Juridische Hogeschool Online Catalogus :: Home - …...Onderwijsinstelling: Juridische Hogeschool...

Een AVG-proof

bedrijfsvoering Van compliance naar accountability

Auteur: Liza van der Wolde

Studentnummer: 2083107

Afstudeerperiode: Najaar 2018

Afstudeerorganisatie: Solid Services BV

Afstudeermentor: Patrick Dewez

Onderwijsinstelling: Juridische Hogeschool Avans-Fontys

Opleiding: HBO-rechten

Locatie: Tilburg

Eerste afstudeerdocent: mr. A.L. (Astrid) de Boer

Tweede afstudeerdocent: drs. K. (Kim) Teeuwen

Tilburg, januari 2019

Voorwoord

In veertien weken tijd heb ik een onderzoek verricht naar de implementatie van de AVG in de

ISO 9001 werkprocessen en werkinstructies van Solid Services BV en daarover een

onderzoeksrapport geschreven. Zeer uitdagend, voornamelijk omdat dit rapport geschreven

is naar aanleiding van een probleem uit de praktijk. Bovendien is het een actueel en soms

complex onderwerp waardoor het een interessant onderzoek was.

Voor dit onderzoek is zowel de theorie als de praktijk onderzocht. Ik denk dat ik met dit

onderzoek en de daaropvolgende aanbevelingen praktische handvatten heb gegeven aan

Solid Services BV, waar zij écht iets mee kan.

Het was opmerkelijk dat een relatief eenvoudige wet kan zorgen voor zoveel onduidelijkheid

en problemen in de praktijk. Om een goed advies uit te kunnen brengen is een

rechtsbronnen- en literatuuronderzoek gedaan. Tevens zijn, om de koppeling te maken

tussen de ISO 9001 norm en de AVG, interviews afgenomen met mensen uit de praktijk.

Hierdoor kon er een goed beeld gevormd worden van hoe hiermee in de praktijk omgegaan

wordt. Daarnaast heb ik een uitgebreid onderzoek gedaan naar de praktijk, omdat de AVG in

elke specifieke situatie om een andere aanpak vraagt. Zeker gezien het feit dat in dit

onderzoek de ISO 9001 norm ook van groot belang was.

Ik wil graag de heer P. Dewez van Solid Services BV bedanken voor het aanleveren van

deze opdracht. Daarnaast wil ik mijn eerste lezer mevrouw mr. A. de Boer en mijn tweede

lezer mevrouw drs. K. Teeuwen bedanken voor de begeleiding tijdens mijn afstuderen. Als

laatste wil ik mijn gecommitteerde mevrouw mr. J. de Groot bedanken voor het geven van

een kritische blik op dit onderzoek vanuit de praktijk.

Met dit rapport hoop ik Solid Services BV van dienst te kunnen zijn met het creëren van één

werkwijze waarin alle werkprocessen en werkinstructies zowel ISO 9001- als AVG-proof zijn

voor nu en in de toekomst.

Liza van der Wolde

Oosterhout, januari 2019

Inhoudsopgave

Samenvatting…………………………………………………………………………………………………………………..

Hoofdstuk 1: inleiding ..................................................................................................................................................... 1

1.1. Probleembeschrijving ............................................................................................................................................. 1

1.2. Centrale vraag en deelvragen ................................................................................................................................ 1

1.3. Doelstelling ............................................................................................................................................................ 2

1.4. Werkwijze .............................................................................................................................................................. 2

1.5. Leeswijzer .............................................................................................................................................................. 3

Hoofdstuk 2: het wettelijk kader van de AVG ................................................................................................................ 4

2.1. Inleiding ................................................................................................................................................................. 4

2.2. Artikelen uit de AVG ............................................................................................................................................... 4

2.2.1. Materieel en territoriaal toepassingsgebied AVG ............................................................................................ 4

2.2.2. Verwerkingsverantwoordelijke en verwerker .................................................................................................. 5

2.2.3. Beginselen verwerking persoonsgegevens .................................................................................................... 5

2.2.4. Rechtmatigheid van de verwerking ................................................................................................................. 6

2.2.5. Voorwaarden voor toestemming ..................................................................................................................... 7

2.2.6. Verwerking van bijzondere persoonsgegevens .............................................................................................. 8

2.2.7. Rechten van de betrokkene ............................................................................................................................ 9

2.2.8. Algemene verplichtingen verwerkingsverantwoordelijke ............................................................................... 12

2.2.9. Verplichtingen verwerker .............................................................................................................................. 13

2.2.10. Persoonsgegevensbeveiliging .................................................................................................................... 14

2.2.11. Melding inbreuk (datalek) ........................................................................................................................... 14

2.2.12. Direct marketing ......................................................................................................................................... 15

2.2.13. Gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment) ...................................... 16

2.2.14. Functionaris voor de gegevensbescherming .............................................................................................. 18

2.2.15. Doorgiften van persoonsgegevens aan derde landen of internationale organisaties .................................. 18

2.2.16. Sancties als gevolg van overtreden van de AVG ........................................................................................ 19

2.3. De toekomst ......................................................................................................................................................... 19

2.3.1. De Functionaris voor de gegevensbescherming ........................................................................................... 19

2.3.2. Certificering .................................................................................................................................................. 20

2.4. Tussenconclusie .................................................................................................................................................. 20

Hoofdstuk 3: ISO 9001 norm en AVG ........................................................................................................................... 22

3.1. Inleiding ............................................................................................................................................................... 22

3.2. De ISO 9001 norm ............................................................................................................................................... 22

3.3. Koppeling ISO 9001 norm en de AVG ................................................................................................................. 22

3.4. Hard law vs. Soft law ........................................................................................................................................... 23


Hoofdstuk 4: huidige situatie bij Solid Services BV ................................................................................................... 24

4.1. Inleiding ............................................................................................................................................................... 24

4.2. Criteria Autoriteit Persoonsgegevens ................................................................................................................... 24

4.3. Toetsing van huidige ISO 9001 formulieren, checklists, werkinstructies en procedures ....................................... 24

4.3.1. Procedures ................................................................................................................................................... 24

4.3.1.1. Documenten en registraties .................................................................................................................. 24

4.3.1.2. Automatisering ...................................................................................................................................... 25

4.3.1.3. Bewaartermijnen ................................................................................................................................... 26

4.3.1.4. Beveiliging van persoonsgegevens ....................................................................................................... 27

4.3.1.5. Verwerkersovereenkomsten ................................................................................................................. 27

4.3.1.6. Direct marketing .................................................................................................................................... 27

4.3.1.7. Gegevens over de gezondheid ............................................................................................................. 28

4.3.1.8. Risicomanagement ............................................................................................................................... 28

4.3.1.9. Persoonsgegevens nieuwe werknemers ............................................................................................... 29

4.3.1.10. Vertrouwenspersoon ........................................................................................................................... 29

4.3.2. Formulieren .................................................................................................................................................. 29

4.3.3. Werkinstructies ............................................................................................................................................. 30

4.4. Algemene opmerkingen naar aanleiding van praktijkonderzoek .......................................................................... 30


Hoofdstuk 5: conclusies en aanbevelingen ................................................................................................................ 32

5.1. Inleiding ............................................................................................................................................................... 32

5.2. Conclusies ........................................................................................................................................................... 32

5.3. Aanbevelingen ..................................................................................................................................................... 34

Bronnenlijst ................................................................................................................................................................... 37

Samenvatting

Solid Services BV is een advies- en ingenieursbureau, dat zich bezig houdt met inspectie en

onderzoek van betonnen gebouwen en constructies. Aangezien de organisatie persoons-

gegevens verwerkt, is de Algemene verordening gegevensbescherming (hierna: AVG) van

toepassing. Solid Services BV wil uitgezocht hebben hoe de huidige ISO 9001

bedrijfsprocessen aangepast dienen te worden, zodat deze voldoen aan de AVG. De vraag

die centraal staat in dit onderzoeksrapport, is: ‘’Welke aanpassingen moet Solid Services BV

doorvoeren in de huidige werkprocessen en werkinstructies, die zijn ingericht volgens de ISO

9001 norm, zodat er uiteindelijk één werkwijze ontstaat waarbinnen alle werkprocessen en

werkinstructies voldoen aan zowel de AVG als aan de ISO 9001 norm?’’

Om deze vraag te beantwoorden is een rechtsbronnen- en literatuuronderzoek verricht.

Hierbij is gebruik gemaakt van verschillende bronnen, te weten de Algemene verordening

gegevensbescherming, tekst en commentaar, jurisprudentie, de Uitvoeringswet Algemene

verordening gegevensbescherming, de ISO 9001 norm van NEN, artikelen uit vakbladen,

elektronische bronnen, richtlijnen van de artikel 29-werkgroep over een Data Protection

Impact Assessment en toestemming, en andere relevante literatuur. Daarnaast is de

koppeling tussen de AVG en de ISO 9001 norm onderzocht door middel van een drietal

interviews, één met een medewerker van NEN, één met een medewerker van Kiwa en één

met een privacyjurist. Dit om zo te bepalen in hoeverre de ISO 9001 bedrijfsprocessen

herschreven kunnen worden. Als laatste is de huidige situatie binnen de organisatie

onderzocht door de bedrijfsprocessen te toetsen aan de relevante artikelen uit de AVG en

aan te geven waar deze aangepast dienen te worden.

