in: T&C AVG 2018, art. 35 AVG, aant. 93. 109 Article 29 Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether
processing is "likely to result in a high risk" for the purposes of Regulation 2016/679, p. 20. 110 Bijlage 4.
18
2.2.14. Functionaris voor de gegevensbescherming
Tevens dient in sommige gevallen een Functionaris voor gegevensbescherming benoemd te
worden (hierna: FG).111 Deze functionaris ziet onder andere toe op de naleving van de
AVG.112 Solid Services BV hoeft geen FG te benoemen omdat zij niet vallen onder de in de
verordening genoemde gevallen waarin dit verplicht is.113 Om deze reden zal hier niet verder
op ingegaan worden.
2.2.15. Doorgiften van persoonsgegevens aan derde landen of internationale
organisaties
Persoonsgegevens die worden verwerkt of die bestemd zijn om na doorgifte aan een derde
land of een internationale organisatie te worden verwerkt, mogen alleen worden
doorgegeven als aan de regels van de AVG wordt voldaan.114
De Europese Commissie stelt een adequaatsheidsbesluit vast waarin landen benoemd
worden die aan het gewenste beveiligingsniveau voldoen.115 Landen die hier momenteel
onder vallen zijn onder andere: Andorra, Argentinië, Canada, de Faeröer Eilanden,
Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten
(alléén wanneer de betrokken partij is aangesloten bij het Privacy Shield) en Zwitserland.116
Solid Services BV heeft op dit moment vooral buitenlandse klanten in Europa, zoals:
Engeland, Duitsland, België en Spanje. Hiervoor hoeven verder geen maatregelen genomen
te worden.117 Engeland ligt binnen de Europese Unie, dus zou in principe voldoen aan de
AVG. Het is echter nog onzeker hoe dit gaat met de komende Brexit.118 Het bedrijf heeft
echter ook incidentele projecten voor klanten buiten Europa, zoals bijvoorbeeld in Brazilië.
Dit land is door de Europese Commissie niet adequaat bevonden.119 In een dergelijk geval
mag dan alleen doorgifte van persoonsgegevens plaatsvinden als passende waarborgen
worden geboden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen
beschikken.120 Waarborgen kunnen bijvoorbeeld geboden worden door dergelijke regels op
te nemen in contractsbepalingen tussen de verwerkingsverantwoordelijke en de
internationale organisatie die de persoonsgegevens gaat verwerken, onder voorbehoud van
de toestemming van de toezichthoudende autoriteit.121 Een andere optie op grond van de
AVG zou kunnen zijn het opstellen van bindende bedrijfsvoorschriften.122 Hiervoor is geen
toestemming nodig van de toezichthoudende autoriteit.123
Indien geen sprake is van zowel het adequaatheidsbesluit als passende waarborgen, geeft
de AVG een aantal uitzonderingen waarin doorgifte van persoonsgegevens toch kan.124 De
reden die voor Solid Services BV het meest van belang is, is dat persoonsgegevens
verstrekt dienen te worden voor de uitvoering van een overeenkomst in het belang van de
111 art. 37 lid 1 AVG 112 art. 39 lid 1 AVG 113 art. 37 lid 1 AVG 114 art. 44 AVG 115 art. 45 lid 1 AVG 116 Engelfriet, Chew & Kager 2018, p. 187. 117 Engelfriet, Chew & Kager 2018, p. 109. 118 Engelfriet, Chew & Kager 2018, p. 109. 119 art. 45 lid 1 AVG 120 art. 46 lid 1 AVG 121 art. 46 lid 3 sub a AVG 122 Art. 46 lid 2 sub b AVG 123 Vries, de & Goudsmit, NJB 2016/1077, p. 1071-1125. 124 art. 49 lid 1 sub b AVG
19
betrokkenen.125 Solid Services BV is verplicht een zogenoemd A1 formulier van de Sociale
Verzekeringsbank naar buitenlandse klanten te sturen, zodat werknemers als ze in het
buitenland werken, verzekerd zijn.126 Werknemers kunnen in het buitenland dan aantonen
dat zij in Nederland verzekerd zijn. Een werkgever is op grond van goed werkgeverschap
conform artikel 7:611 BW verplicht te zorgen dat haar werknemers verzekerd zijn.
Concluderend is hier één van de uitzonderingen zoals genoemd in de AVG van toepassing
en mag Solid Services BV deze gegevens doorzenden naar haar internationale klanten.
2.2.16. Sancties als gevolg van overtreden van de AVG
Onder de AVG geldt een boetebeleid bij het overtreden van de verordening.127 Deze
geldboetes variëren van 10.000.000 euro of maximaal 2% van de totale wereldwijde
jaaromzet, indien dit hoger uitvalt, tot 20.000.000 euro of maximaal 4% van de wereldwijde
jaaromzet, indien dit hoger uitvalt.128 De hoogte van de boete is afhankelijk van welk artikel
uit de AVG is overtreden.
2.3. De toekomst
Bovengenoemd zijn de artikelen aan bod gekomen die gelden voor Solid Services BV. Er zijn
echter een aantal artikelen waar Solid Services BV op dit moment niet aan hoeft te voldoen,
maar eventueel in de toekomst wel. Deze artikelen zullen hieronder nader toegelicht worden.
2.3.1. De Functionaris voor de gegevensbescherming
Allereerst hoeft Solid Services BV op dit moment geen FG aan te stellen. Dit komt omdat dit
alleen noodzakelijk is als het bedrijf regelmatig en stelselmatig op grote schaal betrokkenen
observeert of als het bedrijf op grote schaal bijzondere persoonsgegevens verwerkt.129
De organisatie observeert de betrokkenen op dit moment niet, dit kan bijvoorbeeld
veranderen als het bedrijf besluit camera’s in het kantoorpand op te hangen om het
personeel te monitoren, dit moet dan wel op grote schaal gebeuren. Hiervan zou in de
toekomst wellicht sprake kunnen zijn als het bedrijf groeit en er meer werknemers in dienst
treden. In voorkomend geval dient dan wel een FG aangesteld te worden. Op dit moment
worden er door de organisatie verschillende bijzondere persoonsgegevens verwerkt. Dit
gebeurt momenteel alleen van de eigen werknemers. Het betreft hier met name gegevens
over de gezondheid van de werknemers en etnische gegevens. De etnische gegevens
worden verwerkt doordat een kopie moet worden gemaakt van een geldig legitimatiebewijs
van de werknemers. Hierdoor worden onder andere het identificatienummer (BSN) en de
nationaliteit van de werknemers verwerkt. Deze bijzondere persoonsgegevens worden
echter niet op grote schaal verwerkt. Mocht dit in de toekomst wel gebeuren doordat er
bijvoorbeeld meer werknemers in dienst treden, dan kan het zijn dat er wel een FG
aangesteld dient te worden.
Als er eenmaal een FG is aangesteld zijn er een aantal dingen belangrijk. De FG dient
zelfstandig te kunnen werken. Dat wil zeggen dat de FG geen instructies mag ontvangen met
betrekking tot de werkzaamheden en dat deze tevens ontslagbescherming geniet.130 De FG
brengt altijd rechtstreeks verslag uit aan de hoogste leidinggevende binnen de organisatie.
Het is belangrijk dat de FG tijdig en naar behoren op de hoogte wordt gehouden van alle
ontwikkelingen rondom de bescherming van persoonsgegevens.131 Tevens dient de
125 Berkvens, Vinken, Wiegerinck, Wolters, Reijner & van Gerwen 2018, p. 78. 126 A1 formulier, www.svb.nl 127 art. 83 lid 4 AVG 128 art. 83 lid 5 AVG 129 art. 37 lid 1 AVG 130 art. 38 lid 3 AVG 131 art. 38 lid 1 AVG
20
verwerkingsverantwoordelijke de FG in de gelegenheid te stellen zijn taken goed uit te
kunnen voeren, door bijvoorbeeld toegang te verschaffen tot persoonsgegevens en
verwerkingsactiviteiten.132
De FG is daarnaast het aanspreekpunt voor de betrokkenen binnen de organisatie voor alle
vragen die verband houden met de verwerking van hun persoonsgegevens en met de
uitoefening van hun rechten op grond van de AVG.133 De FG is met betrekking tot zijn taken
tot geheimhouding of vertrouwelijkheid gehouden.134
De FG adviseert over de verplichtingen die voortkomen uit de AVG en ziet toe op de
naleving van de AVG en het beleid van de verwerkingsverantwoordelijke. Hierbij wijst de FG
verantwoordelijkheden toe en zorgt voor bewustwording en opleiding van personeel dat
betrokken is bij de verwerking van persoonsgegevens en de betreffende audits. Tevens geeft
de FG advies over en ziet toe op de gegevensbeschermingseffectbeoordeling. Als laatste
werkt de FG samen met de toezichthoudende autoriteit en treedt op als contactpunt voor
deze autoriteit, met betrekking tot met de verwerking verband houdende
aangelegenheden.135
2.3.2. Certificering
Om aan te kunnen tonen dat de organisatie aan de AVG voldoet, kan een certificering
worden aangevraagd.136 De organisatie kan dan een keurmerk gebruiken om aan derden
kenbaar te maken dat zij voldoet aan de AVG. Deze certificering is vrijwillig.137 Een dergelijke
certificering doet niets af aan de verantwoordelijkheid van de verwerkingsverantwoordelijke
of de verwerker om de AVG na te leven en laat de taken en bevoegdheden van de bevoegde
toezichthoudende autoriteiten onverlet.138 Deze certificering dient aangevraagd te worden bij
een certificerend orgaan of bij de bevoegde toezichthoudende autoriteit.139 Indien een
certificaat wordt verleend, zal deze worden afgegeven voor de periode van drie jaar, met de
mogelijkheid tot verlenging, mits bij verlenging aan de relevante eisen kan worden
voldaan.140 Op dit moment zijn er echter nog geen goedgekeurde instanties die certificaten
uit kunnen geven.141 De tijd zal uitwijzen hoe certificering onder de AVG zich zal ontwikkelen
en de organisatie moet op het moment dat zij een certificering wil aanvragen, kijken wat de
stand van zaken hieromtrent is.
