De nieuwe privacywet in de bewindvoerderspraktijk
De auteur bespreekt de belangrijkste gevolgen van de Algemene verordening gegevensbescherming (AVG) voor de Wsnp-bewindvoerder.
WSNP Periodiek november 2017, nr. 4
Theo Kusters*
1. Grote veranderingen op komst
Sinds mei 2016 is een Europese verordening van kracht die van enorme invloed is op alle organisaties die persoonsgegevens verwerken, dus ook op kantoren van Wsnp bewindvoerders. Die wet, met een directe werking in alle EU lidstaten, stelt hoge eisen aan de technische en organisatorische maatregelen om adequate bescherming van persoonsgegevens te garanderen. In Nederland heet die wet de Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR) genoemd of in de wandelgangen gewoon “de privacywet”.
De Autoriteit Persoonsgegevens (AP), voorheen “College Bescherming Persoonsgegevens”, gaat vanaf 25 mei 2018 die wet naar het zich laat aanzien streng handhaven. Dat is een belangrijk verschil met vroeger onder de Wet bescherming persoonsgegevens (Wbp), toen er maar zelden boetes werden uitgedeeld. Zelfs bij datalekken met ernstige gevolgen voor betrokken burgers ging het om relatief geringe bedragen. Dat gaat na 25 mei echt veranderen. De AP heeft handhavingsbevoegdheden die overeenkomen met die van de Autoriteit Financiële Markt (AFM) en veel lezers zullen beseffen wat dat betekent.
Straks bestaat ook de mogelijkheid voor individuen om laagdrempelig langs gerechtelijke weg schadeclaims in te dienen bij organisaties die het met de bescherming van hun persoonlijke gegevens niet zo nauw nemen. De AVG gaat immers voor een belangrijk deel over rechten van betrokkenen en plichten voor organisaties, dus ga er maar van uit dat zulke schadeclaims regelmatig zullen worden ingesteld en toegekend.
Het belangrijkste punt van aandacht blijft echter het risico van reputatieschade. Burgers worden mondiger en verlangen, terecht, zorgvuldigheid bij de verwerking van hun gegevens. Gaat er iets mis, dan staat u zó met naam en toenaam op facebook en is het afgelopen met uw moeizaam en jarenlang opgebouwde reputatie. Een goed moreel uitgangspunt hierbij is dat de gegevens die u verzamelt en verwerkt niet van u, maar van de betrokkene zijn.
Hoogste tijd dus voor bewindvoerders om kennis te nemen van de nieuwe wet en in actie te komen.
2. Betekenis voor de praktijk van bewindvoerders
Een hoog beschermingsniveau is zeker voor “gevoelige” gegevens vereist. Hiertoe rekent de AP financiële data, zoals schuldenposities. Daarnaast is er ook een categorie “bijzondere” persoonsgegevens en daar vallen onder andere gegevens over etniciteit, (geestelijke) gezondheid en seksuele geaardheid onder. In beginsel mag u die gegevens helemaal niet in dossier hebben tenzij de betrokkene daar uitdrukkelijk, ondubbelzinnig en vrij (dat wil zeggen: zonder kans op nadelige gevolgen bij weigering) toestemming voor heeft gegeven. Een andere uitzondering op het algemene verbod is dat het bijvoorbeeld nodig is vanwege onderbouwing van een rechtsvordering en zo zijn er nog een paar uitzonderingen.
Bewindvoerders moeten het voor onbevoegden onmogelijk maken om toegang tot dossiers te krijgen. Op de eerste plaats zijn daar technische maatregelen voor nodig. Dat het niet zal lukken om systemen voor 100% waterdicht te krijgen is evident, maar wie nog firewalls van jaren geleden gebruikt, laat is met updates downloaden of geen beleid heeft voor het gebruik van wachtwoorden, om maar een paar voorbeelden te noemen, is duidelijk in overtreding. Art. 32 van de AVG spreekt van “passende maatregelen rekening houdend met de stand van de techniek en de uitvoeringskosten”. Kennelijk hoef je dus geen kwartje uit te geven om een dubbeltje te beschermen, maar niets doen is geen optie en een zorgvuldige afweging van mogelijkheden een vereiste.
De persoonsgegevens in een dossier van een bewindvoerder zijn vaak heel gevoelig en de gevolgen die het voor een betrokkene kan hebben als deze gegevens in verkeerde handen terecht komen kunnen heel ernstig zijn. Dit verlangt van een bewindvoerder dat hij álle beschermingsmaatregelen neemt die redelijkerwijs van hem of haar gevraagd kunnen worden. Mocht er toch een datalek optreden, door acties van een hacker maar bijvoorbeeld ook wegens onzorgvuldigheid van een medewerker, dan moet er een protocol zijn. Dit om de ernst van de inbreuk te kunnen beoordelen, al dan niet melding te hoeven maken bij de AP (en soms bij betrokkenen), een procedure om herhaling van het feit te voorkomen en de gevolgen voor betrokkene(-n), maar zeker ook voor de eigen organisatie, te beperken. Datalekken zijn kostbaar, vermijden en voorkomen ervan getuigt van goed en verantwoordelijk ondernemerschap.
Dat datalekprotocol is overigens slechts één voorbeeld van de organisatorische maatregelen die nodig zijn. Zo zult u zaken moeten regelen omtrent bewaartermijnen, overeenkomsten met partijen waar u gegevens mee uitwisselt, clean desk policy, transparantie en recht van inzage, om er maar een paar te noemen.