Uit de interviews kwam naar voren dat binnen het kwaliteitsmanagementsysteem voldaan

moet worden aan geldende weten regelgeving, zoals de AVG. De ISO 9001 norm kan

daarom niet conflicteren met de AVG. Daarnaast is de AVG een Europese verordening die

hiërarchisch hoger staat dan een ISO norm. Gebleken is dat de werkinstructies voldoen aan

de AVG. De reden dat sommige formulieren niet voldoen aan de AVG is omdat er te veel

persoonsgegevens worden verwerkt. Niet alle procedures voldoen aan de AVG omdat deze

procedures meer uitleg behoeven of omdat er te veel persoonsgegevens worden verwerkt.

De Autoriteit Persoonsgegevens beoordeelt organisaties op de AVG en aanvullende regels

die zij opstelt. Het is daarom noodzakelijk deze via haar website regelmatig te raadplegen.

Tevens zijn er een aantal praktische aanbevelingen gedaan. Namelijk: een hoger niveau van

bewustwording rondom de AVG creëren binnen de organisatie, een verwerkingsregister

opstellen, de bewaartermijnen herzien, de risico’s van het verwerken van persoonsgegevens

in kaart brengen door een Data Protection Impact Assessment uit te voeren, een

Functionaris voor de gegevensbescherming aanstellen voor de implementatie van de AVG,

de procedures rondom automatisering en de beveiliging hiervan herzien, de beginselen van

Privacy by Design en Privacy by Default toepassen, definiëren wie toegang heeft tot fysieke

dossiers en waarom, het clean desk principe en het locken van computers meer onder de

aandacht brengen bij de werknemers, een procedure opstellen over omgang met datalekken,

een procedure opstellen omtrent de marketingactiviteiten, een procedure opstellen over de

doorgifte van persoonsgegevens aan derde partijen, zowel in binnen- als buitenland, met alle

derde partijen een verwerkersovereenkomst afsluiten, beschrijven hoe betrokkenen hun

rechten uit de AVG kunnen uitoefenen, het aanvragen van een SSL certificaat voor de

website bij de hostingprovider, toestemming vragen aan werknemers voor het plaatsen van

foto’s van hen op de website en een procedure opnemen omtrent sollicitanten.

Begrippenlijst1

AVG: Algemene verordening gegevensbescherming.

Persoonsgegevens: Alle informatie over een geïdentificeerde of

identificeerbare natuurlijke persoon ("de

betrokkene"). Als identificeerbaar wordt

beschouwd een natuurlijke persoon die direct of

indirect kan worden geïdentificeerd, met name

aan de hand van een identificator zoals een

naam, een identificatienummer, locatiegegevens,

een online identificator of van een of meer

elementen die kenmerkend zijn voor de fysieke,

fysiologische, genetische, psychische,

economische, culturele of sociale identiteit van

die natuurlijke persoon.

Verwerking: Een bewerking of een geheel van bewerkingen

met betrekking tot persoonsgegevens of een

geheel van persoonsgegevens, al dan niet

uitgevoerd via geautomatiseerde procedés, zoals

het verzamelen, vastleggen, ordenen,

structureren, opslaan, bijwerken of wijzigen,

opvragen, raadplegen, gebruiken, verstrekken

door middel van doorzending, verspreiden of op

andere wijze ter beschikking stellen, aligneren of

combineren, afschermen, wissen of vernietigen

van gegevens.

Bestand: Elk gestructureerd geheel van

persoonsgegevens die volgens bepaalde criteria

toegankelijk zijn, ongeacht of dit geheel

gecentraliseerd of gedecentraliseerd is dan wel

op functionele of geografische gronden is

verspreid.

Verwerkingsverantwoordelijke: Een natuurlijke persoon of rechtspersoon, een

overheidsinstantie, een dienst of een ander

orgaan die/dat, alleen of samen met anderen, het

doel van en de middelen voor de verwerking van

persoonsgegevens vaststelt; wanneer de

doelstellingen van en de middelen voor deze

verwerking in het Unierecht of het lidstatelijke

recht worden vastgesteld, kan daarin worden

bepaald wie de verwerkingsverantwoordelijke is

of volgens welke criteria deze wordt

aangewezen.

1 art. 4 AVG

Verwerker: Een natuurlijke persoon of rechtspersoon, een

overheidsinstantie, een dienst of een ander

orgaan die/dat ten behoeve van de

verwerkingsverantwoordelijke persoonsgegevens

verwerkt.

Toestemming: Elke vrije, specifieke, geïnformeerde en

ondubbelzinnige wilsuiting waarmee de

betrokkene door middel van een verklaring of

een ondubbelzinnige actieve handeling een hem

betreffende verwerking van persoonsgegevens

aanvaardt.

Gegevens over de gezondheid: Persoonsgegevens die verband houden met de

fysieke of mentale gezondheid van een

natuurlijke persoon, waaronder gegevens over

verleende gezondheidsdiensten waarmee

informatie over zijn gezondheidstoestand wordt

gegeven.

Autoriteit Persoonsgegevens: De toezichthoudende autoriteit in Nederland op

het gebied van persoonsgegevens. Zij zien toe

op de naleving van de AVG.

1

Hoofdstuk 1: inleiding

1.1. Probleembeschrijving

Solid Services BV is een advies- en ingenieursbureau met 16 medewerkers dat zich

voornamelijk bezig houdt met inspectie en onderzoek van betonnen gebouwen en

constructies. Hierbij adviseert zij ook over herstelwerkzaamheden in geval van schade.

Daarnaast heeft zij een intern lab waar onderzoek wordt gedaan naar de invloed van

verschillende stoffen op betonnen constructies. Op basis hiervan geeft zij advies en stelt zij

desgewenst bestekken op ten behoeve van de renovatie of restauratie van gebouwen of

constructies. Tevens biedt Solid Services BV ondersteuning in aanbestedingsprocedures en

voert zij uiteindelijk directie bij restauratie- of renovatieprojecten. Tot slot geeft Solid Services

BV opleidingen, trainingen en advies en biedt zij ondersteuning bij arbitragezaken op het

gebied van onderhoud en beheer van beton.

Aangezien de organisatie diverse persoonsgegevens verwerkt (o.a. van klanten en eigen

personeel, zoals naam, adres, telefoonnummer, e-mailadres, bankgegevens e.d.), is de

Algemene verordening gegevensbescherming (hierna: AVG) op haar van toepassing. Om

deze reden moet de organisatie voldoen aan de AVG. Zij wil uitgezocht hebben hoe de

huidige werkprocessen en werkinstructies, die zijn ingericht volgens de ISO 9001 normering,

waar nodig aangepast dienen te worden zodat deze tevens voldoen aan de AVG. De ISO

9001 normering is de basis voor alle werkprocessen en werkinstructies binnen het bedrijf en

is noodzakelijk voor het behoud van klanten, omdat deze de ISO 9001 certificering verplicht

stellen. Sinds juni 2018 is de organisatie ingericht en gecertificeerd volgens de meest

recente ISO 9001 norm.

Solid Services BV werkt voor veel grote industriële bedrijven zoals Cargill, Akzo, Dow en

Yara. De ISO 9001 certificering is erg belangrijk voor Solid Services BV, aangezien veel van

haar klanten hierom vragen of dit zelfs eisen. De AVG verlangt een bepaalde werkwijze die

geïmplementeerd dient te worden binnen de organisatie. Aangezien binnen Solid Services

BV, in het kader van de ISO certificering, al veel werkprocessen en werkinstructies aanwezig

zijn, is het wenselijk om deze werkprocessen en werkinstructies zo in te richten dat er één

werkwijze ontstaat, die zowel aan de AVG als aan de ISO 9001 norm voldoet, maar die

tevens ook praktisch hanteerbaar blijft.

1.2. Centrale vraag en deelvragen

De vraag die centraal staat in dit onderzoeksrapport luidt als volgt:

‘’Welke aanpassingen moet Solid Services BV doorvoeren in de huidige werkprocessen en

werkinstructies, die zijn ingericht volgens de ISO 9001 norm, zodat er uiteindelijk één

werkwijze ontstaat waarbinnen alle werkprocessen en werkinstructies voldoen aan zowel de

AVG als aan de ISO 9001 norm?’’

Voor de beantwoording van deze centrale vraag is gebruik gemaakt van een aantal deelvragen

en subdeelvragen:

‘’Welke artikelen uit de AVG zijn relevant voor Solid Services BV?’’

• Hoe dienen de artikelen uit de AVG volgens de Uitvoeringswet Algemene

verordening gegevensbescherming geïnterpreteerd te worden?

2

• Zijn er bepaalde artikelen uit de AVG waaraan Solid Services BV nu niet hoeft te

voldoen, maar wellicht in de toekomst wel?

‘’Welke conclusies kunnen getrokken worden uit de interviews met medewerkers van Kiwa

en NEN en de privacyjurist omtrent de stand van zaken in de praktijk van de implementatie

van de AVG in ISO 9001 werkprocessen en werkinstructies?’’

‘’Welke huidige ISO 9001 werkprocessen en werkinstructies van Solid Services BV voldoen

nog niet aan de AVG en waarom niet?’’

• Welke criteria hanteert de Autoriteit Persoonsgegevens (hierna: AP) bij het

beoordelen of een organisatie wel of niet voldoet aan de AVG?

‘’Welke aanpassingen moeten er gedaan worden aan de ISO 9001 werkprocessen en

werkinstructies, zodat deze voldoen aan de AVG?’’

1.3. Doelstelling

Solid Services BV krijgt door middel van dit onderzoeksrapport, dat op dinsdag 8 januari

2019 is uitgebracht, aanbevelingen over haar ISO 9001 werkprocessen en werkinstructies,

zodat zij deze zo kan inrichten dat ze aan zowel de AVG als de ISO 9001 norm voldoen,

maar toch praktisch hanteerbaar blijven. Tevens is er een poster overhandigd die in het

kantoor komt te hangen, waarop tips en valkuilen omtrent de AVG worden benoemd, om

meer bewustwording bij zowel huidige als eventuele nieuwe werknemers te creëren.