2.4. Tussenconclusie
Concluderend kan gesteld worden dat de AVG van toepassing is op Solid Services BV,
aangezien zij voldoet aan zowel het materiële als het territoriale toepassingsgebied van de
AVG. Met betrekking tot de gegevens die de organisatie zelf verwerkt is zij
verwerkingsverantwoordelijke, gezien het feit dat zij het doel en de middelen van de
verwerking bepaalt. Derde partijen waarmee wordt samengewerkt en die persoonsgegevens
voor de organisatie verwerken, zijn verwerker. Zowel de verwerkingsverantwoordelijke als de
verwerker hebben verplichtingen waaraan zij zich moeten houden en waarvoor zij
verantwoording af moeten kunnen leggen.
132 art. 38 lid 2 AVG 133 art. 38 lid 4 AVG 134 art. 38 lid 5 AVG 135 art. 39 lid 1 sub a-e AVG 136 art. 42 lid 1 AVG 137 art. 42 lid 3 AVG 138 art. 42 lid 4 AVG 139 art. 42 lid 5 AVG 140 art. 42 lid 7 AVG 141 AVG-Certificering, www.norea.nl
21
Daarnaast moet de verwerking van persoonsgegevens berusten op een wettelijke grondslag
en moet deze verwerking voldoen aan de beginselen uit de AVG. Als de grondslag
toestemming wordt gehanteerd, zal deze aan extra vereisten moeten voldoen. Voor het
benaderen van betrokkenen via direct marketing, gelden nadere regels. Dit kan veelal alleen
als toestemming is verkregen van de betrokkene. Uitzonderingen hierop zijn bij digitale direct
marketing, waaronder het verzenden van nieuwsbrieven, dat bestaande klanten wel
benaderd mogen worden, eveneens als bedrijven buiten de Europese Unie of bedrijven die,
gezien het e-mailadres, duidelijk geen problemen hebben met dergelijke communicatie.
Betrokkenen hebben bij deze vorm van marketing het recht van verzet, wanneer dit recht is
uitgeoefend mogen betrokkenen niet meer benaderd worden. Bij telemarketing, namelijk
telefonische reclameaanbiedingen, is toestemming van de betrokkene niet vereist, als de
gegevens van de betrokkene rechtmatig zijn verkregen en deze hun recht op verzet niet
hebben uitgeoefend en niet staan ingeschreven in een Bel-Me-Niet-Register. Indien een
betrokkene is ingeschreven in een Bel-Me-Niet-Register, maar een bestaande klant is, dan
mag deze wel worden benaderd voor telemarketing, totdat er verzet wordt aangetekend.
Het verwerken van bijzondere persoonsgegevens is in beginsel niet toegestaan. Solid
Services BV verwerkt echter wel een aantal van dit soort persoonsgegevens in het kader van
verplichtingen die zij als werkgever heeft in het kader van het arbeidsrecht, deze zijn van dit
verbod uitgezonderd. Tevens hebben betrokkenen waarvan persoonsgegevens worden
verwerkt onder de AVG diverse rechten waar gehoor aan gegeven moet worden door de
verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke zal technische en
organisatorische maatregelen moeten treffen om de persoonsgegevens op een passende
wijze te beveiligen. Dit is van belang om een eventueel datalek te voorkomen.
Om de risico’s van het verwerken van elke soort persoonsgegevens goed in kaart te
brengen, moet de organisatie een DPIA uitvoeren. Hierdoor kunnen deze risico’s voorkomen
worden en is bekend hoe er met deze risico’s omgegaan moet worden mochten deze risico’s
zich voordoen.
Indien persoonsgegevens worden doorgezonden naar het buitenland, gelden hier specifieke
eisen voor. Solid Services BV zendt A1 formulieren van de Sociale Verzekeringsbank door,
om ervoor te zorgen dat haar werknemers ook in het buitenland verzekerd zijn.142
Werknemers kunnen in het buitenland dan aantonen dat zij in Nederland verzekerd zijn.
Hiertoe is zij verplicht op grond van goed werkgeverschap en dit is daarom uitgezonderd in
de AVG. Solid Services BV mag deze gegevens daarom doorzenden naar het buitenland.
Voor de toekomst kan het van belang zijn voor Solid Services BV dat zij een FG benoemt.
Dit is alleen nodig als aan bepaalde voorwaarden, die eerder zijn omschreven, is voldaan.
Dit is momenteel niet het geval. De organisatie zal dit zelf goed in de gaten moeten houden.
Tevens kan ervoor gekozen worden om een certificering aan te vragen, waarmee naar
derden kan worden aangetoond dat Solid Services BV haar persoonsgegevens volgens de
AVG verwerkt. Indien één van de artikelen uit de AVG wordt overtreden, dan staan hier
geldboetes op. De geldboete is afhankelijk van welk artikel uit de AVG is overtreden.
142 A1 formulier, www.svb.nl
22
Hoofdstuk 3: ISO 9001 norm en AVG
3.1. Inleiding
In dit hoofdstuk zal de koppeling tussen de ISO 9001 norm en de AVG worden toegelicht. Dit
is van belang om te kunnen bepalen wat de verhouding is tussen de AVG en de ISO 9001
norm en in hoeverre de werkprocessen en werkinstructies herschreven kunnen worden om
te voldoen aan zowel de AVG als de ISO 9001 norm.
3.2. De ISO 9001 norm
De ISO 9001 norm ziet toe op een kwaliteitsmanagementsysteem, waardoor de organisatie
haar algehele prestaties kan verbeteren en dit een goede basis kan bieden voor duurzame
ontwikkelinitiatieven.143 De eisen voor een kwaliteitsmanagementsysteem zoals
geformuleerd in deze norm, zijn aanvullend op de eisen voor producten en diensten. De
mogelijke voordelen voor een organisatie kunnen zijn:
• Het consequent kunnen voorzien in producten en diensten die voldoen aan de eisen
van de klant en de relevante wet- en regelgeving;
• Het faciliteren van kansen die de klanttevredenheid verhogen;
• Het oppakken van risico’s en kansen;
• Het aan kunnen tonen dat aan gespecificeerde eisen voor een
kwaliteitsmanagementsysteem wordt voldaan.
3.3. Koppeling ISO 9001 norm en de AVG
Om de koppeling te kunnen maken tussen de AVG en de ISO 9001 norm, zijn een drietal
interviews afgenomen om te bekijken hoe hier vanuit de praktijk tegenaan wordt gekeken.
Onderstaand zal kort worden toegelicht welke informatie uit deze interviews naar voren is
gekomen.
De ISO 9001 norm ziet op een kwaliteitsmanagementsysteem.144 Deze norm ziet dus vooral
op kwaliteit, maar hieronder valt ook het voldoen aan geldende wet- en regelgeving. De AVG
is nieuwe regelgeving en dit zal dan ook meegenomen moeten worden in het
managementsysteem. Daarnaast ziet de ISO 9001 norm ook op het managen van processen
en het in kaart brengen van risico’s. Dit zijn punten die in de AVG ook terugkomen. De AVG
kan daarom meegenomen worden in deze risicoanalyses en bij het managen van de
processen. Tijdens een audit kan dan worden aangegeven welk beleid er is gemaakt naar
aanleiding van de AVG en hoe dit is geïmplementeerd.145
Het kwaliteitsmanagementsysteem wordt als het ware uitgebreid met privacyaspecten, die
dan worden geïmplementeerd in de bestaande processen. De organisatorische en
technische maatregelen die in het kader van de AVG genomen zijn, worden zo meegenomen
in het kwaliteitsmanagementsysteem.146 Het aanpassen van ISO 9001 werkprocessen en
werkinstructies, om ze AVG-proof te maken, veroorzaakt geen problemen voor de
certificering.147
143 NEN-EN-ISO 9001 norm 144 Bijlage 7. 145 Bijlage 8. 146 Bijlage 7. 147 Bijlage 7 en 8.
23
NEN-normen, waaronder de ISO 9001 norm, zijn een concretisering van het wettelijk kader,
de AVG. De AVG is een verordening op Europees niveau en NEN-normen zijn een semi
privaatrechtelijk reguleringsinstrument voor een branche, bedoeld voor een branche om
handvatten te geven over hoe invulling te geven aan bepaalde wettelijke normen en om een
standaard te stellen. De ISO 9001 norm kan hierdoor nooit conflicteren met de AVG,
aangezien de AVG het wettelijk kader is en het wettelijk kader de norm neerlegt. Een
Europese verordening staat in hiërarchie hoger dan NEN-normen en de AVG heeft daarmee
voorrang op de ISO 9001 norm.148
3.4. Hard law vs. Soft law
Naast een praktische benadering, bestaat er ook nog een juridische verhouding tussen NEN-
normen, waar de ISO 9001 norm een onderdeel van is, en een verordening op Europees
niveau, namelijk de AVG. Deze verhouding zal onderstaand worden toegelicht.
