GDPR of AVG, what’s the deal?!

Iedereen heeft er wel al iets over gehoord, of iets over gelezen… AVG of ook GDPR genoemd komt er aan!

De datum van 25 mei 2018 lijkt als een doemsdag boven ons allen te hangen… of toch niet?
In deze blogpost(s) gaan wij er even dieper op in en nemen we jullie mee doorheen deze nieuwe regelgeving die op ons allen invloed zal hebben.

Let’s get prepared together!

Ok, first off… wat is GDPR of AVG?

De AVG of Algemene Verordening Gegevensbescherming (in het Engels spreken we over GDPR: General Data Protection Regulation) is een wetgeving die door de EU voor haar lidstaten is opgesteld om het verwerken van persoonlijke gegevens te reguleren. Het vervangt eerdere wetgeving die van vóór het Cloud-tijdperk stamt waarin grootschalige verzameling en ‘mining’ van data – waaronder persoonlijke data –gemeengoed is geworden. De wet beoogt de risico’s van dergelijke ‘Verwerking’ te controleren.

Aan deze Europese wet liggen vier jaar van voorbereiding ten grondslag, waarin de Werkgroep ‘Article 29’ de regelgeving inzake bescherming van persoonlijke informatie in lijn bracht met de nieuwe, onvoorziene manieren waarop data tegenwoordig wordt behandeld.

Wat is er nieuw?

Alle lidstaten van de EU hebben al hun eigen, lokale wetten inzake bescherming van data (veelal vormgegeven naar twee niet-dwingende Directieven van de EU: de Data Protection Act uit 1998 en het daarop volgende EU Data Protection Directive, 1995. De lokale wetten verschillen echter aanzienlijk tussen de deelstaten, waardoor het voor bedrijven en overheden moeilijk is om grensoverschrijdend te werken als daar persoonlijke informatie mee is gemoeid.

De AVG verhelpt dit; het is één centraal uitgegeven wet die – zonder wijzigingen – effectief wordt in elk van de lidstaten, en zelfs daarbuiten als een niet-lidstaat persoonlijke informatie van EU-residenten verwerkt. Bijgevolg kunnen organisaties hetzelfde niveau van beveiliging verwachten in elk van de lidstaten als ook in staten buiten de EU voor zover het de bescherming van zulke data betreft.

Deze sterke vereenvoudiging zal de zakenwereld zo’n 2,3 miljard Euro op jaarbasis besparen, schatte de EU in haar Memo 17-1441.

Een ander nieuwtje is dat deze Regulation de boetes voor non-conformiteit en inbreuken vaststelt en niets meer te raden overlaat. De boetes zijn aanzienlijk en maken het overduidelijk dat de EU de bescherming van haar burgers uiterst serieus neemt.

Ook die rechten zet de AVG haarfijn uiteen zodat ook daarover geen misverstanden meer kunnen ontstaan. Het definieert bijvoorbeeld het recht om vergeten te worden en het recht om voldoende te worden geïnformeerd als er ongeoorloofde dingen met de data gebeuren.

Wat wordt beschouwd als “Persoonlijke Informatie”?

Tot de komst van de AVG kon een deelstaat zelf invulling geven aan de betekenis van de woorden ‘persoonlijke informatie’. De Verordening geeft een eenduidige definitie – en gaat daarin veel verder dan de meeste lokale wetgeving deed.

Persoonlijke informatie omvat nu: enige data waarmee een individu persoonlijk kan worden geïdentificeerd, maar ook datatypes zoals IP-adressen, waaruit persoonlijke informatie kan “afgeleid” worden. Naast ‘harde’ data zoals geboortedatum en beroep, omvat de term ook ‘zachte’ data zoals gezondheidsgegevens en informatie over de culturele achtergrond.
Zelfs als data is geanonimiseerd (of ‘pseudo-anonimised’), valt ze onder de definitie als het mogelijk is om de data zodanig te bewerken dat de personen met een redelijke graad van zekerheid identificeerbaar zijn.

Op wie is het van toepassing?

Net als de eerdere Directives, onderscheidt ook de AVG de Data-Verwerker (Processor) van de Data-Verwerkingsverantwoordelijke (Controller); beiden zijn onderworpen aan de Regulatie.