1.4. Werkwijze

Voor dit onderzoek is gebruik gemaakt van een rechtsbronnen- en literatuuronderzoek.2 Om

inhoudelijk juiste informatie te vergaren, moesten schriftelijke bronnen worden gezocht en

geraadpleegd. De informatie die in deze bronnen staat moest worden geanalyseerd,

vergeleken en geïnterpreteerd. Vervolgens is de relevante informatie toegepast op de

deelvragen en maakt deze informatie deel uit van het uiteindelijke advies.

Daarnaast is er gebruik gemaakt van een drietal interviews. Om het onderzoek vanuit de

kant van de ISO 9001 norm te bekijken, zijn er interviews afgenomen bij Kiwa en NEN. Kiwa

is een certificeringsorganisatie en NEN heeft de ISO 9001 norm ontwikkeld. Hierdoor konden

de mensen van deze organisaties die hebben meegewerkt aan deze interviews, inhoudelijk

ook daadwerkelijk iets toevoegen aan dit onderzoek. Om het onderzoek te bekijken vanuit de

kant van de AVG is gekozen om een interview te houden met een jurist die gespecialiseerd

is in het privacyrecht. Hierdoor kon ook deze persoon een inhoudelijke bijdrage leveren aan

dit onderzoek.

Om ervoor te zorgen dat de informatie die is verkregen uit deze interviews betrouwbaar is,

zijn de interviews met een medewerker van Kiwa en de privacyjurist opgenomen en zijn van

deze interviews transcripten gemaakt, alvorens conclusies zijn getrokken. Het interview met

een medewerker van NEN kon alleen telefonisch worden afgenomen. Ter waarborging van

de betrouwbaarheid, zijn tijdens het interview aantekeningen gemaakt, die na het interview

direct zijn uitgewerkt.

Voor het beantwoorden van de vraag welke wettelijke artikelen uit de AVG relevant zijn voor

Solid Services BV, is naast de AVG ook nog naar andere bronnen gekeken. Om te kunnen

2 van Schaaijk 2015, p. 94.

3

bepalen hoe de AVG praktisch geïnterpreteerd moet worden is gekeken naar tekst en

commentaar, jurisprudentie, de Uitvoeringswet Algemene verordening

gegevensbescherming, artikelen uit vakbladen, elektronische bronnen en richtlijnen van de

artikel 29-werkgroep over een Data Protection Impact Assessment en toestemming. Tevens

is hierin meegenomen wat wordt beschreven in de literatuur. Hierbij is niet alleen gekeken

naar welke artikelen uit de AVG momenteel relevant zijn voor Solid Services BV, maar ook

welke artikelen in de toekomst relevant kunnen worden. Al deze informatie is samengevat en

geïnterpreteerd. Dit heeft geleid tot de beantwoording van deelvraag één.

Daarnaast is de praktische koppeling tussen de AVG en de ISO 9001 norm bekeken aan de

hand van bovengenoemde interviews. Hieruit is geconcludeerd hoe met een dergelijke

situatie in de praktijk wordt omgegaan. Deze informatie is gebruikt voor de beantwoording

van deelvraag twee.

Om te bepalen welke huidige ISO 9001 werkprocessen en werkinstructies van Solid Services

BV nog niet voldoen aan de AVG, zijn deze werkprocessen en werkinstructies getoetst aan

de artikelen uit de AVG die relevant zijn voor Solid Services BV. Dit is praktisch uitgevoerd

door de schriftelijke werkprocessen en werkinstructies naast het theoretisch kader van de

AVG te houden. Aanpassingen die doorgevoerd dienen te worden in de ISO 9001

werkprocessen en werkinstructies die nog niet voldoen aan de AVG, zijn schematisch

weergegeven. Bovendien zijn de criteria die de toezichthoudende autoriteit, in Nederland de

AP, hanteert om te beoordelen of de organisatie voldoet aan de AVG nader toegelicht. Dit

heeft geleid tot de beantwoording van de deelvragen drie en vier.

Uit deze deelvragen zijn conclusies getrokken, waarna aanbevelingen zijn gedaan over

welke aanpassingen er precies doorgevoerd dienen te worden in de ISO 9001

werkprocessen en werkinstructies, zodat Solid Services BV voldoet aan de AVG maar ook

haar ISO 9001 certificering kan behouden.

1.5. Leeswijzer

Het eerste hoofdstuk bevat de inleiding. In het tweede hoofdstuk wordt het wettelijk kader

van de AVG besproken. Het derde hoofdstuk gaat over de koppeling van de ISO 9001 norm

en de AVG. Vervolgens zal in het vierde hoofdstuk de huidige situatie bij Solid Services BV

omtrent de ISO 9001 werkprocessen en werkinstructies worden besproken. Als laatste zullen

in hoofdstuk vijf de conclusies en aanbevelingen worden gepresenteerd.

4

Hoofdstuk 2: het wettelijk kader van de AVG

2.1. Inleiding

In dit hoofdstuk zal het wettelijk kader omtrent de AVG uiteengezet worden. De relevante

artikelen uit de AVG zullen worden toegelicht en worden onderbouwd aan de hand van tekst

en commentaar, jurisprudentie, de Uitvoeringswet Algemene verordening

gegevensbescherming, artikelen uit vakbladen, elektronische bronnen en richtlijnen van de

artikel 29-werkgroep over een Data Protection Impact Assessment en toestemming, en

andere relevante literatuur. Tevens zal worden toegelicht aan welke artikelen uit de AVG

Solid Services BV momenteel nog niet hoeft te voldoen, maar eventueel in de toekomst wel.

Om er uiteindelijk voor te zorgen dat de ISO 9001 werkprocessen en werkinstructies van

Solid Services BV AVG-proof worden, is deze analyse van belang, zodat gekeken kan

worden welke artikelen specifiek voor Solid Services BV van toepassing zijn, om deze

vervolgens te kunnen toetsen aan de bestaande ISO 9001 werkprocessen en

werkinstructies.

2.2. Artikelen uit de AVG

2.2.1. Materieel en territoriaal toepassingsgebied AVG

Allereerst moet er gekeken worden of Solid Services BV valt onder het materiële

toepassingsgebied van de AVG.3 Op grond van de AVG is hier sprake van als er geheel of

gedeeltelijk geautomatiseerd persoonsgegevens worden verwerkt en deze in een bestand

zijn opgenomen of bestemd zijn om in een bestand te worden opgenomen.

Onder een persoonsgegeven wordt verstaan, alle informatie over een geïdentificeerde of

identificeerbare natuurlijke persoon.4 Als identificeerbaar wordt beschouwd een natuurlijke

persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een

identificator zoals een naam, een identificatienummer, locatiegegevens, een online

identificator of van één of meer elementen die kenmerkend zijn voor de fysieke,

fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die

natuurlijke persoon. Verwerkering moet worden geïnterpreteerd als het verzamelen,

vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen,

gebruiken, verstrekken door middel van doorzending, verspreiden, ter beschikking stellen,

aligneren of combineren, afschermen, wissen of vernietigen van gegevens.5 Daarnaast moet

er bekeken worden wat een bestand is op grond van de AVG. Een bestand is elk

gestructureerd geheel van persoonsgegevens.6

Concluderend kan gesteld worden dat Solid Services BV persoonsgegevens verwerkt van

haar eigen personeel en van klanten. Deze gegevens worden namelijk opgeslagen,

gestructureerd in systemen, bijgewerkt en waar nodig gewijzigd en/of gewist. Al deze

activiteiten vallen onder de definitie van verwerken volgens de AVG. Deze

persoonsgegevens zijn in een bestand opgenomen, zowel geautomatiseerd in systemen als

fysiek in papieren dossiers. Het betreft gegevens waar natuurlijke personen mee

geïdentificeerd zijn of kunnen worden. Solid Services BV voldoet hiermee aan het materiële

toepassingsgebied van de AVG.

3 art. 2 lid 1 AVG 4 art. 4 onder 1 AVG 5 art. 4 onder 2 AVG 6 art. 4 onder 6 AVG

5

Daarnaast kent de AVG nog een territoriaal toepassingsgebied.7 Dit houdt in dat de AVG

alleen van toepassing is op de verwerking van persoonsgegevens in het kader van de

activiteiten van een vestiging van een verwerkingsverantwoordelijke of verwerker in de

Europese Unie.

Solid Services BV heeft één vestiging in Udenhout, Nederland. Het bedrijf bevindt zich dus

binnen de Europese Unie, waardoor ook aan het territoriaal toepassingsgebied van de AVG

is voldaan.

Kortom, Solid Services BV voldoet aan zowel het materiële als het territoriale

toepassingsgebied van de AVG en is daarmee gebonden aan de uit deze verordening

voortvloeiende regels.

2.2.2. Verwerkingsverantwoordelijke en verwerker

Een verwerkingsverantwoordelijke is een natuurlijk persoon of rechtspersoon, die het doel

van en de middelen voor de verwerking van de persoonsgegevens vaststelt.8 Een verwerker

is een natuurlijke persoon of rechtspersoon die ten behoeve van de

verwerkingsverantwoordelijke persoonsgegevens verwerkt.9

Solid Services BV is verwerkingsverantwoordelijke voor de persoonsgegevens die zij van

haar eigen personeel en klanten verwerkt, omdat zij voor deze verwerking het doel en de

middelen vaststelt. Eventuele derde partijen die namens Solid Services BV

persoonsgegevens verwerken, zijn daarmee verwerker.