NEN-normen worden vastgesteld door het Nederlands Normalisatie Instituut.
Brancheorganisaties en belangenorganisaties zijn vrij om deze normen als bindend te
hanteren, maar de normen blijven dan van privaatrechtelijke aard tussen deze partijen. De
vraag is of NEN-normen algemeen verbindende regels bevatten. Dit is niet het geval. De
uitvaardiging van normen door een particuliere organisatie, maakt deze normen niet
algemeen verbindend in publiekrechtelijke zin, aangezien de wettelijke grondslag hiervoor
ontbreekt. Het opstellen van algemeen verbindende voorschriften is voorbehouden aan de
wetgever. In beginsel blijft dit normenstelsel daarom een vorm van zelfregulering.149
Aangezien dit juridisch niet-bindende afspraken zijn wordt dit ook wel aangeduid met de term
‘’Soft law’’.150
Een verordening is daarentegen wel een juridisch bindende rechtshandeling.151 Een
verordening is in de hele Europese Unie van toepassing en is een maatregel van algemene
strekking, die verbindend is in al haar onderdelen en rechtstreeks toepasselijk is in elke
lidstaat.152 De AVG is een verordening en is daarmee juridisch bindend voor de gehele
Europese Unie. Juridisch bindende afspraken worden ook wel ‘’Hard law’’ genoemd.
3.5. Tussenconclusie
Concluderend kan gesteld worden dat NEN-normen van privaatrechtelijke aard zijn, die vaak
binnen een bepaalde branche als bindend worden gehanteerd. Deze regels zijn juridisch niet
bindend. De AVG daarentegen is een verordening op Europees niveau. Hierdoor is deze
verordening juridisch bindend en geldt deze verordening rechtstreeks binnen de gehele
Europese Unie. Een verordening staat hiërarchisch hoger dan een privaatrechtelijk
normenstelsel, zoals de NEN-normen. De AVG heeft daarom voorrang op de ISO 9001
norm.
De verhouding tussen de ISO 9001 norm en de AVG is dat de AVG het wettelijk kader betreft
dat de norm stelt en NEN-normen een praktische invulling betreffen om een bepaalde
branche handvatten te geven voor de praktische implementatie van bepaalde wet- en
regelgeving en om een standaard te stellen. Hierdoor kunnen NEN-normen nooit conflicteren
met de AVG, omdat deze een uitvloeisel zijn van het wettelijk kader.
148 Bijlage 9. 149 van den Hoven van Genderen, Computerrecht 2011/4. 150 Bronnen Europees recht en beleid, europadecentraal.nl 151 Verordeningen, richtlijnen en andere rechtshandelingen, europa.eu 152 Ambtenbrink, Vedder 2013, p. 150.
24
De ISO 9001 norm ziet op een kwaliteitsmanagementsysteem. Eén van de voorwaarden die
gesteld wordt is dat geldende wet- en regelgeving moet worden meegenomen. De AVG is
nieuwe regelgeving en moet daarom worden meegenomen in het beleid. Daarnaast ziet de
ISO 9001 norm op het in kaart brengen van risico’s en het managen van processen. Dit zijn
zaken die in de AVG ook terugkomen en de AVG kan daarom eenvoudig worden
meegenomen bij risicoanalyses en in de bedrijfsprocessen. Het implementeren van de AVG
in de bedrijfsprocessen veroorzaakt hierdoor geen probleem voor de certificering.
Hoofdstuk 4: huidige situatie bij Solid Services BV
4.1. Inleiding
In dit hoofdstuk zal de huidige situatie omtrent de ISO 9001 werkprocessen met
bijbehorende formulieren en werkinstructies, waarin persoonsgegevens worden verwerkt, bij
Solid services BV worden toegelicht. Allereerst zal worden ingegaan op de criteria die de AP
hanteert. Vervolgens zal de kern uit de tabellen die in de bijlagen staan, waarin per
document is weergegeven wat er aangepast dient te worden om te voldoen aan de AVG,
worden toegelicht.
4.2. Criteria Autoriteit Persoonsgegevens
De AP hanteert in eerste instantie de criteria zoals die staan omschreven in de AVG.153
Organisaties moeten kunnen aantonen dat zij in overeenstemming handelen met de AVG. Bij
de beoordeling of een organisatie voldoet aan de AVG, zal dit een grote rol spelen.
Daarnaast stelt de AP zelf aanvullende regels op met betrekking tot de AVG. Het is
raadzaam de website van de AP in de gaten te houden voor nieuwe nadere regelgeving.
Deze informatie is openbaar en voor iedereen toegankelijk.
4.3. Toetsing van huidige ISO 9001 formulieren, checklists, werkinstructies en
procedures
Alle huidige formulieren, checklists, werkinstructies en procedures waar persoonsgegevens
in worden verwerkt, zijn getoetst. De resultaten hiervan zijn opgenomen in tabellen. Deze zijn
opgenomen in de bijlagen. Onderstaand zal hiervan de kern worden weergegeven.
4.3.1. Procedures
De oorzaak van het feit dat sommige procedures niet voldoen aan de AVG, is dat deze
procedures verder toegelicht dienen te worden of dat er te veel persoonsgegevens worden
verwerkt. De meeste procedures beschrijven nu onvoldoende hoe er rekening wordt
gehouden met de AVG of de AVG wordt helemaal niet betrokken in deze procedures.
Onderstaand zullen deze procedures worden toegelicht.154
4.3.1.1. Documenten en registraties
In het kader van beheersing van documenten en registraties staat beschreven dat de
documentatie actueel wordt gehouden. Er staat in deze procedure echter niet beschreven
hoe er wordt omgegaan met verzoeken van werknemers of externen die hun gegevens
willen wijzigen of verwijderen. Ook is het van belang om hierbij te benoemen in welke
frequentie de gegevens worden geüpdatet.
Daarnaast is het in het algemeen noodzakelijk om te bepalen waar persoonsgegevens
worden opgeslagen en/of gearchiveerd. Tevens is het van belang om te beschrijven of
153 Toezichtskader Autoriteit Persoonsgegevens, www.autoriteitpersoonsgegevens.nl 154 Bijlage 1.
25
persoonsgegevens fysiek of digitaal of beide aanwezig zijn. Hierbij dient aangegeven te
worden welke personen bij bepaalde persoonsgegevens kunnen, zowel fysiek als digitaal.
Er staat bijvoorbeeld in de procedures dat vertrouwelijke informatie bewaard wordt in een
afgesloten kast/ruimte. Het is dan van belang dat wordt toegelicht wie hiertoe toegang heeft
middels een sleutel en waarom dat noodzakelijk is. Tevens kunnen er extra sleutels
aanwezig zijn. Er dient dan toegelicht te worden wie een sleutel bezit en/of waar deze
worden bewaard. Persoonsgegevens worden binnen de organisatie confidentieel vernietigd
door middel van een papierversnipperaar. Dit staat nergens in een procedure en zal nog
moeten worden toegelicht. Voor digitale documentatie is het van belang dat
persoonsgegevens volledig worden gewist. Er dient beschreven te worden hoe hiervoor
gezorgd wordt. Daarnaast is er een centraal archief en een digitaal klantenarchief die beiden
vrij toegankelijk zijn voor iedereen. Er dient beschreven te worden waarom iedereen bij deze
gegevens in het centrale archief moet kunnen en of dit echt nodig is. Daarnaast dient
toegelicht te worden, in het kader van Privacy by Design en Privacy by Default, waarom
iedereen bij het digitale klantenarchief moet kunnen.
Tevens is het wenselijk om een clean desk policy te hanteren. Alle gevoelige informatie dient
opgeborgen te worden in de daarvoor in het kantoor bestemde kasten, indien werknemers
niet aanwezig zijn op het kantoor. De kantoren van de managers staan nu vaak open,
waardoor iedereen bij alle informatie kan. De deuren van deze kantoren kunnen op slot. Het
is raadzaam dat dit ook gedaan wordt als deze personen niet aanwezig zijn op kantoor.