3. Beginselen voor de verwerking van persoonsgegevens
Omdat de in art. 5 van de AVG vermelde beginselen het fundament vormen onder de hele wet, benoem ik deze hieronder met een korte toelichting. Dit denkkader zal u mogelijk helpen om een “gevoel” te ontwikkelen bij het op een correcte manier omgaan met de aan u toevertrouwde gegevens. Verwerking van persoonsgegevens moeten voldoen aan:
- Rechtmatigheid, behoorlijkheid en transparantie. Er moet een rechtsgrond bestaan waaronder men de gegevens mag verwerken. Zo benoemt de rechtbank een bewindvoerder en is die rechtsgrond een wettelijke verplichting. Met transparantie wordt onder meer bedoeld dat u de betrokkene(-n) op de hoogte stelt van de verwerking en van diens rechten zoals inzage- en correctierecht; een privacyverklaring op uw website is nu een “must”.
- U zult het doel waarvoor de gegevens verzameld en verwerkt worden expliciet en concreet moeten benoemen en u mag deze gegevens niet zomaar voor andere doelen gebruiken.
- Minimale gegevensverwerking. U mag niet meer gegevens van iemand verwerken dan strikt noodzakelijk is voor het doel waarvoor u die gegevens verwerkt.
- U bent ervoor verantwoordelijk dat de gegevens correct zijn en kunt aantonen hoe u geregeld heeft dat deze waar nodig geactualiseerd worden.
- Tenzij andere, prevalerende wetgeving van toepassing is, mag u persoonsgegevens nadat het doel bereikt is, niet langer bewaren op een manier die het mogelijk maakt om de betrokkene te identificeren. Encryptie, pseudonimiseren of gewoon verwijderen kunnen opties zijn.
- Integriteit en vertrouwelijkheid. Dit gaat onder andere over te nemen maatregelen voor bescherming tegen ongeoorloofde toegang en onopzettelijk verlies.
- U bent gehouden een register bij te houden over de verwerkingen die in uw praktijk plaatsvinden. Dit is geen sinecure en daarom hieronder een wat uitgebreidere toelichting op dit register.
4. Verwerkingenregister
In de AVG is sprake van omgekeerde bewijslast. Dit komt in Nederland niet zo vaak voor en geeft aan dat de overheid de bescherming van persoonsgegevens heel serieus neemt en dat ook van u als verantwoordelijke voor de verwerking verlangt. U heeft voor die omgekeerde bewijslast een register nodig waarin u vermeldt en bijwerkt welke categorieën gegevens u verwerkt, met welke rechtsgrond u dat doet en welke maatregelen u neemt om aan de hierboven genoemde beginselen te voldoen. Bovenal zult u daar de bewijsvoering bij moeten kunnen overleggen. Dat is een hoeveelheid werk die nogal eens onderschat wordt omdat elke soort verwerking die u doet separaat geregistreerd moet worden. Een goed startpunt om hier inzicht in te krijgen is het maken van een stroomdiagram (flowchart) waarin u de informatiestromen van begin tot einde in kaart brengt. Een zinvolle exercitie overigens, want niet zelden komt nogal wat ingeslopen inefficiëntie daardoor aan het licht. In het kader van de AVG is het echter bedoeld om zwakke en/ of risicovolle plekken in de informatiestroom te ontdekken en vervolgens gericht uw beveiligingsmaatregelen aan te scherpen. Begin er tijdig mee is het devies en laat u adviseren over methodes en beschikbare software.
5. Tenslotte
Begint het u al te duizelen? Het is natuurlijk niet mijn bedoeling om met dit artikel aan bangmakerij te doen. Het zal ook niet zo zijn dat de AP na 25 mei 2018 onmiddellijk boetes gaat uitdelen aan bewindvoerders die nog niet aan alle eisen van de AVG voldoen. Doet u echter niets en gaat het mis, dan kunnen de gevolgen zeer ernstig zijn en kunt u zelfs hoofdelijk aansprakelijk gesteld worden voor betaling van een boete en van materiële en immateriële schade die door uw nalatigheid is aangericht.
Dit artikel heb ik geschreven om bewustwording bij uw beroepsgroep te creëren en is zeker niet volledig in het benoemen van alle zaken waar u door de AVG mee van doen hebt. De site van de AP autoriteitpersoonsgegevens.nl is actueel en geeft uitleg over strekking en implicaties van de wet. Meer informatie kunt u ook verkrijgen bij gespecialiseerde adviesbureaus of door een kennissessie of cursus te volgen.
*Theo Kusters is gecertificeerd privacy specialist (Certified Information Privacy Professional Europe), oprichter van Privacy Collectief Venlo en als docent privacywetgeving o.a. verbonden aan OSR Juridische Opleidingen te Utrecht.
Documentsoort
- Vakliteratuur
- Wsnp periodiek
Trefwoorden
- Wsnp Periodiek
Gerelateerd
Dit artikel beschouwt de afhandeling van de compensatie kinderopvangtoeslagaffaire in relatie met de Wsnp.
Geen schone lei wordt toegekend in een Wsnp die eindigt omdat alle (aangemelde) vorderingen voldaan kunnen worden. Dit artikel legt uit hoe te werk te gaan om toch een schone lei te krijgen.
Dit artikel informeert over een aantal wetsvoorstellen ten aanzien van de Wsnp, te weten: verkorting goede-trouw-termijn en de flexibilisering wachttermijn tien jaar.