2.2.3. Beginselen verwerking persoonsgegevens

Conform de AVG zijn er een aantal beginselen waaraan de verwerking van

persoonsgegevens moet voldoen.10 Deze zullen in onderstaand schema worden

weergegeven.

Wettelijke grondslag Beginsel Uitleg

Artikel 5 lid 1 sub a AVG Rechtmatigheid, behoorlijkheid en transparantie.

Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.

Artikel 5 lid 1 sub b AVG Doelbinding. Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd.

Artikel 5 lid 1 sub c AVG Minimale gegevensverwerking. Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

Artikel 5 lid 1 sub d AVG Juistheid. Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Alle

7 art. 3 lid 1 AVG 8 art. 4 onder 7 AVG 9 art. 4 onder 8 AVG 10 art. 5 AVG

6

redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.

Artikel 5 lid 1 sub e AVG Opslagbeperking. Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is. Persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens uitsluitend met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen.

Artikel 5 lid 1 sub f AVG Integriteit en vertrouwelijkheid.

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Artikel 5 lid 2 AVG Verantwoordingsplicht. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze beginselen en kan dit aantonen.

2.2.4. Rechtmatigheid van de verwerking

Naast de beginselen zijn er ook een aantal gronden opgenomen in de AVG.11 Om

persoonsgegevens te mogen verwerken, moet sprake zijn van ten minste één van deze

redenen om persoonsgegevens te mogen verwerken.12 Indien hier niet aan wordt voldaan is

de verwerking van de persoonsgegevens onrechtmatig. Deze gronden zullen hieronder

schematisch worden weergegeven.

Wettelijke grondslag Gronden Uitleg

Artikel 6 lid 1 sub a AVG Toestemming. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden.

Artikel 6 lid 1 sub b AVG Uitvoering van een overeenkomst.

De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.

11 art. 6 lid 1 AVG 12 Engelfriet, Chew & Kager 2018, p. 37.

7

Artikel 6 lid 1 sub c AVG Wettelijke verplichting. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.

Artikel 6 lid 1 sub d AVG Beschermen van vitale belangen.

De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

Artikel 6 lid 1 sub e AVG Taak van algemeen belang. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.

Artikel 6 lid 1 sub f AVG Behartiging van de gerechtvaardigde belangen, met name wanneer de betrokkene een kind is.

De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens dienen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Er moet dus altijd een belangenafweging plaatsvinden. Hierbij moet voldaan worden aan de vereisten van proportionaliteit en subsidiariteit.13 Een inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel. Daarnaast moet dit doel in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kunnen worden verwezenlijkt.

2.2.5. Voorwaarden voor toestemming

Als een betrokkene toestemming geeft voor de verwerking van zijn persoonsgegevens, moet

deze toestemming wel aan een aantal voorwaarden voldoen.14 Allereerst moet de

verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft

gegeven.15 Dit kan bijvoorbeeld door het bijhouden van een register.16 Wanneer de

toestemming is verleend door een schriftelijke verklaring die ook op andere

aangelegenheden betrekking heeft, dan moet het verzoek om toestemming in een

begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden

gepresenteerd, zodat onderscheid gemaakt kan worden met de andere aangelegenheden.17

13 HR 9 september 2011, ECLI:NL:HR:2011:BQ8097 (Santander). 14 art. 7 lid 1 AVG 15 art. 7 lid 1 AVG 16 Article 29 Working Party, Guidelines on Consent under Regulation 2016/679, p. 24. 17 art. 7 lid 2 AVG

8

Daarnaast heeft de betrokkene het recht te allen tijde zijn toestemming weer in te trekken.18

De verwerking van de persoonsgegevens vóór het intrekken van de toestemming blijft wel

rechtmatig. De betrokkene wordt van dit recht vooraf op de hoogte gebracht en het intrekken

van de toestemming moet op eenvoudige wijze mogelijk zijn.

Toestemming moet daarnaast vrijelijk gegeven kunnen worden.19 Dit houdt in dat de

toestemming vrijwillig gegeven moet kunnen worden, dit mag niet onder dwang gebeuren en

er mag geen nadelige behandeling volgen als de toestemming wordt geweigerd.20 Er kan

geen sprake zijn van vrijelijk gegeven toestemming wanneer er sprake is van een

wanverhouding tussen de verwerkingsverantwoordelijke en de betrokkene. Hier is

bijvoorbeeld sprake van in een arbeidsverhouding.21 Het is onwaarschijnlijk dat een

werknemer vrijelijk, zonder druk te voelen, toestemming kan geven. De werknemer bevindt

zich namelijk in een afhankelijkheidspositie ten opzichte van de werkgever. De rechtsgrond

toestemming kan dan ook in de meeste gevallen niet worden toegepast door een werkgever.

Daarnaast moet de toestemming ondubbelzinnig zijn. Er mag geen twijfel ontstaan over of

een persoon bedoeld heeft toestemming te geven.22 Als laatste moet de

toestemmingshandeling een actieve handeling zijn, stilzwijgend toestemming geven is

hiermee dan ook uitgesloten.23

2.2.6. Verwerking van bijzondere persoonsgegevens

Het verwerken van bijzondere persoonsgegevens is in beginsel verboden.24 Bijzondere

persoonsgegevens zijn:

o Gegevens waaruit ras of etnische afkomst blijkt;

o Gegevens waaruit politieke opvattingen blijken;

o Gegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;

o Gegevens waaruit een lidmaatschap van een vakbond blijkt;

o Genetische gegevens;

o Biometrische gegevens;

o Gegevens over gezondheid;

o Gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid.

Verwerking van deze gegevens kan enkel onder bepaalde voorwaarden.25 De voorwaarden

die van toepassing kunnen zijn voor Solid Services BV zullen hierna uiteengezet worden.

Allereerst kan de betrokkene uitdrukkelijk toestemming geven voor het verwerken van deze

gegevens voor één of meer welbepaalde doeleinden.26 Daarnaast als dit noodzakelijk is met

het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de

verwerkingsverantwoordelijke of de betrokkene, op het gebied van arbeidsrecht, het

sociaalzekerheidsrecht en socialebeschermingsrecht.27 Het verwerken van

persoonsgegevens is ook toegestaan wanneer het persoonsgegevens betreffen die kennelijk

18 art. 7 lid 3 AVG 19 art. 7 lid 4 AVG 20 Engelfriet, Chew & Kager 2018, p. 38. 21 Article 29 Working Party, Guidelines on Consent under Regulation 2016/679, p. 7-8. 22 Engelfriet, Chew & Kager 2018, p. 39. 23 Engelfriet, Chew & Kager 2018, p. 29. 24 art. 9 lid 1 AVG 25 art. 9 lid 2 AVG 26 art. 9 lid 2 sub a AVG 27 art. 9 lid 2 sub b AVG

9

door de betrokkene openbaar zijn gemaakt.28 Ook mogen persoonsgegevens worden

verwerkt voor de instelling, uitoefening of onderbouwing van een rechtsvordering.29 Tevens

wanneer de verwerking noodzakelijk is voor doeleinden van preventieve of

arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer,

medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of

behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale

stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een

overeenkomst met een gezondheidswerker.30 Deze gegevens mogen echter alleen worden

verwerkt door een beroepsbeoefenaar die gebonden is aan beroepsgeheim of een andere

persoon die gebonden is aan geheimhouding.31 Solid Services BV dient voor voorgenoemde

doeleinden gegevens over de gezondheid van haar werknemers te verwerken en voldoet

hiermee aan deze uitzondering.

Verder mogen er geen strafrechtelijke gegevens worden verwerkt.32 Daarnaast hoeft de

verwerkingsverantwoordelijke de betrokkene niet te identificeren, indien de doeleinden

waarvoor de persoonsgegevens worden verwerkt dit niet vereisen.33 Een werkgever heeft

echter wel een identificatieplicht, waardoor zij de identiteit inclusief identificatienummer

(BSN) van haar werknemers moet controleren en een kopie van een identiteitsbewijs moet

bewaren.34 Hierdoor gaat deze regel voor Solid Services BV niet op.35 Dit wordt bevestigd in

de Uitvoeringswet. 36

2.2.7. Rechten van de betrokkene

De betrokkene waarvan zijn persoonsgegevens worden verwerkt, heeft op grond van de

AVG een aantal rechten die gewaarborgd dienen te worden. De verwerkings-

verantwoordelijke dient mee te werken aan de mogelijkheid voor de betrokkene om zijn

rechten uit te oefenen.37 Betrokkenen mogen dit verzoek op iedere manier doen. Wanneer

een betrokkene een elektronisch verzoek indient, dient dit verzoek ook elektronisch

beantwoord te worden. Verzoeken moeten binnen één maand worden ingewilligd of

gemotiveerd worden afgewezen.38 Wanneer één maand niet haalbaar is, dient gemotiveerd

te worden waarom deze termijn niet haalbaar is. De periode waarin verzoeken moeten

worden behandeld wordt dan verlengd met twee maanden.

