Algemene Verordening Gegevensbescherming: Gevoelige data; lekken of dichten.

|
Auteur:
8 min.

U zult er inmiddels al het nodige over hebben gelezen: de nieuwe Europese privacywetgeving.  Ook voor creditmanagers treedt op 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking. Uw organisatie moet conform zijn aan de regels en richtlijnen uit deze Verordening. Kunt u bijvoorbeeld met één druk op de knop aangeven waar persoonsgegevens zich in uw digitaal proces bevinden? Is het voor uw organisatie verplicht een Data Protection Officer aan te stellen? Slaat u alleen data op die u daadwerkelijk nodig heeft?

Doel AVG

Op dit moment heeft iedere lidstaat in de Europese Unie nog een eigen privacywet. De Europese Commissie harmoniseert met deze Verordening de vele uiteenlopende nationale wetten rondom privacy. Daarnaast beoogt de Europese Commissie met dit instrument een solide bodem voor het voortdurend veranderende digitale ecosysteem te bieden. Hiermee streeft de Europese Commissie naar vertrouwen en rechtszekerheid voor de ontwikkeling van de interne markt. Voor bedrijven die internationaal zakendoen zou dit moeten leiden tot minder administratieve handelingen.

Het doel van de AVG is de bescherming van de privacyrechten van individuen. Met de komst van de AVG worden onder meer de privacyrechten van de inwoners van de EU versterkt en uitgebreid. Er zijn strengere regels gekomen ten aanzien van de opslag, het gebruik en de verwerking van persoonsgegevens en de rechten van de betrokkenen zijn versterkt. Als niet aan die regels wordt voldaan kunnen de boetes oplopen naar 20 miljoen euro of 4% van de wereldwijze jaaromzet. De toezichthouder is de Autoriteit Persoonsgegevens.

De algemene kaders

De AVG geldt voor iedere onderneming die te maken heeft met persoonsgegevens. De omvang van de onderneming maakt daarbij niet uit. De persoonsgegevens mogen alleen worden verwerkt als dit kan worden gegrond op 1 van de 6 grondslagen. Als u de gegevensverwerking niet kunt baseren op één van deze grondslagen, heeft u niet het recht om persoonsgegevens te verwerken.

De checklist verwerking persoonsgegevens:

  1. Toestemming van de betrokken persoon;
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst;
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting;
  4. De gegevensverwerking is noodzakelijk voor de nakoming van de vitale belangen;
  5. De gegevensverwerking is noodzakelijk voor de vervulling van de taak van algemeen belang of uitoefening  van openbaar gezag;
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

 

Daarnaast gelden er strenge eisen ten aanzien van het bewaren en doorgeven van die persoonsgegevens.

  1. Het begrip persoonsgegevens wordt uitgebreid

Uw organisatie mag niet zomaar persoonsgegevens uitwisselen. Het begrip persoonsgegevens wordt ruimer gedefinieerd met de komst van de AVG. Hieronder vallen alle gegevens die direct of indirect (kunnen) leiden tot de identificatie van een natuurlijk persoon. Naast bestanden met namen en adressen vallen hieronder nu dus ook gegevens die zijn gekoppeld aan IP-adressen, cookies en dergelijke onder de wet. De activiteiten van de onderneming vallen door de uitbreiding van het begrip dus sneller onder de AVG.

  1. Documentatie verwerking persoonsgegevens

U moet alle verwerkingen van persoonsgegevens documenteren. Dat betekent niet alleen de gegevens van uw klanten, maar ook van bijvoorbeeld uw personeel. U dient in een register onder andere bij te houden welke gegevens er verwerkt worden, voor welke doeleinden en hoe de gegevens beveiligd worden.

  1. Wijzen op rechten

U moet niet alleen duidelijk en transparant uitleggen wat u doet met persoonsgegevens, maar daarnaast moet u betrokkenen ook wijzen op hun rechten. Men heeft het recht om inzage te krijgen in hun gegevens en te weten met welk doel u de gegevens verwerkt en aan wie u deze verstrekt. Daarnaast heeft de betrokkene het recht om een verzoek in de dienen om de gegevens te wissen of te wijzigen. Een dergelijk verzoek moet door uw onderneming worden gehonoreerd. U moet hen voorts wijzen op hun mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

  1. Verwerkersovereenkomsten met leveranciers

Met alle leveranciers en afnemers dient u een zogenoemde verwerkersovereenkomst te sluiten waarin u afspraken maakt over de wijze waarop met de persoonsgegevens wordt omgegaan. Dat betekent dat wanneer u diensten uitbesteedt waarbij persoonsgegevens zijn betrokken van uw klanten, u hiervoor toestemming nodig heeft van uw klant.

  1. Weggooien boven bewaren

Het uitgangspunt is dat u zo min mogelijk persoonsgegevens onder zich heeft. Verzamel dus zo min mogelijk persoonsgegevens en als u deze onder zich heeft, verwijder deze dan zo snel mogelijk.

  1. Samenwerking buiten de EU

Werkt u samen met partijen buiten de EU? Dat wordt onder de AVG enkel toegestaan als de AVG-wetgeving daartoe de mogelijkheid biedt. Er dient dan voldaan te zijn aan strenge eisen. Ten aanzien van een aantal landen heeft de Europese Commissie bepaald dat er in dat land een passend beschermingsniveau wordt geboden.

En wat betekent dat voor u in het speelveld creditmanagement?

Wat zijn de gevolgen voor uw dagelijkse werkzaamheden? In de basis komt het erop neer dat u zich bij iedere verwerking binnen uw processen de volgende vragen moet stellen:

  • Welke gegevens heb ik;
  • Waarom heb ik die gegevens;
  • Heb ik deze gegevens daadwerkelijk nodig?

Wanneer dit zich vertaalt naar de praktijk, ligt er een uitdaging in feitelijk de gehele reis die persoonsgegevens, bijvoorbeeld van een klant, door uw organisatie maken. Van klant naar klant-debiteur tot wellicht externe incasso.

In dat kader werd mij laatst de vraag gesteld: moet er expliciete toestemming zijn vanuit de debiteur bij overdracht van de vordering ter incasso?

Wanneer u zich de bovenstaande vragen stelt, komt u al snel op een grondslag die het doorgeven van deze gegevens aan een incassopartner rechtvaardigt. Uw vordering is in vrijwel de meeste gevallen gebaseerd op een overeenkomst waarbij de ene partij de verplichting heeft een dienst of product te leveren. De overeenkomst committeert de andere partij om binnen de overeengekomen termijn te betalen. Als de wederprestatie uitblijft en uw eigen inspanningen in dat kader niet tot betaling hebben geleid, mag u de gegevens die nodig zijn voor het incasso doorgeven. Uw klant-debiteur en u moeten er uiteraard op kunnen vertrouwen dat de gegevens in veilige handen zijn.

Dit artikel geschreven voor het vakblad ‘De Creditmanager’ – Jaargang 29 nummer 1.