Daarnaast dienen werknemers hun computer te locken als zij hun werkplek verlaten. Dit
gebeurt nu nauwelijks, waardoor iedereen bij allerlei gegevens kan. Dit is niet wenselijk.
De werknemers krijgen binnen de organisatie een veiligheidspaspoort. In dit paspoort staat
beschreven welke cursussen, opleidingen en eventuele instructies de werknemer heeft
gevolgd. Dit is wenselijk in het kader van de veiligheid tijdens de werkzaamheden en geeft
de klant snel inzicht in wat de werknemer wel of niet aan opleiding heeft gevolgd. Het
uitgeven van een dergelijk veiligheidspaspoort is een keuze van de werkgever, hiertoe is zij
niet verplicht. Hierdoor zou de werknemer een keuze moeten krijgen of hij/zij een dergelijk
paspoort wil. De werkgever dient hiervoor daarom toestemming te verkrijgen van de
werknemer. Dit zou opgenomen kunnen worden in het formulier ‘’Persoonsgegevens’’ of in
de arbeidsovereenkomst. Het bijhouden van gezondheidsgegevens in deze paspoorten,
zoals medische keuringen en of het wel of niet hebben gehad van bepaalde vaccinaties, mag
alleen als de werknemer hiervoor toestemming heeft gegeven aan de werkgever. Dit zijn
gegevens die een klant niet behoort te krijgen. Deze persoonsgegevens mogen niet worden
gedeeld met klanten, tenzij dat met een gegronde reden wel nodig is en de werknemer hier
uitdrukkelijk toestemming voor heeft gegeven.
Tevens moeten alle verwijzingen naar de Wet bescherming persoonsgegevens in het
algemeen vervangen worden door de AVG.
4.3.1.2. Automatisering
Een belangrijk beginsel in de AVG is het beginsel van Privacy by Design en Privacy by
Default. Privacy by Design houdt in dat de software zo privacy vriendelijk mogelijk moet
worden ontworpen. Privacy by Default houdt in dat de standaardinstellingen zo privacy
vriendelijk mogelijk moeten zijn. Er dient aangegeven te worden in de procedures welke
personen waarom bij bepaalde persoonsgegevens moeten kunnen en bepaalde
persoonsgegevens dienen eventueel te worden afgeschermd. Er wordt wel gesproken over
autorisaties, maar nergens wordt beschreven hoe dit in zijn werk gaat. Dit dient nader
26
gespecificeerd te worden. Tevens dient in de procedures aangegeven te worden hoe aan het
beginsel van Privacy by Design wordt voldaan.
Er dient beschreven te worden met welke computerprogramma’s wordt gewerkt en welke
persoonsgegevens hiermee worden verwerkt. Hier dient ook toegelicht te worden hoe het
principe van Privacy by Design en Privacy by Default wordt toegepast op deze programma’s.
Er worden virusscans uitgevoerd en back-ups gemaakt. Er dient toegelicht te worden hoe dit
wordt gedaan, bijvoorbeeld automatisch of handmatig en met welke frequentie. Ook dient
aangegeven te worden welke programma’s hierbij gebruikt worden. Er worden back-ups
gemaakt op harde schijven die buiten de organisatie worden bewaard. Er dient beschreven
te worden hoe gegarandeerd wordt dat deze back-ups beveiligd zijn. Tevens dient er
aangegeven te worden of er ook nog andere back-ups worden gemaakt, bijvoorbeeld op een
interne server of in de Cloud. Hierbij dient ook toegelicht te worden wat de rol is van de
leverancier(s) die de updates en revisies verzorgen. Er dient uitgelegd te worden hoe vaak er
wordt gecontroleerd of deze nodig zijn.
Tevens zal er omschreven moeten worden in deze procedure hoe er wordt omgegaan met
een datalek. Het moet duidelijk worden hoe een eventueel datalek voorkomen kan worden,
hoe dit wordt geregistreerd en eventueel gemeld wordt aan de AP. Ook eventuele
datalekken bij verwerkers dienen bijgehouden te worden.
Ook dient er beschreven te worden hoe ervoor gezorgd wordt dat werknemers die uit dienst
treden of langdurig ziek worden, niet meer bij bepaalde gegevens kunnen door bijvoorbeeld
hun account te blokkeren.
In het kader van het wissen van persoonsgegevens dient aangegeven te worden hoe
persoonsgegevens na de bewaartermijn volledig gewist worden.
De locaties van de werkauto’s worden uitgelezen, waardoor werknemers gevolgd kunnen
worden. Er dient toegelicht te worden hoe lang en waar deze gegevens worden opgeslagen.
Tevens dient toegelicht te worden hoe er wordt omgegaan met het feit dat er
persoonsgegevens van werknemers worden verzameld bij klanten. Werknemers krijgen
bijvoorbeeld geregeld pasjes waarmee zij toegang krijgen tot een bepaald terrein.
Daarnaast dient toegelicht te worden of er logging plaatsvindt binnen de systemen van welke
controles er worden uitgevoerd voor het systeem met bijbehorend resultaat of welke
werknemers hebben gewerkt met bepaalde persoonsgegevens. Dit kan helpen bij het
opsporen van een datalek.
Als laatste dient toegelicht te worden welke IT systemen er precies worden gebruikt en of er
databases worden gekoppeld. Indien dit het geval is dient er toegelicht te worden hoe ervoor
gezorgd wordt dat dit veilig gebeurt. Ook dient benoemd te worden hoe de beveiliging van
alle IT systemen in het algemeen getest wordt en met welke frequentie dit gebeurt.
4.3.1.3. Bewaartermijnen
De bewaartermijnen van persoonsgegevens zullen moeten worden herzien in de procedures.
Persoonsgegevens worden nu te lang of zelfs te kort bewaard. Financiële gegevens worden
nu tien jaar bewaard in plaats van zeven jaar. Klantgegevens daarentegen worden vijf jaar
bewaard, terwijl deze ook zeven jaar bewaard dienen te worden voor de Belastingdienst.
Gegevens over onroerende zaken dienen wel tien jaar bewaard te worden. In het kader van
de opslagbeperking die geldt onder de AVG, dienen deze bewaartermijnen aangepast te
worden.
27
4.3.1.4. Beveiliging van persoonsgegevens
Er worden diverse documenten die persoonsgegevens bevatten verstuurd via de post of
e-mail naar externen. Er dient beschreven te worden hoe de beveiliging hierbij wordt
gewaarborgd. E-mails kunnen bijvoorbeeld versleuteld of beveiligd met een wachtwoord
worden verstuurd. Bij verzending via de post kan een melding worden gemaakt van
vertrouwelijkheid door bijvoorbeeld een sticker op de envelop te plakken met vertrouwelijk
erop of de vertrouwelijkheid op te nemen in de adresregel indien een envelop een venster
heeft.
Daarnaast hebben medewerkers een digitale agenda. Er dient beschreven te worden welke
personen hierbij kunnen en of dit nodig is.
Tevens staan alle digitale handtekeningen van werknemers en het management in een
openbare map in het systeem. Dit is niet toegestaan in het kader van de AVG en deze
dienen daarom afgeschermd te worden.
Bovendien dient nader gespecificeerd te worden hoe personeelsgegevens worden beveiligd,
gezien het feit dat dit gevoelige persoonsgegevens zijn en hier daarom voorzichtig mee
omgegaan moet worden. Dit geldt ook voor de persoonsgegevens van uitzendkrachten of
medewerkers van derden, indien hiermee gewerkt wordt.
4.3.1.5. Verwerkersovereenkomsten
Er dient beschreven te worden met welke derde partijen wordt samengewerkt en met welke
van deze partijen een verwerkersovereenkomst is gesloten. Dit komt nu in de procedures
niet duidelijk naar voren. Er zal met de partijen waarmee nog geen verwerkersovereenkomst
is gesloten, alsnog een dergelijke overeenkomst gesloten dienen te worden.
4.3.1.6. Direct marketing
In het kader van nazorg wordt de klant na het afronden van de werkzaamheden gebeld om
deze te evalueren. Er staat in de procedure dat de klant regelmatig gebeld wordt. Het is
raadzaam om te benoemen hoe vaak de klant hiervoor gebeld wordt. Tevens wordt aan de
klant gevraagd of zij in de toekomst nog gebruik wil maken van nazorg en of, en op welke
termijn, zij hiervoor benaderd wil worden. Dit wordt dan in het systeem bij het betreffende
dossier genoteerd. Indien de klant niet meer benaderd wil worden, dan wordt zij verwijderd
van de lijst met klanten die teruggebeld dienen te worden en wordt dit aangegeven in het
systeem in het betreffende dossier. Het zou handig zijn als er een veld in het systeem wordt
gemaakt waar aangegeven kan worden welke klant wel of geen toestemming heeft gegeven,
wanneer dit is gedaan en bij welke medewerker. Hierbij kan dan ook worden aangegeven als
de klant niet teruggebeld wil worden. Dit moet gezien worden als een vorm van direct
marketing, namelijk telemarketing. Het doel is namelijk niet alleen het verlenen van nazorg
maar ook het eventueel binnenhalen van nieuwe opdrachten. Dit dient opgenomen te
worden in de procedure over nazorg.