➢ Recht op informatie en toegang tot persoonsgegevens

de betrokkene wordt door de verwerkingsverantwoordelijke op de hoogte gesteld van

het feit dat zijn persoonsgegevens worden verwerkt, de reden voor deze verwerking,

de duur van de verwerking en indien de persoonsgegevens verder worden verwerkt

dan het doel waarvoor zij zijn verzameld.39

28 art. 9 lid 2 sub e AVG 29 art. 9 lid 2 sub f AVG 30 art. 9 lid 2 sub h AVG 31 art. 9 lid 3 AVG 32 art. 10 AVG 33 art. 11 lid 1 AVG 34 Identificatieplicht, www.rijksoverheid.nl 35 Engelfriet, Chew & Kager 2018, p. 46-47. 36 art. 25 sub a van de Uitvoeringswet 37 art. 12 lid 2 AVG 38 Engelfriet, Chew & Kager 2018, p. 77. 39 art. 13 lid 1-3 AVG

10

➢ Recht op informatie persoonsgegevens niet van betrokkene verkregen

indien de persoonsgegevens door de verwerkingsverantwoordelijke niet zijn

verkregen van de betrokkene, dan moet deze hiervan op de hoogte gebracht

worden.40 Ook hiervoor geldt dat de betrokkene op de hoogte gesteld moet worden

over het feit dat zijn persoonsgegevens worden verwerkt, voor welk doel dit gebeurt

en de duur van de verwerking.

➢ Recht van inzage

de betrokkene heeft het recht om de persoonsgegevens die worden verwerkt in te

zien en de daarbij behorende gegevens zoals verwerkingsdoeleinden en dergelijke.41

➢ Recht op rectificatie

de betrokkene heeft recht op rectificatie van, naar zijn mening, onjuiste

persoonsgegevens.42 De verwerkingsverantwoordelijke moet vervolgens de

persoonsgegevens onverwijld rectificeren.

➢ Recht op gegevenswissing (recht op vergetelheid)

de betrokkene heeft recht op wissing van zijn persoonsgegevens zonder onnodige

vertraging.43 Hiervan kan sprake zijn wanneer de verwerking van de

persoonsgegevens niet meer nodig is voor de doeleinden waarvoor zij zijn

verzameld.44 Ook dienen de persoonsgegevens gewist te worden wanneer de

betrokkene zijn toestemming intrekt en voor de verwerking verder geen rechtsgrond

aanwezig is.45 Daarnaast kan de betrokkene bezwaar maken en dienen de

persoonsgegevens gewist te worden als er verder geen prevalerende, dwingende en

gerechtvaardigde gronden aanwezig zijn voor de verwerking.46 Ook kan het

voorkomen dat de persoonsgegevens onrechtmatig verwerkt zijn, deze dienen dan

ook gewist te worden.47 Als laatste moeten persoonsgegevens gewist worden als de

verwerkingsverantwoordelijke hier wettelijk toe verplicht is.48

➢ Recht op beperking van de verwerking

de betrokkene heeft het recht op beperking van de verwerking van zijn

persoonsgegevens als de juistheid van de persoonsgegevens wordt betwist, de

verwerking van de persoonsgegevens onrechtmatig is en de betrokkene zich verzet

tegen het wissen van de gegevens, de verwerkingsverantwoordelijke de gegevens

niet meer nodig heeft maar de betrokkene wel voor het instellen, uitvoeren of

onderbouwen van een rechtsvordering of als de betrokkene bezwaar heeft

gemaakt.49 De persoonsgegevens van de betrokkene dienen in geval van een

dergelijk verzoek bevroren te worden.50 Dit dient te gebeuren totdat een bezwaar

tegen of probleem met de verwerking van de persoonsgegevens is opgelost.

40 art. 14 lid 1-2 AVG 41 art. 15 lid 1 AVG 42 art. 16 AVG 43 art. 17 lid 1 AVG 44 art. 17 lid 1 sub a AVG 45 art. 17 lid 1 sub b AVG 46 art. 17 lid 1 sub c AVG 47 art. 17 lid 1 sub d AVG 48 art. 17 lid 1 sub e AVG 49 art. 18 lid 1 sub a-d AVG 50 Engelfriet, Chew & Kager 2018, p. 75.

11

➢ Kennisgevingsplicht

de betrokkene heeft het recht om door de verwerkingsverantwoordelijke op de hoogte

gesteld te worden van elke rectificatie of wissing van de persoonsgegevens of een

beperking van de verwerking, tenzij dit onmogelijk blijkt of onevenredig veel

inspanning vergt.51

➢ Recht op overdraagbaarheid van gegevens

de betrokkene heeft het recht om zijn persoonsgegevens te verkrijgen zodat hij deze

persoonsgegevens aan een andere verwerkingsverantwoordelijke kan overdragen,

zonder hinder van de verwerkingsverantwoordelijke aan wie de persoonsgegevens

waren verstrekt.52 De verwerking moet wel berusten op toestemming of een

overeenkomst en de verwerking moet geschieden via geautomatiseerde procedés.53

De betrokkene heeft bij de uitoefening van zijn recht op gegevensoverdraagbaarheid

het recht dat gegevens, indien dit technisch mogelijk is, rechtstreeks worden

doorgezonden van de ene verwerkingsverantwoordelijke naar de andere.54 De

betrokkene moet ook de mogelijkheid krijgen om bij zijn eigen gegevens te kunnen.

Een goede optie hiervoor is een downloadknop, waardoor de betrokkene zijn

gegevens zelf kan downloaden, opslaan en eventueel kan doorzenden naar een

derde.55 Dit bestand moet in een gestructureerd, gangbaar, machineleesbaar en

interoperabel formaat beschikbaar zijn.56

➢ Recht van bezwaar

de betrokkene heeft te allen tijde het recht om bezwaar te maken tegen de

verwerking van zijn persoonsgegevens.57 De verwerkingsverantwoordelijke moet dan

de verwerking staken, tenzij de verwerkingsverantwoordelijke dwingende,

gerechtvaardigde gronden heeft die zwaarder wegen dan de belangen van de

betrokkene of die verband houden met de instelling, uitvoering of onderbouwing van

een rechtsvordering.

➢ Geautomatiseerde individuele besluitvorming

de betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op

geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor

hem rechtsgevolgen zijn verbonden of hem anderszins in aanmerkelijke mate raakt.58

➢ Klachtrecht

de betrokkene heeft het recht om een klacht in te dienen bij de toezichthoudende

autoriteit, in Nederland de AP.59 Dit kan als de betrokkene van mening is dat zijn

persoonsgegevens worden verwerkt in strijd met de AVG.60

51 art. 19 AVG 52 art. 20 lid 1 AVG 53 art. 20 lid 1 sub a-b AVG 54 art. 20 lid 2 AVG 55 Engelfriet, Chew & Kager 2018, p. 69. 56 Vries, de & Goudsmit, NJB 2016/1077 p. 1071-1125. 57 art. 21 lid 1 AVG 58 art. 22 lid 1 AVG 59 Engelfriet, Chew & Kager 2018, p. 117. 60 art. 77 lid 1 AVG

12

➢ Recht om een voorziening in rechte in te stellen tegen de

verwerkingsverantwoordelijke of verwerker

als een betrokkene van mening is dat zijn rechten uit de AVG geschonden zijn met

betrekking tot de verwerking van zijn persoonsgegevens, dan kan hij een

rechtsvordering tegen de verwerkingsverantwoordelijke of de verwerker instellen.61

➢ Recht op schadevergoeding

één ieder die materiële of immateriële schade heeft geleden als gevolg van een

inbreuk op de AVG, heeft het recht een schadevergoeding te ontvangen voor de

geleden schade van de verwerkingsverantwoordelijke of de verwerker.62

2.2.8. Algemene verplichtingen verwerkingsverantwoordelijke

Zoals eerder geconcludeerd is Solid Services BV verwerkingsverantwoordelijke. Als

verwerkingsverantwoordelijke gelden er een aantal verplichtingen. Deze verplichtingen zullen

hieronder toegelicht worden.

Allereerst zal de verwerkingsverantwoordelijke organisatorische en technische maatregelen

moeten nemen.63 Hierbij dient gelet te worden op de aard, omvang, context en het doel van

de verwerking. Tevens moet er gekeken worden naar de waarschijnlijkheid en de ernst van

de uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen. Hiervoor

dient dan ook beleid opgesteld te worden.64

Daarnaast geldt voor de verwerkingsverantwoordelijke het principe van

gegevensbescherming door ontwerp en standaardinstellingen.65 Dit wordt ook wel Privacy by

Design en Privacy by Default genoemd.66 Privacy by Design houdt in dat de software die

gebruikt wordt bij de verwerking van persoonsgegevens, zo is ontworpen dat de privacy van

betrokkenen zo optimaal mogelijk wordt beschermd. Privacy by Default houdt in dat de

instellingen in deze software zo privacy vriendelijk mogelijk moeten zijn. Dit houdt in dat niet

iedereen zomaar bij alle persoons gegevens moet kunnen, maar alleen als dit echt

noodzakelijk is.

Tevens is de verwerkingsverantwoordelijke verplicht een register van de

verwerkingsactiviteiten bij te houden.67 Dit register dient de onderstaande gegevens te

bevatten.68

o De naam en de contactgegevens van de verwerkingsverantwoordelijke;

o De verwerkingsdoeleinden en grondslagen waarop de verwerking berust;

o Een beschrijving van de categorieën van betrokkenen en van de categorieën van

persoonsgegevens;

o De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden

verstrekt, onder meer ontvangers in derde landen of internationale organisaties, met

inbegrip van de vermelding van dat derde land of die internationale organisatie;

o De beoogde termijnen waarbinnen de verschillende categorieën van

persoonsgegevens moeten worden gewist;

61 art. 79 lid 1 AVG 62 art. 82 lid 1 AVG 63 art. 24 lid 1 AVG 64 art. 24 lid 2 AVG 65 art. 25 lid 1-2 AVG 66 Engelfriet, Chew & Kager 2018, p. 87. 67 art. 30 lid 1 AVG 68 Engelfriet, Chew & Kager 2018, p. 30-33.