  • De Verwerkingsverantwoordelijke, of Controller, is de ‘eigenaar’ van de data. Dit is bijvoorbeeld de klant van Stone Internet Services die een online datingsite uitbaat en daartoe gegevens verwerkt zoals namen, persoonlijke voorkeuren en betaalgegevens. Om dit in goede banen te leiden, is de Verwerkingsverantwoordelijke verplicht om aan de Verwerker te melden hoe hij deze specifieke data moet verwerken – en zelfs waarom. De Verwerkingsverantwoordelijke moet ervoor instaan dat de verwerking wettig is, een specifiek (legaal) doel dient én transparant wordt uitgevoerd;
  • De Verwerker, of Processor, is de entiteit die de data verwerkt zoals de Verwerkingsverantwoordelijke die aanlevert. Als Stone Internet Services bijvoorbeeld de backup voor de klant in de voorgaande bullet beheert, zijn wij de Verwerker van die databewerking. Wij moeten dan logs bijhouden van die bewerking en zijn verantwoordelijk voor incidenten die aan Stone Internet Services verwijtbaar zijn;
  • De Verwerker moet er tevens voor zorgen dat elke derde partij die hij inhuurt in verband met de Verwerking, volledig conform de AVG werkt. Dergelijke partijen duidt de AVG aan met de term ‘sub-Verwerkers’ en de Verwerker is volledig verantwoordelijk voor inbreuken die volgen uit het inhuren van een sub-Verwerker.

De personen wiens persoonlijke informatie wordt verwerkt, duidt de Regulation aan als zijnde de ‘data subjects’ (of kortweg ‘subjects’).

Note: de AVG is eveneens van toepassing op Verwerkers en (sub)-Verwerkers buiten de EU als de bewerking plaatsvindt op persoonlijke data van residenten van de EU.

Belangrijk: wettige verwerking!

Het eerste dat de Verwerkingsverantwoordelijke moet vaststellen, is of de verwerking wel wettig is. De AVG laat ook hier niets aan de verbeelding over en definieert de volgende gevallen als ‘wettig’ (er moet aan tenminste één van de criteria worden voldaan).

  • Voldoen aan verplichtingen onder een overeenkomst – zeer relevant voor de relatie tussen een klant en Stone Internet Services, is de situatie waarin wij de Verwerkingsverantwoordelijke zijn van de persoonlijke informatie van vertegenwoordigers van die klant. Het gaat daarbij vooral om contactgegevens van personen bij adminstratie en projectmanagers, technische contactpersonen, enzovoort;
  • Actieve toestemming van het data subject – in plaats van slechts een ‘opt-out’ vakje niet aan te klikken of akkoord te gaan met Algemene Voorwaarden waarin tevens een opt-in is verstopt, moet het subject actief toestemming geven voor de verwerking. Deze toestemming moet bovendien deugdelijk worden opgeslagen – en moet eenvoudig weer kunnen worden ingetrokken. De verwerking is alleen geldig als aan al deze voorwaarden is voldaan;
  • Wettelijke verplichting – alle verwerking die men doet om aan andere wetten te voldoen, is uiteraard ook wettig onder de AVG;
  • Persoonlijke veiligheid / gezondheid – relevant in bijvoorbeeld de gezondheidszorg: persoonlijke informatie mag bewerkt worden als dit van essentieel belang is voor het leven van het subject;
  • Algemeen belang – verwerking die het publieke belang dient, is eveneens wettig onder AVG;
  • Legitiem belang van de Verwerkingsverantwoordelijke – de AVG staat ook verwerking toe als dit een legitiem belang van de Verwerkingsverantwoordelijke dient, zoals het kunnen identificeren van individuen die verantwoordelijk zijn voor hacking, fraude, enzovoort.

Voila, dit is het voor vandaag. We wouden jullie reeds een algemene introductie geven tot AVG / GDPR, zonder té diep te gaan. In onze volgende blogpost zullen we iets dieper ingaan op de mogelijke inbreuken en de regelgeving ook toepassen op onze samenwerking.