Dit geldt eveneens voor het klanttevredenheidsonderzoek. Klanten worden na afloop van de
werkzaamheden gebeld voor een klanttevredenheidsonderzoek. Vaste klanten worden één
keer per jaar gebeld. Het uitvoeren van een dergelijk onderzoek is geen onderdeel meer van
de overeenkomst. Daarom is het raadzaam om aan klanten toestemming te vragen, zodat zij
kunnen aangeven of zij willen meewerken aan een dergelijk onderzoek. Dit zou bijvoorbeeld
opgenomen kunnen worden in de offerte of middels een toestemmingsformulier voorgelegd
kunnen worden aan de klant. Klanten hebben namelijk het recht van verzet bij telemarketing.
Het houden van een klanttevredenheidsonderzoek valt onder telemarketing, omdat het doel
naast het peilen van de klanttevredenheid ook is het verkrijgen van vervolgopdrachten. Als
28
een klant zich verzet, mag zij niet meer gebeld worden. Een klant die in een Bel-Me-Niet-
Register staat mag ook niet worden benaderd, tenzij dit een bestaande klant is. Dit valt onder
de uitzondering, tenzij deze zich vervolgens beroept op het recht van verzet. Tijdens elk
gesprek dient de klant gewezen te worden op het recht van verzet en het Bel-Me-Niet-
Register. Dit dient opgenomen te worden in de procedure over klanttevredenheid.
4.3.1.7. Gegevens over de gezondheid
Er wordt benoemd dat bij het nuttigen en/of binnenbrengen van alcohol en drugs disciplinaire
maatregelen volgen. Er worden echter geen preventieve of incidentele alcohol- of
drugstesten afgenomen bij de werknemers. Het is raadzaam om dit te vermelden, aangezien
dit niet meer is toegestaan onder de AVG.
Tevens wordt, als een werknemer zich ziekmeldt, gevraagd naar de oorzaak van het
verzuim. Dit mag een werkgever niet vragen. het vaststellen van ziekte en/of diagnosen is
voorbehouden aan een (bedrijfs)arts. Dit dient uit de procedure gehaald te worden en ook
niet meer te worden verwerkt in het systeem of de salarisadministratie. De ziekmeldingen
worden doorgegeven aan de Arbodienst. De Arbodienst verwerkt in dit geval wel
persoonsgegevens van de organisatie, maar bepaalt zelf het doel en de middelen voor de
verwerking. Hierdoor is zij ook verwerkingsverantwoordelijke en hoeft met deze partij geen
verwerkersovereenkomst gesloten te worden.
Tevens mag de werkgever niet altijd medische gegevens in het kader van bedrijfsongevallen
verwerken. De werkgever is niet in elke situatie verplicht deze te melden bij de inspectie
SZW en in een dergelijke situatie mogen er dan ook geen medische gegevens worden
verwerkt. Als de werkgever dit toch wil bijhouden, dient dit anoniem te gebeuren waardoor de
medische gegevens niet meer te linken zijn aan één persoon en het daarmee geen
persoonsgegevens meer zijn. Indien een werknemer uitdrukkelijke toestemming geeft voor
het verwerken van deze gegevens, mag dit wel.
Ook wordt binnen de organisatie de mogelijkheid geboden voor werknemers om vrijwillig een
medische keuring uit te laten voeren. Er dient gespecificeerd te worden wat er met deze
gegevens wordt gedaan. Tevens dient aangegeven te worden of de werkgever deze
gegevens ontvangt en of deze dan bijvoorbeeld in het personeelsdossier worden bewaard.
De werkgever mag medische gegevens die voortkomen uit een vrijwillige medische keuring
in principe niet ontvangen. Dit mag alleen als de werknemer hier toestemming voor geeft. Er
wordt reeds een toestemmingsformulier ingevuld door werknemers om aan te geven dat zij
gebruik wensen te maken van een medische keuring. Via dit formulier zou de werknemer op
een eenvoudige wijze tevens wel of geen toestemming kunnen geven voor het feit dat de
werkgever de resultaten van de medische keuring ontvangt.
4.3.1.8. Risicomanagement
In de cyclus van risicomanagement wordt momenteel de verwerking van persoonsgegevens
niet meegenomen. Dit zou wel eenvoudig kunnen. Het is van belang dat er eerst een Data
Protection Impact Assessment wordt uitgevoerd. Hierbij dient gekeken te worden naar welke
persoonsgegevens er binnen de organisatie worden verwerkt, met welk doel, een
beoordeling van de noodzaak en de evenredigheid van de verwerking van de
persoonsgegevens in verhouding met de doeleinden, een beoordeling van de risico’s voor de
rechten en vrijheden van de betrokkenen en de beoogde maatregelen om deze risico’s te
voorkomen. Hieronder valt ook het goed beveiligen van persoonsgegevens. Hierbij dienen
tevens de maximale bewaartermijnen voor persoonsgegevens te worden weergegeven,
zodat duidelijk is wanneer bepaalde persoonsgegevens vernietigd dienen te worden. Deze
gegevens dienen vervolgens overzichtelijk te worden vastgelegd in een verwerkingsregister.
Een Excel bestand is in dit geval voldoende. De resultaten van dit assessment dienen
29
regelmatig geëvalueerd te worden. De termijnen die gehanteerd worden in het kader van de
ISO 9001 norm zijn ook voor de AVG toereikend. De AVG kan meegenomen worden in de
cycli van risicomanagement in het kader van de ISO 9001 norm. De resultaten van het
assessment dienen alleen vaker geëvalueerd te worden als er zich veranderende
omstandigheden voordoen, zoals dat er gewerkt gaat worden met nieuwe technologieën of
dat persoonsgegevens worden verwerkt voor andere doeleinden dan eerder beschreven. Dit
dient beschreven te worden in de procedures die betrekking hebben op risicomanagement.
4.3.1.9. Persoonsgegevens nieuwe werknemers
Het verzamelen van pasfoto’s en digitale handtekeningen van werknemers is niet
noodzakelijk. De pasfoto’s zijn voor het veiligheidspaspoort dat, zoals eerder benoemd, niet
verplicht is. Daarnaast kunnen documenten ook fysiek worden ondertekend. De werknemer
zou de keuze moeten krijgen of hij/zij deze persoonsgegevens wil verstrekken. Hierover zou
iets opgenomen kunnen worden in het formulier ‘’Persoonsgegevens’’, waar de werknemer
voor kan tekenen.
4.3.1.10. Vertrouwenspersoon
Werknemers kunnen voor vertrouwelijke zaken terecht bij een vertrouwenspersoon. Hierbij
dient aangegeven te worden of dit gesprek schriftelijk wordt vastgelegd, of dit vervolgens ook
wordt bewaard in het personeelsdossier of dat er iets anders met deze informatie wordt
gedaan. Tevens is de vertrouwenspersoon de algemeen directeur. Het is onwaarschijnlijk dat
werknemers hier vrijelijk kunnen praten zonder dat dit zorgt voor scheve verhoudingen op de
werkvloer. Het is raadzaam om hiervoor een ander persoon aan te wijzen binnen de
organisatie.
4.3.2. Formulieren
De meeste formulieren voldoen aan de AVG omdat er middels deze formulieren niet meer
persoonsgegevens worden verzameld dan dat nodig is voor het doel. De reden dat sommige
formulieren niet voldoen aan de AVG is omdat er middels deze formulieren te veel
persoonsgegevens worden verzameld of persoonsgegevens worden verzameld die niet
verzameld mogen worden. Een voorbeeld hiervan is het registreren van (bijna) ongevallen.
Hierbij worden gegevens over de gezondheid van werknemers verzameld. Een werkgever is
niet altijd verplicht om bedrijfsongevallen te melden bij de inspectie SZW en in deze situaties
is het verzamelen van deze persoonsgegevens niet nodig. Het bijhouden van deze gegevens
is wel mogelijk door dit anoniem te doen, zodat het niet meer te herleiden is naar één
persoon en daarmee geen persoonsgegeven meer is. Indien een werknemer uitdrukkelijke
toestemming geeft voor het verwerken van deze gegevens, mag dit wel. Ook worden in dit
kader namen van eventuele getuigen genoteerd, dit kan niet zomaar zonder toestemming
van een derde gedaan worden. Deze gezondheidsgegevens worden opgeslagen in het
betreffende dossier van het project. Hier kan iedereen bij en dit is daarom geen wenselijke
situatie.
Tevens worden deze gegevens doorgezonden naar de arbodienst en naar de opdrachtgever.
