AVG vanaf 25 mei 2018 van kracht

08-05-2018

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing gegaan. In Europa geldt vanaf die datum dezelfde privacywetgeving. In het Engels heet de AVG General Data Protection Regulation (GDPR). De verordening vervangt de databeschermingsrichtlijn uit 1995. Maar wat betekent dat voor de interieurarchitect met een eigen bureau?

Wie moeten voldoen aan de AVG?
Alle private en publieke organisaties die persoonsgegevens verwerken moeten voldoen aan de AVG. Dus onder de AVG krijgen de mensen van wie je persoonsgegevens verwerkt meer en verbeterde privacyrechten. Elke organisatie, groot of klein, die persoonsgegevens verwerkt moet daaraan voldoen.

Wat zijn precies persoonsgegevens?
Persoonsgegevens zijn alle gegevens die herleiden naar een bepaald persoon (dus niet naar een organisatie, vereniging of bedrijf). Dus gegevens die feitelijke informatie geven over een persoon zoals bijvoorbeeld iemands naam, geboortedatum of geslacht. De verordening onderscheidt gewone en bijzondere persoonsgegevens.
Onder gewone persoonsgegevens vallen naam, titels, adresgegevens, telefoonnummers, emailadressen, bankrekeningnummer etc.
Bijzondere persoonsgegevens zijn gegevens van gevoelige aard, extra privacy-gevoelig. Deze persoonsgegevens mogen daarom alleen onder zeer strenge voorwaarden worden verwerkt. Het advies is om deze gegevens niet te gebruiken, als het niet nodig is. Welke gegevens vallen onder bijzondere persoonsgegevens:
godsdienst of levensovertuiging, etnische afkomst, politieke voorkeur, gezondheid; gegevens over seksuele geaardheid; het lidmaatschap van een vakbond; strafrechtelijk verleden, genetische of biometrische gegevens, salarisgegevens (loonstrook, jaaropgave), kopie paspoort, waarop een foto zichtbaar is, BSN-nummer.
Ook het burgerservicenummer (BSN) is dus een bijzonder persoonsgegeven, omdat het een uniek en tot de persoon herleidbaar nummer is.

Bijzondere persoonsgegevens mag je niet verwerken, tenzij je uitdrukkelijke toestemming hebt gekregen, geborgd met een 'getekend voor akkoord' verklaring. Na het intrekken van deze toestemming mag je de gegevens niet meer bezitten of verwerken.

Wat betekent dit allemaal in de praktijk?
1.
In het geval van een zelfstandige interieurarchitect betekent dit dat bijvoorbeeld gegevens van opdrachtgevers en gegevens van een contactpersoon bij bedrijven zijn opgeslagen in computers, middels een excelsheet of databasebestand bijv oorbeeld. Bekijk en maak een overzicht van welke persoonsgegevens worden verwerkt en met welk doel en of de gegevens gedeeld worden en wie er toegang hebben tot de gegevens (boekhouder, softwareleverancier). Heb je een bureau met medewerkers, dan heb je ook te maken met bijzondere persoonsgegevens in verband met de salarisadministratie. En je medewerkers moeten ook op de hoogte zijn van de AVG (bewustwording), want gegevens worden ook gedeeld.
2.
De volgende stap is om te bekijken hoe de gegevens zijn beveiligd. Is je computer alleen toegankelijk met een wachtwoord, is de internetverbinding beveiligd met een firewall? Is de database online toegankelijk en word die aangeboden door een softwareleverancier, dan zijn de gegevens uitbesteed en controleer of er in bestaande contracten rekening is gehouden met de AVG. Veel softwareleveranciers leveren bewerkersovereenkomsten, dus neem in dat geval contact op.
3.
Zorg ervoor dat je een bewerkersovereenkomst hebt met iedere organisatie die persoonsgegevens van je verwerkt, denk daarbij ook aan de boekhouder, salarisadministratie.
4.
Belangrijk is om niet meer gegevens te verwerken dan noodzakelijk.
5.
Als er sprake is van een datalek, ben je verplicht die te melden.
6.
De nieuwe wetgeving stelt strengere eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. Bekijk daarom de manieren waarop je toestemming vraagt, krijgt en registreert. Je moet kunnen aantonen dat er geldige toestemming is verkregen.
7.
Als iemand vraagt om de gegevens te verwijderen, ben je daartoe verplicht.
8.
Zet in je voorwaarden en opdrachtbevestigingen dat je de te benoemen persoonsgegevens nodig hebt en dat je middels ondertekening van het contract daarmee toestemming hebt gekregen om de gegevens te verwerken met een uiteenzetting van de procedure voor het verwijderen van deze gegevens, met de kanttekening dat de fiscale bewaarplicht wordt geëerbiedigd. Belangrijk ook hier:  het gaat om persoonsgegevens, dus geen bedrijfsgegevens.

Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens houdt toezicht op gebruik van persoonsgegevens door organisaties. Op hun website staat veel informatie over de AVG.
Bijvoorbeeld het document: De AVG in een notendop; In 10 stappen voorbereid op de AV
Er is ook informatie te vinden bij de digitale overheid en de Kamer van Koophandel.

Concluderend
In mei 2018 moeten alle organisaties in Nederland - dus ook alle verenigingen, groot én klein - voldoen aan nieuwe privacyregels. Die staan in de Algemene Verordening Gegevensbescherming (AVG). Die wet stelt strenge eisen aan de omgang met persoonsinformatie. 
De wet eist een inspanningsverplichting. Je moet kunnen aantonen dat je er alles aan hebt gedaan om de privacy te waarborgen. In de praktijk betekent dat: ICT-systemen op orde, beveiliging van computers en telefoons, contracten sluiten met derden over uitwisseling van gegevens, vastleggen wie in de organisatie de persoonlijke gegevens mag inzien en behandelen en instructie van alle personeelsleden.