13

o Een algemene beschrijving van de technische en organisatorische

beveiligingsmaatregelen;

o Een inschatting van het risico voor betrokkenen.

Dit register wordt opgesteld in schriftelijke vorm, waaronder in elektronische vorm.69 Indien

gewenst stelt de verwerkingsverantwoordelijke het register ter beschikking aan de

toezichthoudende autoriteit.70

In beginsel is het bijhouden van een dergelijk register niet verplicht voor bedrijven die minder

dan 250 werknemers in dienst hebben.71 Solid Services BV heeft 16 werknemers in dienst en

zou daarmee in principe niet verplicht zijn een register van de verwerkingsactiviteiten bij te

houden. Echter, er zijn uitzonderingen waarbij in voorgenoemd geval toch een register

bijgehouden moet worden. Dit is het geval wanneer het waarschijnlijk is dat het verwerken

van de gegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de

verwerking niet incidenteel is of de verwerking bijzondere categorieën van

persoonsgegevens betreft. Solid Services BV verwerkt bepaalde persoonsgegevens

structureel. Daarnaast worden er ook bijzondere persoonsgegevens verwerkt, zoals

gegevens over de gezondheid van werknemers en hun nationaliteit (etnisch gegeven) door

de identificatieplicht. Solid Services BV dient door voorgenoemde redenen wel een register

van de verwerkingsactiviteiten bij te houden.72 Als laatste werken de

verwerkingsverantwoordelijke en de verwerker, indien gevraagd, samen met de

toezichthoudende autoriteit bij het vervullen van haar taken.73

2.2.9. Verplichtingen verwerker

De verwerker is degene die namens de verwerkingsverantwoordelijke persoonsgegevens

verwerkt.74 De verwerker moet net als de verwerkingsverantwoordelijke passende,

technische en organisatorische maatregelen treffen voor de verwerking van

persoonsgegevens. De verwerking van persoonsgegevens door een verwerker moet worden

geregeld door middel van een overeenkomst.75 Deze overeenkomst wordt schriftelijk,

waaronder elektronisch, opgesteld.76 Een dergelijke overeenkomst wordt ook wel een

verwerkersovereenkomst genoemd.77 Deze overeenkomst regelt de privacyaspecten van het

werk dat de verwerker doet.78 Als een verwerker de doeleinden en middelen van een

verwerking bepaalt, dan wordt de verwerker met betrekking tot die verwerking als

verwerkingsverantwoordelijke beschouwd.79 De verwerker verwerkt dus alleen

persoonsgegevens in opdracht van de verwerkingsverantwoordelijke.80 De verwerker dient

tevens, evenals de verwerkingsverantwoordelijke, een register bij te houden van de

persoonsgegevens die zij voor de verwerkingsverantwoordelijke verwerkt.81 Dit register dient

de onderstaande gegevens te bevatten.82

69 art. 30 lid 3 AVG 70 art. 30 lid 4 AVG 71 art. 30 lid 5 AVG 72 art. 30 lid 5 AVG 73 art. 31 AVG 74 art. 28 lid 1 AVG 75 art. 28 lid 3 AVG 76 art. 28 lid 9 AVG 77 Engelfriet, Chew & Kager 2018, p. 99. 78 Bijlage 5. 79 art. 28 lid 10 AVG 80 art. 29 AVG 81 art. 30 lid 2 AVG 82 Engelfriet, Chew & Kager 2018, p. 34.

14

o De naam en de contactgegevens van de verwerkers en van iedere

verwerkingsverantwoordelijke waarvoor de verwerker in opdracht handelt;

o De categorieën van verwerkingen die voor rekening van iedere

verwerkingsverantwoordelijke zijn uitgevoerd;

o Een omschrijving van de ontvangers en indien van toepassing, doorgiften van

persoonsgegevens aan een derde land of een internationale organisatie, onder

vermelding van dat derde land of die internationale organisatie;

o Indien mogelijk, een algemene beschrijving van de technische en organisatorische

beveiligingsmaatregelen.

Dit register wordt opgesteld in schriftelijke vorm, waaronder in elektronische vorm.83 Indien

gewenst stelt de verwerker het register ter beschikking aan de toezichthoudende autoriteit.84

2.2.10. Persoonsgegevensbeveiliging

De verwerkingsverantwoordelijke dient organisatorische en technische maatregelen te

treffen en de persoonsgegevens op een passend beveiligingsniveau te beveiligen gelet op

het risico.85 Hierbij dient rekening gehouden te worden met de stand van de techniek, de

uitvoeringskosten, de aard, de omvang, de context, de verwerkingsdoeleinden en de

waarschijnlijkheid en de ernst van de uiteenlopende risico’s voor de rechten en vrijheden van

personen. Deze beveiliging houdt, waar passend, onder andere in:

o De pseudonimisering en versleuteling van persoonsgegevens;

o Het vermogen om op permanente basis de vertrouwelijkheid, integriteit,

beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te

garanderen;

o Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de

toegang tot de persoonsgegevens tijdig te herstellen;

o Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van

de doeltreffendheid van de technische en organisatorische maatregelen ter

beveiliging van de verwerking.

Bij de beoordeling van het passende beveiligingsniveau wordt vooral rekening gehouden met

de verwerkingsrisico’s als gevolg van vernietiging, verlies, wijziging, ongeoorloofde

verstrekking of ongeoorloofde toegang tot doorgezonden, opgeslagen of anders verwerkte

persoonsgegevens, per ongeluk of onrechtmatig.86

2.2.11. Melding inbreuk (datalek)

Als er een inbreuk heeft plaatsgevonden met betrekking tot persoonsgegevens, dan moet de

verwerkingsverantwoordelijke dit melden, zonder onredelijke vertraging, en indien mogelijk

uiterlijk na 72 uur nadat hij er kennis van heeft genomen, aan de toezichthoudende

autoriteit.87 De inbreuk hoeft niet gemeld te worden als het niet waarschijnlijk is dat de

inbreuk met betrekking tot persoonsgegevens een risico inhoudt voor de rechten en

vrijheden van natuurlijke personen. Indien de inbreuk niet binnen 72 uur gemeld is bij de

toezichthoudende autoriteit, dan dient de reden van vertraging gemotiveerd te worden. In

Nederland is de toezichthoudende autoriteit de AP.88 De verwerker dient bij een inbreuk de

verwerkingsverantwoordelijke op de hoogte te stellen, zonder onredelijke vertraging, zodra

83 art. 30 lid 3 AVG 84 art. 30 lid 4 AVG 85 art. 32 lid 1 AVG 86 art. 32 lid 2 AVG 87 art. 33 lid 1 AVG 88 Engelfriet, Chew & Kager 2018, p. 117.

15

hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.89 In deze

melding van een inbreuk, gemaakt door de verwerkingsverantwoordelijke, worden tenminste

de volgende gegevens opgenomen:

o De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder

vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in

kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in

kwestie;

o De naam en de contactgegevens van een contactpunt waar meer informatie kan

worden verkregen;

o De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

o De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen

om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in

voorkomend geval, de maatregelen ter beperking van de eventuele nadelige

gevolgen daarvan.90

Indien alle informatie niet in één keer kan worden verstrekt, dan is het ook mogelijk dat de

informatie in stappen wordt verstrekt, zonder onredelijke vertraging.91 De

verwerkingsverantwoordelijke documenteert alle inbreuken met betrekking tot

persoonsgegevens, voorzien van de feiten, de gevolgen van de inbreuk en de genomen

corrigerende maatregelen.92

Indien de inbreuk met betrekking tot persoonsgegevens een hoog risico inhoudt voor de

rechten en vrijheden van de betrokkenen, dan deelt de verwerkingsverantwoordelijke de

inbreuk onverwijld mede.93 De mededeling dient een beschrijving van de aard van de

inbreuk, de maatregelen, contactgegevens van een contactpunt waar meer informatie te

verkrijgen is en de waarschijnlijke gevolgen van de inbreuk te bevatten.94 De inbreuk hoeft

niet aan de betrokkene medegedeeld te worden als één van de onderstaande voorwaarden

is vervuld:

o De verwerkingsverantwoordelijke heeft passende technische en organisatorische

beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de

persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking

heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor

onbevoegden, zoals versleuteling;

o De verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te

zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich

waarschijnlijk niet meer zal voordoen;

o De mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de

plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij

betrokkenen even doeltreffend worden geïnformeerd.95

2.2.12. Direct marketing

Wanneer persoonsgegevens worden gebruikt voor direct marketing, dan dient hier in de

meeste gevallen toestemming voor gevraagd te worden.96 Als persoonsgegevens die eerder

89 art. 33 lid 2 AVG 90 art. 33 lid 3 AVG 91 art. 33 lid 4 AVG 92 art. 33 lid 5 AVG 93 art. 34 lid 1 AVG 94 art. 34 lid 2 AVG 95 art. 34 lid 3 AVG 96Direct marketing, www.autoriteitpersoonsgegevens.nl

16

verzameld zijn voor een ander doel, vervolgens worden ingezet voor direct marketing, dan

gelden daar regels voor. Welke regels er gelden is afhankelijk van welke soort direct

marketing gebruik wordt gemaakt en of deze is gericht aan bestaande klanten of niet. Er zijn

drie soorten direct marketing, namelijk: digitale direct marketing, telemarketing en

reclamepost.97 Solid Services BV maakt geen gebruik van reclamepost, dus hier zal verder

niet op ingegaan worden. De organisatie moet betrokkenen informeren over het feit dat hun

persoonsgegevens gebruikt worden voor direct marketing. Dit moet op een duidelijke wijze

geschieden, zodat betrokkenen weten wat er met hun persoonsgegevens gebeurt en zij

kunnen kiezen of zij wel of geen direct marketing willen ontvangen.98

In het kader van digitale direct marketing, verstuurt Solid Services BV nieuwsbrieven.99 De

hoofdregel is dat dit alleen mag als daarvoor toestemming is verkregen, tenzij dit bestaande

klanten betreft waarbij aanbiedingen worden gestuurd van eigen, soortgelijke producten van

de organisatie. Betrokkenen hebben het recht om zich te verzetten tegen het gebruik van

hun persoonsgegevens voor digitale direct marketing. Indien dit van toepassing is, dan mag

de betrokkene niet meer worden benaderd. Betrokkenen moeten dit op een eenvoudige

wijze kunnen doen. Van dit recht dienen betrokkenen op de hoogte gesteld te worden bij het

verkrijgen van hun persoonsgegevens en bij elke marketinguiting die zij toegestuurd krijgen.