De arbodienst dient in bepaalde gevallen gezondheidsgegevens te ontvangen. Een
opdrachtgever daarentegen mag geen gezondheidsgegevens van werknemers ontvangen.
Er bestaat een overzichtsformulier van (bijna) ongevallen, dit formulier dient ook
geanonimiseerd te worden. Indien een werknemer uitdrukkelijke toestemming geeft voor het
verwerken van deze gegevens, mag dit wel.
Daarnaast bestaat er een formulier dat werknemers invullen als zij in dienst treden bij de
organisatie. Middels dit formulier worden medische gegevens, privételefoonnummers en
contactgegevens van personen die gebeld kunnen worden bij een noodgeval verzameld.
30
Medische gegevens mogen niet op deze wijze expliciet worden opgevraagd. Indien een
werknemer uitdrukkelijke toestemming geeft voor het verwerken van deze gegevens, mag dit
wel. De werknemers hebben een zakelijke telefoon, waardoor een privételefoonnummer
overbodig is en daarom niet moet worden verwerkt. Contactgegevens van personen die
gebeld kunnen worden bij noodgevallen, dient de werknemer niet verplicht op te geven en de
werkgever is niet verplicht om deze gegevens op te vragen. Het wel of niet verstrekken van
deze contactgegevens dient daarom een keuze te zijn van de werknemer.155
4.3.3. Werkinstructies
Alle werkinstructies waarin persoonsgegevens worden verwerkt voldoen aan de AVG. Dit
komt doordat er niet meer persoonsgegevens worden verwerkt dan dat nodig is voor het doel
en er geen persoonsgegevens worden opgevraagd die niet zouden mogen worden
opgevraagd. Deze werkinstructies hoeven daarom niet aangepast te worden.156
4.4. Algemene opmerkingen naar aanleiding van praktijkonderzoek
• In de procedures is niets opgenomen over marketing. Het is wellicht raadzaam om,
naast de toelichting in de procedures over nazorg en klanttevredenheid, hier een
nieuwe procedure voor te schrijven. In deze procedure zal dan conform de AVG het
volgende in vermeldt dienen te worden:
❖ Wat wordt er precies gedaan door de organisatie op het gebied van
marketing? Ik heb bijvoorbeeld tijdens mijn onderzoek geconstateerd dat er
nieuwsbrieven worden verstuurd naar klanten. Dit is een vorm van direct
marketing. Hier zijn regels aan verbonden. Bijvoorbeeld het inbouwen van een
opt-out functie waardoor mensen zich gemakkelijk kunnen afmelden voor een
nieuwsbrief. Tevens kan gedacht worden aan het maken van analyses.
Gebeurt dit binnen de organisatie en met welk doel? Ik heb tijdens mijn
onderzoek ook geconstateerd dat er klanten nagebeld worden om zo nieuwe
opdrachten binnen te halen. Dit is ook een vorm van direct marketing,
namelijk telemarketing.157 Dit dient dan ook in deze procedure opgenomen te
worden.
• Er is binnen het bedrijf geen privacybeleid beschikbaar. Het zou raadzaam zijn om dit
bijvoorbeeld intern op te nemen in de arbeidsovereenkomst of het
personeelsreglement. Om externe partijen op de hoogte te stellen over het
privacybeleid zou er een privacystatement gepubliceerd kunnen worden op de
website of er zou een paragraaf aan gewijd kunnen worden in de offerte of de
algemene voorwaarden.
• Op de website van de organisatie kunnen mensen hun persoonsgegevens
achterlaten voor het maken van een afspraak. Hier kan worden ingevuld: voor- en
achternaam, telefoonnummer en e-mailadres. De website beschikt niet over een SSL
certificaat, waardoor dergelijke persoonsgegevens niet veilig kunnen worden
achtergelaten door derden. Het is raadzaam een SSL certificaat aan te vragen. Het
kopje ‘’niet beveiligd’’ zal dan worden vervangen door ‘’beveiligd’’. Een dergelijk
certificaat kan aangevraagd worden bij de hostingprovider.
155 Bijlage 2. 156 Bijlage 3. 157 Vragen over telemarketing, www.autoriteitpersoonsgegevens.nl
31
• Op de website van de organisatie staan foto’s van de werknemers. Het is raadzaam
om voor het gebruik van deze foto’s toestemming te vragen aan de werknemers
middels een toestemmingsformulier. Gezien het feit dat het verwerken van deze
persoonsgegevens niet noodzakelijk is, is dit de enige passende rechtsgrond.
• Het is niet duidelijk met welke externe partijen nu wel of geen
verwerkersovereenkomst is afgesloten. Het is raadzaam in een overzicht weer te
geven met welke externe partijen wordt samengewerkt en met deze partijen een
verwerkersovereenkomst af te sluiten. Denk hierbij bijvoorbeeld aan: een accountant,
een jurist of advocaat, IT bedrijven, externe salarisadministratie, uitzendbureaus,
beveiligingsbedrijven, pensioenfondsen, leasemaatschappijen voor auto’s etc.
• Het is raadzaam om een procedure op te nemen waarin staat beschreven welke
persoonsgegevens er worden doorgegeven aan externe partijen in het buitenland en
hoe wordt gewaarborgd dat aan de regels wordt voldaan die hieromtrent gelden.
• Er is geen procedure aanwezig waarin wordt toegelicht hoe betrokkenen hun rechten
uit de AVG kunnen uitoefenen. Waar kunnen externen of werknemers een klacht
indienen? Wat wordt hiermee gedaan? Binnen welke termijn? Dit zijn allemaal zaken
die vastgelegd dienen te worden.
• Er is geen procedure aanwezig omtrent sollicitanten. Het is raadzaam om hiervoor
een procedure te maken. Ik heb tijdens mijn onderzoek geconstateerd dat hierover
geen duidelijkheid bestaat en dat persoonsgegevens van sollicitanten erg lang
bewaard worden. Deze dossiers gaan terug tot 2015, terwijl de maximale
bewaartermijn hiervoor, na afronding van de sollicitatieprocedure, vier weken
bedraagt en met toestemming van de sollicitant maximaal één jaar.158 Dit geldt zowel
voor fysieke als digitale documentatie.
• In de organisatie is de bewustwording omtrent de AVG vrij laag. Het is aan het
management om de bewustwording binnen de organisatie te vergroten. Het moet
voorop staan dat het voldoen aan de AVG een continu proces is, een werkwijze,
geen éénmalige inspanning.
4.5. Tussenconclusie
Concluderend kan gesteld worden dat de ISO 9001 werkprocessen waarin
persoonsgegevens worden verwerkt nog niet voldoen aan de AVG. Alle werkinstructies en
het merendeel van de formulieren, die bij de werkprocessen horen, waarin
persoonsgegevens worden verwerkt, voldoen wel aan de AVG, omdat hierin niet meer
persoonsgegevens worden verwerkt dan nodig is voor de doeleinden. De reden dat sommige
formulieren niet voldoen aan de AVG, is omdat er middels deze formulieren te veel
persoonsgegevens worden verzameld voor de doeleinden of persoonsgegevens worden
verwerkt die niet verwerkt mogen worden. Daarnaast voldoet een gedeelte van de
procedures nog niet aan de AVG. De reden hiervan is dat deze procedures meer uitleg
behoeven en dat er te veel persoonsgegevens worden verwerkt. Het uitleggen van de
procedures heeft als doel helder te krijgen hoe met bepaalde zaken om wordt gegaan binnen
de organisatie, zoals bijvoorbeeld: bewaartermijnen, beveiliging, archivering, Privacy by
158 AVG: hoe lang mag u persoonsgegevens bewaren?, www.abab.nl
32
Design en Privacy by Default, verwerking van bijzondere persoonsgegevens, automatisering,
omgang met eventuele datalekken, direct marketing en risico’s die zich voor kunnen doen.
Per formulier, werkinstructie of procedure is aangegeven wat er aangepast dient te worden,
zodat voldaan wordt aan de AVG. Deze aanpassingen staan in de tabellen in de bijlagen.
Tevens zijn er nog een aantal algemene aanpassingen aanbevolen omtrent procedures en
zaken die nog missen binnen de organisatie, maar die conform de AVG wel nodig zijn. Als
deze aanpassingen zijn geïmplementeerd, dan is er binnen de organisatie meer duidelijkheid
over hoe er gewerkt dient te worden met de AVG en voldoet de organisatie aan de regels
hieromtrent.
Hoofdstuk 5: conclusies en aanbevelingen
5.1. Inleiding
Als sluitstuk van dit onderzoek zullen in dit hoofdstuk de conclusies uit dit onderzoek worden
weergegeven.159 Zij vormen een antwoord op de centrale vraag en de deelvragen.
Daaropvolgend zullen de aanbevelingen worden toegelicht. Aangezien het creëren van een
werkwijze die voldoet aan de AVG centraal staat in dit onderzoeksrapport, is gekozen voor
praktische aanbevelingen die handvatten geven om de AVG praktisch te implementeren
binnen de organisatie.
5.2. Conclusies
De bedrijfsprocessen van de organisatie zijn ingericht volgens de ISO 9001 norm. Om te
kunnen voldoen aan de AVG zijn de procedures, formulieren, checklists en werkinstructies
getoetst aan de AVG en deze zullen vervolgens herschreven dienen te worden.
Allereerst is de AVG bekeken en is bepaald welke artikelen voor Solid Services BV relevant
zijn, om zo het wettelijk kader te bepalen dat voor de organisatie geldt. De onderwerpen uit
de AVG die voor Solid Services BV vooral relevant zijn, zijn: de wettelijke grondslagen, de
beginselen die gelden voor de verwerking van persoonsgegevens, de vereisten voor
toestemming, artikelen met betrekking tot direct marketing, het verwerken van bijzondere
persoonsgegevens, rechten van betrokkenen, het treffen van organisatorische en technische
maatregelen, beveiliging van persoonsgegevens, regels omtrent datalekken, het in kaart
brengen van risico’s door middel van een Data Protection Impact Assessment, regels
omtrent het verzenden van persoonsgegevens naar het buitenland, het opstellen van een
verwerkingsregister en het sluiten van verwerkersovereenkomsten met derde partijen
waarmee wordt samengewerkt. Onderwerpen uit de AVG waar de organisatie nu nog geen
rekening mee hoeft te houden, maar eventueel in de toekomst wel, zijn: het aanstellen van
een FG en het eventueel aanvragen van een certificering. Voor de nadere invulling van
bepaalde artikelen uit de AVG is tevens de Uitvoeringswet Algemene verordening
gegevensbescherming bekeken.
Om te achterhalen hoe de ISO 9001 norm en de AVG zich tot elkaar verhouden en in
hoeverre de ISO 9001 werkprocessen herschreven kunnen worden, zonder dat de ISO 9001
certificering in het geding komt, zijn een drietal interviews gehouden met deskundigen uit de
praktijk. Uit deze interviews kwam vooral naar voren dat de ISO 9001 norm ziet op een
kwaliteitsmanagementsysteem. Binnen dit managementsysteem moet er voldaan worden
aan geldende wet- en regelgeving. De AVG is dergelijke wet- en regelgeving en daarom
dient de AVG meegenomen te worden in het kwaliteitsmanagementsysteem. De ISO 9001
norm biedt daarom voldoende ruimte om de AVG te implementeren binnen de organisatie en
159 van Schaaijk 2015, p. 241.
33
de werkprocessen kunnen herschreven worden zonder dat dit consequenties heeft voor de
ISO 9001 certificering. Daarnaast is de AVG een Europese verordening en zijn NEN-normen,
waaronder ook de ISO 9001 norm, niet bindende regels van privaatrechtelijke aard die
binnen een bepaalde branche als bindend worden gehanteerd en daarmee een vorm van
zelfregulering zijn. Hiërarchisch gezien staat een verordening op Europees niveau hoger dan
branche gerelateerde, niet bindende regels. De AVG heeft daarom voorrang op de ISO 9001
norm. Tevens zijn ISO normen een concrete invulling van het wettelijk kader, die een
branche handvatten geven voor de implementatie van bepaalde wet- en regelgeving en een
standaard stellen. Gezien het feit dat de AVG het wettelijk kader is en één van de vereisten
van de ISO 9001 norm is dat er voldaan moet worden aan relevante wet- en regelgeving,
kan de ISO 9001 norm logischerwijs niet conflicteren met de AVG.
Vervolgens zijn de bedrijfsprocessen getoetst aan het wettelijk kader van de AVG.
Concluderend kan gesteld worden dat de ISO 9001 bedrijfsprocessen waarin
persoonsgegevens worden verwerkt nog niet voldoen aan de AVG. Alle werkinstructies en
het merendeel van de formulieren, die bij de werkprocessen horen, waarin
persoonsgegevens worden verwerkt, voldoen wel aan de AVG, omdat hierin niet meer
persoonsgegevens worden verwerkt dan nodig is voor de doeleinden. De reden dat sommige
formulieren niet voldoen aan de AVG, is omdat er middels deze formulieren te veel
persoonsgegevens worden verzameld voor de doeleinden of persoonsgegevens worden
verwerkt die niet verwerkt mogen worden. Daarnaast voldoet een gedeelte van de
procedures nog niet aan de AVG. De reden hiervan is dat deze procedures meer uitleg
behoeven. De meeste procedures beschrijven nu onvoldoende hoe er rekening wordt
gehouden met de AVG of de AVG wordt helemaal niet betrokken in deze procedures.
Tevens dienen de bewaartermijnen nader bekeken en beschreven te worden. De meeste
persoonsgegevens worden nu te lang of te kort bewaard. Als persoonsgegevens te lang
worden bewaard, dan is dit in strijd met de opslagbeperking die geldt onder AVG.
Persoonsgegevens mogen namelijk niet langer worden bewaard dan dat nodig is voor het
doel waarvoor de persoonsgegevens worden verwerkt. Indien persoonsgegevens te kort
worden bewaard, kan de organisatie deze persoonsgegevens niet overhandigen bij
bijvoorbeeld een audit van de Belastingdienst of de AP. Afhankelijk van het soort
persoonsgevevens dat wordt verwerkt, moet bepaald worden of deze gegevens te kort of te
lang bewaard worden. Hiervoor kan geen algemene termijn worden gehanteerd.
Als de procedures beter toegelicht zijn, heeft de organisatie meer helderheid over hoe met
bepaalde zaken om wordt gegaan, zoals bijvoorbeeld: bewaartermijnen, beveiliging,
archivering, Privacy by Design en Privacy by Default, verwerking van bijzondere
persoonsgegevens, automatisering, omgang met eventuele datalekken, direct marketing en
risico’s die zich voor kunnen doen. Daarnaast worden er middels sommige procedures te
veel persoonsgegevens verwerkt. Per formulier, werkinstructie, checklist of procedure is
aangegeven wat er aangepast dient te worden, zodat voldaan wordt aan de AVG. Deze
aanpassingen staan in de tabellen in de bijlagen. Tevens zijn er nog een aantal algemene
aanpassingen aanbevolen omtrent procedures en zaken die nog missen binnen de
organisatie, maar die conform de AVG wel nodig zijn.
Vervolgens is bekeken welke criteria de AP hanteert bij het beoordelen of een organisatie
voldoet aan de AVG. De Autoriteit Persoonsgegevens bekijkt of organisaties in
overeenstemming handelen met de AVG. Daarnaast stelt de AP zelf aanvullende regels op
met betrekking tot de AVG. Het is raadzaam de website van de AP regelmatig te raadplegen
voor nieuwe nadere regelgeving. Deze informatie is openbaar en voor iedereen toegankelijk.
34
Concluderend kan gesteld worden dat als Solid Services BV door middel van de formulieren,
waarin persoonsgegevens worden verwerkt, alléén persoonsgegevens verwerkt die zij nodig
heeft voor de doelen waarvoor de persoonsgegevens worden verwerkt en daarnaast geen
persoonsgegevens opvraagt die niet opgevraagd mogen worden, deze formulieren voldoen
aan de AVG. De werkinstructies waarin persoonsgegevens worden verwerkt, voldoen
allemaal aan de AVG. De procedures dienen op diverse punten nader toegelicht te worden
en de persoonsgegevens die niet verwerkt mogen worden, dienen niet meer verwerkt te
worden. Tevens dienen persoonsgegevens die niet relevant zijn voor het beoogde doel, niet
meer verwerkt te worden. Indien dit is aangepast, voldoen de procedures aan de AVG.
Als al deze aanpassingen zijn geïmplementeerd, dan is er binnen de organisatie meer
duidelijkheid over hoe er gewerkt dient te worden met de AVG en voldoet de organisatie aan
de regels hieromtrent.
5.3. Aanbevelingen
Onderstaand zullen de aanbevelingen, die voortvloeien uit de conclusies van dit onderzoek,
worden toegelicht. Deze aanbevelingen bevatten praktische handvatten over hoe de
organisatie haar processen kan aanpassen, zodat zij voldoet aan de AVG.