Denk bijvoorbeeld aan een opt-out functie bij nieuwsbrieven, waardoor mensen zich hiervoor

gemakkelijk kunnen afmelden. Voorgaande geldt eveneens voor het benaderen van

bedrijven voor digitale direct marketing, tenzij zij bewust een e-mailadres hebben

aangemaakt dat erop duidt dat het bedrijf het geen probleem vindt dergelijke communicatie

te ontvangen of dit een bedrijf betreft dat buiten de Europese Unie gevestigd is.

Daarnaast bestaat er telemarketing.100 Dit betreft telefonische reclameaanbiedingen. Solid

Services BV probeert via nazorg en een klanttevredenheidsonderzoek mogelijk nieuwe

opdrachten binnen te halen. Dit valt hierdoor onder telemarketing, omdat er gevraagd wordt

aan klanten of zij nogmaals gebruik wensen te maken van de diensten van Solid Services

BV. Ook hierbij heeft de betrokkene het recht van verzet. De betrokkene mag indien zij zich

heeft verzet, niet meer gebeld worden. Tevens mogen klanten die in een Bel-Me-Niet-

Register staan niet gebeld worden. Tijdens elk gesprek moet de betrokkene gewezen

worden op deze rechten. Voor het benaderen van betrokkenen op deze wijze is geen

toestemming vereist, als hun gegevens rechtmatig zijn verkregen en zij hun recht op verzet

niet hebben uitgeoefend en niet in een Bel-Me-Niet-Register staan. Indien een betrokkene is

ingeschreven in een Bel-Me-Niet-Register, maar een bestaande klant is, dan mag deze wel

worden benaderd voor telemarketing, totdat er verzet wordt aangetekend.

2.2.13. Gegevensbeschermingseffectbeoordeling (Data Protection Impact

Assessment)

Een Gegevensbeschermingseffectbeoordeling, ook wel Data Protection Impact Assessment

genoemd (hierna: DPIA), dient uitgevoerd te worden wanneer een soort verwerking, in het

bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard,

omvang, context en de doeleinden daarvan, waarschijnlijk een hoog risico inhoudt voor de

rechten en vrijheden van natuurlijke personen.101 De verwerkingsverantwoordelijke voert dan

vóór de verwerking een DPIA uit betreffende het effect van de beoogde

verwerkingsactiviteiten op de bescherming van persoonsgegevens. Hierdoor kan er, waar

97 Direct marketing, www.autoriteitpersoonsgegevens.nl 98 Direct marketing, www.autoriteitpersoonsgegevens.nl 99 Vragen over digitale direct marketing, www.autoriteitpersoonsgegevens.nl 100 Vragen over telemarketing, www.autoriteitpersoonsgegevens.nl 101 art. 35 lid 1 AVG

17

nodig, preventief ingegrepen worden om een foutieve omgang met persoonsgegevens te

voorkomen.102 Eén beoordeling kan gelden voor een reeks van verwerkingen als deze

vergelijkbare hoge risico’s inhouden. De AP heeft een lijst openbaar gemaakt met gevallen

waarin een DPIA uitgevoerd dient te worden.103 Deze lijst is openbaar en voor iedereen

toegankelijk.104 Solid Services BV verwerkt gegevens waarvoor een DPIA vereist is. Zo wordt

bijvoorbeeld de locatie van de werkauto’s uitgelezen. Daarnaast worden ook

evaluatieverslagen van evaluatie- en beoordelingsgesprekken van personeel bewaard, wat

gevoelige gegevens en gegevens van persoonlijke aard zijn.105 Concluderend kan gesteld

worden dat Solid Services BV een DPIA dient uit te voeren. De beoordeling moet tenminste

onderstaande onderdelen bevatten:

o Een systematische beschrijving van de beoogde verwerkingen en de

verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde

belangen die door de verwerkingsverantwoordelijke worden behartigd;

o Een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met

betrekking tot de doeleinden;

o Een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen;

o De beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen,

veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens

te garanderen, met inachtneming van de rechten en gerechtvaardigde belangen van

de betrokkenen en andere personen in kwestie.106

Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de

verwerking overeenkomstig de DPIA wordt uitgevoerd.107 Dit wordt in elk geval gedaan als er

sprake is van een verandering van het risico dat de verwerkingen inhouden. De resultaten

kunnen worden gebruikt om maatregelen vast te stellen en om aan te kunnen tonen dat aan

de AVG wordt voldaan.108 De resultaten van de DPIA dienen regelmatig geëvalueerd te

worden. Het proces van een DPIA zou volgens onderstaande cyclus kunnen verlopen.109 Om

te controleren of een DPIA goed is uitgevoerd, kan de checklist van de Article 29 Working

Party gebruikt worden.110

102 Bastiaans, Bb 2018/24, p. 86-88. 103 Data Protection Impact Assessment, www.autoriteitpersoonsgegevens.nl 104 art. 35 lid 4 AVG 105 Hooghiemstra & Nouwt, in: T&C AVG 2018, art. 35 AVG, aant. 93. 106 art. 35 lid 7 AVG 107 art. 35 lid 11 AVG 108 Hooghiemstra & Nouwt, in: T&C AVG 2018, art. 35 AVG, aant. 93. 109 Article 29 Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether

processing is "likely to result in a high risk" for the purposes of Regulation 2016/679, p. 20. 110 Bijlage 4.

18

2.2.14. Functionaris voor de gegevensbescherming

Tevens dient in sommige gevallen een Functionaris voor gegevensbescherming benoemd te

worden (hierna: FG).111 Deze functionaris ziet onder andere toe op de naleving van de

AVG.112 Solid Services BV hoeft geen FG te benoemen omdat zij niet vallen onder de in de

verordening genoemde gevallen waarin dit verplicht is.113 Om deze reden zal hier niet verder

op ingegaan worden.

2.2.15. Doorgiften van persoonsgegevens aan derde landen of internationale

organisaties

Persoonsgegevens die worden verwerkt of die bestemd zijn om na doorgifte aan een derde

land of een internationale organisatie te worden verwerkt, mogen alleen worden

doorgegeven als aan de regels van de AVG wordt voldaan.114

De Europese Commissie stelt een adequaatsheidsbesluit vast waarin landen benoemd

worden die aan het gewenste beveiligingsniveau voldoen.115 Landen die hier momenteel

onder vallen zijn onder andere: Andorra, Argentinië, Canada, de Faeröer Eilanden,

Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten

(alléén wanneer de betrokken partij is aangesloten bij het Privacy Shield) en Zwitserland.116

Solid Services BV heeft op dit moment vooral buitenlandse klanten in Europa, zoals:

Engeland, Duitsland, België en Spanje. Hiervoor hoeven verder geen maatregelen genomen

te worden.117 Engeland ligt binnen de Europese Unie, dus zou in principe voldoen aan de

AVG. Het is echter nog onzeker hoe dit gaat met de komende Brexit.118 Het bedrijf heeft

echter ook incidentele projecten voor klanten buiten Europa, zoals bijvoorbeeld in Brazilië.

Dit land is door de Europese Commissie niet adequaat bevonden.119 In een dergelijk geval

mag dan alleen doorgifte van persoonsgegevens plaatsvinden als passende waarborgen

worden geboden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen

beschikken.120 Waarborgen kunnen bijvoorbeeld geboden worden door dergelijke regels op

te nemen in contractsbepalingen tussen de verwerkingsverantwoordelijke en de

internationale organisatie die de persoonsgegevens gaat verwerken, onder voorbehoud van

de toestemming van de toezichthoudende autoriteit.121 Een andere optie op grond van de

AVG zou kunnen zijn het opstellen van bindende bedrijfsvoorschriften.122 Hiervoor is geen

toestemming nodig van de toezichthoudende autoriteit.123

Indien geen sprake is van zowel het adequaatheidsbesluit als passende waarborgen, geeft

de AVG een aantal uitzonderingen waarin doorgifte van persoonsgegevens toch kan.124 De

reden die voor Solid Services BV het meest van belang is, is dat persoonsgegevens

verstrekt dienen te worden voor de uitvoering van een overeenkomst in het belang van de

111 art. 37 lid 1 AVG 112 art. 39 lid 1 AVG 113 art. 37 lid 1 AVG 114 art. 44 AVG 115 art. 45 lid 1 AVG 116 Engelfriet, Chew & Kager 2018, p. 187. 117 Engelfriet, Chew & Kager 2018, p. 109. 118 Engelfriet, Chew & Kager 2018, p. 109. 119 art. 45 lid 1 AVG 120 art. 46 lid 1 AVG 121 art. 46 lid 3 sub a AVG 122 Art. 46 lid 2 sub b AVG 123 Vries, de & Goudsmit, NJB 2016/1077, p. 1071-1125. 124 art. 49 lid 1 sub b AVG

19

betrokkenen.125 Solid Services BV is verplicht een zogenoemd A1 formulier van de Sociale

Verzekeringsbank naar buitenlandse klanten te sturen, zodat werknemers als ze in het

buitenland werken, verzekerd zijn.126 Werknemers kunnen in het buitenland dan aantonen

dat zij in Nederland verzekerd zijn. Een werkgever is op grond van goed werkgeverschap

conform artikel 7:611 BW verplicht te zorgen dat haar werknemers verzekerd zijn.