❖ Het is van belang dat er een hoger niveau van bewustwording wordt
gecreëerd omtrent de AVG binnen de organisatie, om ervoor te zorgen dat er
conform de AVG wordt gewerkt. Dit kan bijvoorbeeld door het geven van
voorlichtingen of door dit onderwerp op de agenda te zetten van het
werkoverleg;
❖ Er dient in beeld gebracht te worden welke persoonsgegevens er binnen de
organisatie worden verwerkt, met welk doel dit gebeurt en wat hier de
rechtsgrond voor is. Deze gegevens kunnen de basis vormen voor het
verplicht gestelde verwerkingsregister. Een overzicht in Excel zou al volstaan;
❖ Het is belangrijk dat de procedures en formulieren die niet voldoen aan de
AVG, herschreven worden. Hierbij is het van belang dat duidelijk wordt
beschreven wat er concreet gedaan wordt om te voldoen aan de AVG en dat
dit dan vervolgens ook gehanteerd wordt. Het enkel schriftelijk vastleggen van
procedures is niet voldoende;
❖ De bewaartermijnen van persoonsgegevens dienen te worden herzien en
herschreven in de procedures, sommige persoonsgegevens worden nu te
lang bewaard of juist te kort;
❖ Binnen de organisatie dient een DPIA uitgevoerd te worden. Het is praktisch
gezien het handigst om deze gelijktijdig uit te voeren met de risicoanalyses die
volgens de ISO 9001 norm al plaatsvinden. De frequentie hiervan is ook
voldoende volgens de AVG. De eerste keer zal dan wellicht afwijkend zijn
omdat een DPIA op korte termijn uitgevoerd dient te worden;
❖ Het aanstellen van een FG is op dit moment volgens de AVG niet verplicht.
Om er zeker van te zijn dat de AVG goed en op korte termijn
geïmplementeerd wordt, is het wellicht toch handig om binnen de organisatie
iemand aan te wijzen die de voortgang hieromtrent bewaakt. Dit zou
35
eventueel de persoon kunnen zijn die zich momenteel al bezig houdt met de
ISO 9001 normering;
❖ Naast een eventuele certificering voor de AVG zou er ook gekeken kunnen
worden naar een certificering voor de ISO 27001. Dit is de standaard voor
informatiebeveiliging. Hierdoor heeft deze norm veel overeenkomsten met de
AVG. Deze ISO norm zou kunnen helpen bij het voldoen aan de AVG en het
aantonen daarvan aan derden;
❖ Op het gebied van automatisering is er binnen de procedures nog veel
onduidelijk. Het is van belang dat dit proces nader geëvalueerd wordt en
duidelijk in beeld gebracht wordt wat de rol is van leveranciers in het kader
van het verzorgen van updates, virusscans, checks e.d. Daarnaast is het van
belang dat duidelijk wordt hoe persoonsgegevens, eventuele back-ups en
bestanden in de Cloud e.d. worden beveiligd;
❖ Het beginsel van Privacy by Design en Privacy by Default kan nog beter
worden toegepast. Er moet gekeken worden hoe de software zo privacy
vriendelijk mogelijk kan worden ingericht. Daarnaast moet er kritisch bekeken
worden wie er momenteel bij welke persoonsgegevens kan en of dit
noodzakelijk is. Indien dit niet het geval is, moeten bepaalde
persoonsgegevens worden afgeschermd voor bepaalde personen;
❖ In de procedures die betrekking hebben op het werken met fysieke dossiers
dient aangegeven te worden welke personen bij deze informatie kunnen en
waarom dit noodzakelijk is;
❖ Het clean desk principe en het locken van computers dient meer onder de
aandacht gebracht te worden. Het gebeurt nu te vaak dat werknemers hun
werkplek verlaten zonder hun computer te locken of privacygevoelige
gegevens op de bureaus liggen als werknemers niet aanwezig zijn op het
kantoor. Hierdoor kan iedereen bij deze persoonsgegevens en dat is niet de
bedoeling. Dossiers kunnen opgeborgen worden in de hiervoor bestemde
kasten. Sommige kantoren kunnen op slot. Dit dient ook gedaan te worden als
de betreffende medewerker niet aanwezig is. Om ervoor te zorgen dat
werknemers meer bekend raken met het locken van hun computer, zou bij het
nalaten hiervan een blokkade van de computer voor een paar minuten ingezet
kunnen worden, met een vermelding van het nalaten;
❖ Er dient een procedure geschreven te worden over hoe er omgegaan wordt
met een datalek, dit kan geïntegreerd worden in de procedure omtrent
automatisering;
❖ Er dient beschreven te worden in een procedure, naast de toelichting in de
procedures omtrent nazorg en klanttevredenheid, wat er precies omtrent
marketing wordt gedaan. Dit geldt ook voor direct marketing, zoals:
telemarketing en/of digitale direct marketing, zoals nieuwsbrieven;
❖ Er dient in kaart gebracht te worden aan welke derde partijen
persoonsgegevens worden verstrekt. Dit geldt ook voor derden in het
buitenland. Hiervoor dient een procedure opgenomen te worden;
36
❖ Met alle derde partijen dient een verwerkersovereenkomst gesloten te
worden. Hiervoor kan de standaardovereenkomst in bijlage 5 als uitgangspunt
worden gebruikt;
❖ Het is aan te raden om beleid te maken over hoe betrokkenen hun rechten uit
de AVG kunnen uitoefenen. Dit kan bijvoorbeeld via een privacystatement op
de website of een passage in de offerte of de algemene voorwaarden voor
externen en middels een passage in het personeelshandboek of de
arbeidsovereenkomst voor werknemers;
❖ De website beschikt niet over een SSL certificaat. Hierdoor kunnen derden
niet veilig hun persoonsgegevens achterlaten. Het is raadzaam een dergelijk
certificaat aan te vragen bij de hostingprovider. De aanduiding ‘’niet beveiligd’’
zal dan worden vervangen door ‘’beveiligd’’;
❖ Op de website staan foto’s van de werknemers. Hiervoor dient toestemming
gevraagd te worden. Dit kan het makkelijkste gedaan worden middels een
toestemmingsformulier;
❖ Het is raadzaam om een procedure op te nemen over het proces rondom
sollicitanten. Het is nu niet precies duidelijk welke persoonsgegevens in dat
kader worden verwerkt, met welk doel en hoe lang deze persoonsgegevens
bewaard dienen te worden.
37
Bronnenlijst
Wet- en regelgeving
Algemene verordening gegevensbescherming
Article 29 Working Party, Guidelines on Consent under Regulation 2016/679
Article 29 Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and
determining whether processing is "likely to result in a high risk" for the purposes of
Regulation 2016/679
Uitvoeringswet Algemene verordening gegevensbescherming
Literatuur
Ambtenbrink, Vedder 2013.
F. Ambtenbrink, H.H.B. Vedder, Recht van de Europese Unie, Den Haag: Boom Juridische
uitgevers 2013.
Berkvens, Vinken, Wiegerinck, Wolters, Reijner & van Gerwen 2018. J.M.A. Berkvens, S.M.M.C. Vinken, S.R. Wiegerinck, S. Wolters, J. Reijner & M.J.M.G. van
Gerwen, Checklist privacy: privacybeleid in 46 checklists. Van WBP naar AVG en UAVG,
Amsterdam: Berghauser Pont Publishing 2018.
Engelfriet, Chew & Kager 2018.
A. Engelfriet, L. Chew & P. Kager, De Algemene Verordening Gegevensbescherming.
Artikelgewijs commentaar, Amsterdam: Ius Mentis 2018.
Engelfriet, Chew & Kager 2018.
A. Engelfriet, L. Chew & P. Kager, Handboek AVG: compliance in de praktijk,
Amsterdam: Ius Mentis 2018.
Hooghiemstra & Nouwt, in: T&C AVG.
T.F.M. Hooghiemstra & J. Nouwt ‘Commentaar op de AVG’, in: Tekst & Commentaar AVG, Den Haag: Sdu Uitgevers 2018. van Schaaijk 2015.
G.A.F.M. van Schaaijk, Praktijkgericht juridisch onderzoek,
Den Haag: Boom Juridische uitgevers 2015.
Jurisprudentie
HR 9 september 2011, ECLI:NL:HR:2011:BQ8097 (Santander).
38
Artikelen
Bastiaans, Bb 2018/24
S. Bastiaans, ‘Privacy in een nieuw jasje: een vergelijking van beschermingsniveau tussen
de Wbp en de AVG’, Bb 2018/24, afl.8, p. 86-88.
van den Hoven van Genderen, Computerrecht 2011/4
R. van den Hoven van Genderen, ‘Hoe hard is de NEN-norm? Bescherming van
persoonsgegevens voor de zorgsector langs de meetlat van NEN 7510’, Computerrecht
2011, afl. 1, art. 4.
Vries, de & Goudsmit, NJB 2016/1077
H. de Vries & M. Goudsmit, ‘Voorsorteren op de Algemene Verordening
Gegevensbescherming’, NJB 2016/1077, afl. 22, p. 1071-1125.
Elektronische bronnen
www.autoriteitpersoonsgegevens.nl
europadecentraal.nl
europa.eu
www.norea.nl
www.rijksoverheid.nl
www.svb.nl
Interviews
Interview met een medewerker van Kiwa
Interview met een medewerker van NEN
Interview met een privacyjurist
Overige bronnen
Checklist WP29
‘’Criteria voor een aanvaardbare gegevensbeschermingseffectbeoordeling’’
Modellen voor de Rechtspraktijk
‘’T.J.M. de Weerd, VIII.5.65 Verwerkersovereenkomst’’
NEN-normen
NEN-EN-ISO 9001 norm