Concluderend is hier één van de uitzonderingen zoals genoemd in de AVG van toepassing

en mag Solid Services BV deze gegevens doorzenden naar haar internationale klanten.

2.2.16. Sancties als gevolg van overtreden van de AVG

Onder de AVG geldt een boetebeleid bij het overtreden van de verordening.127 Deze

geldboetes variëren van 10.000.000 euro of maximaal 2% van de totale wereldwijde

jaaromzet, indien dit hoger uitvalt, tot 20.000.000 euro of maximaal 4% van de wereldwijde

jaaromzet, indien dit hoger uitvalt.128 De hoogte van de boete is afhankelijk van welk artikel

uit de AVG is overtreden.

2.3. De toekomst

Bovengenoemd zijn de artikelen aan bod gekomen die gelden voor Solid Services BV. Er zijn

echter een aantal artikelen waar Solid Services BV op dit moment niet aan hoeft te voldoen,

maar eventueel in de toekomst wel. Deze artikelen zullen hieronder nader toegelicht worden.

2.3.1. De Functionaris voor de gegevensbescherming

Allereerst hoeft Solid Services BV op dit moment geen FG aan te stellen. Dit komt omdat dit

alleen noodzakelijk is als het bedrijf regelmatig en stelselmatig op grote schaal betrokkenen

observeert of als het bedrijf op grote schaal bijzondere persoonsgegevens verwerkt.129

De organisatie observeert de betrokkenen op dit moment niet, dit kan bijvoorbeeld

veranderen als het bedrijf besluit camera’s in het kantoorpand op te hangen om het

personeel te monitoren, dit moet dan wel op grote schaal gebeuren. Hiervan zou in de

toekomst wellicht sprake kunnen zijn als het bedrijf groeit en er meer werknemers in dienst

treden. In voorkomend geval dient dan wel een FG aangesteld te worden. Op dit moment

worden er door de organisatie verschillende bijzondere persoonsgegevens verwerkt. Dit

gebeurt momenteel alleen van de eigen werknemers. Het betreft hier met name gegevens

over de gezondheid van de werknemers en etnische gegevens. De etnische gegevens

worden verwerkt doordat een kopie moet worden gemaakt van een geldig legitimatiebewijs

van de werknemers. Hierdoor worden onder andere het identificatienummer (BSN) en de

nationaliteit van de werknemers verwerkt. Deze bijzondere persoonsgegevens worden

echter niet op grote schaal verwerkt. Mocht dit in de toekomst wel gebeuren doordat er

bijvoorbeeld meer werknemers in dienst treden, dan kan het zijn dat er wel een FG

aangesteld dient te worden.

Als er eenmaal een FG is aangesteld zijn er een aantal dingen belangrijk. De FG dient

zelfstandig te kunnen werken. Dat wil zeggen dat de FG geen instructies mag ontvangen met

betrekking tot de werkzaamheden en dat deze tevens ontslagbescherming geniet.130 De FG

brengt altijd rechtstreeks verslag uit aan de hoogste leidinggevende binnen de organisatie.

Het is belangrijk dat de FG tijdig en naar behoren op de hoogte wordt gehouden van alle

ontwikkelingen rondom de bescherming van persoonsgegevens.131 Tevens dient de

125 Berkvens, Vinken, Wiegerinck, Wolters, Reijner & van Gerwen 2018, p. 78. 126 A1 formulier, www.svb.nl 127 art. 83 lid 4 AVG 128 art. 83 lid 5 AVG 129 art. 37 lid 1 AVG 130 art. 38 lid 3 AVG 131 art. 38 lid 1 AVG

20

verwerkingsverantwoordelijke de FG in de gelegenheid te stellen zijn taken goed uit te

kunnen voeren, door bijvoorbeeld toegang te verschaffen tot persoonsgegevens en

verwerkingsactiviteiten.132

De FG is daarnaast het aanspreekpunt voor de betrokkenen binnen de organisatie voor alle

vragen die verband houden met de verwerking van hun persoonsgegevens en met de

uitoefening van hun rechten op grond van de AVG.133 De FG is met betrekking tot zijn taken

tot geheimhouding of vertrouwelijkheid gehouden.134

De FG adviseert over de verplichtingen die voortkomen uit de AVG en ziet toe op de

naleving van de AVG en het beleid van de verwerkingsverantwoordelijke. Hierbij wijst de FG

verantwoordelijkheden toe en zorgt voor bewustwording en opleiding van personeel dat

betrokken is bij de verwerking van persoonsgegevens en de betreffende audits. Tevens geeft

de FG advies over en ziet toe op de gegevensbeschermingseffectbeoordeling. Als laatste

werkt de FG samen met de toezichthoudende autoriteit en treedt op als contactpunt voor

deze autoriteit, met betrekking tot met de verwerking verband houdende

aangelegenheden.135

2.3.2. Certificering

Om aan te kunnen tonen dat de organisatie aan de AVG voldoet, kan een certificering

worden aangevraagd.136 De organisatie kan dan een keurmerk gebruiken om aan derden

kenbaar te maken dat zij voldoet aan de AVG. Deze certificering is vrijwillig.137 Een dergelijke

certificering doet niets af aan de verantwoordelijkheid van de verwerkingsverantwoordelijke

of de verwerker om de AVG na te leven en laat de taken en bevoegdheden van de bevoegde

toezichthoudende autoriteiten onverlet.138 Deze certificering dient aangevraagd te worden bij

een certificerend orgaan of bij de bevoegde toezichthoudende autoriteit.139 Indien een

certificaat wordt verleend, zal deze worden afgegeven voor de periode van drie jaar, met de

mogelijkheid tot verlenging, mits bij verlenging aan de relevante eisen kan worden

voldaan.140 Op dit moment zijn er echter nog geen goedgekeurde instanties die certificaten

uit kunnen geven.141 De tijd zal uitwijzen hoe certificering onder de AVG zich zal ontwikkelen

en de organisatie moet op het moment dat zij een certificering wil aanvragen, kijken wat de

stand van zaken hieromtrent is.

2.4. Tussenconclusie

Concluderend kan gesteld worden dat de AVG van toepassing is op Solid Services BV,

aangezien zij voldoet aan zowel het materiële als het territoriale toepassingsgebied van de

AVG. Met betrekking tot de gegevens die de organisatie zelf verwerkt is zij

verwerkingsverantwoordelijke, gezien het feit dat zij het doel en de middelen van de

verwerking bepaalt. Derde partijen waarmee wordt samengewerkt en die persoonsgegevens

voor de organisatie verwerken, zijn verwerker. Zowel de verwerkingsverantwoordelijke als de

verwerker hebben verplichtingen waaraan zij zich moeten houden en waarvoor zij

verantwoording af moeten kunnen leggen.

132 art. 38 lid 2 AVG 133 art. 38 lid 4 AVG 134 art. 38 lid 5 AVG 135 art. 39 lid 1 sub a-e AVG 136 art. 42 lid 1 AVG 137 art. 42 lid 3 AVG 138 art. 42 lid 4 AVG 139 art. 42 lid 5 AVG 140 art. 42 lid 7 AVG 141 AVG-Certificering, www.norea.nl

21

Daarnaast moet de verwerking van persoonsgegevens berusten op een wettelijke grondslag

en moet deze verwerking voldoen aan de beginselen uit de AVG. Als de grondslag

toestemming wordt gehanteerd, zal deze aan extra vereisten moeten voldoen. Voor het

benaderen van betrokkenen via direct marketing, gelden nadere regels. Dit kan veelal alleen

als toestemming is verkregen van de betrokkene. Uitzonderingen hierop zijn bij digitale direct

marketing, waaronder het verzenden van nieuwsbrieven, dat bestaande klanten wel

benaderd mogen worden, eveneens als bedrijven buiten de Europese Unie of bedrijven die,

gezien het e-mailadres, duidelijk geen problemen hebben met dergelijke communicatie.

Betrokkenen hebben bij deze vorm van marketing het recht van verzet, wanneer dit recht is

uitgeoefend mogen betrokkenen niet meer benaderd worden. Bij telemarketing, namelijk

telefonische reclameaanbiedingen, is toestemming van de betrokkene niet vereist, als de

gegevens van de betrokkene rechtmatig zijn verkregen en deze hun recht op verzet niet

hebben uitgeoefend en niet staan ingeschreven in een Bel-Me-Niet-Register. Indien een

betrokkene is ingeschreven in een Bel-Me-Niet-Register, maar een bestaande klant is, dan

mag deze wel worden benaderd voor telemarketing, totdat er verzet wordt aangetekend.

Het verwerken van bijzondere persoonsgegevens is in beginsel niet toegestaan. Solid

Services BV verwerkt echter wel een aantal van dit soort persoonsgegevens in het kader van

verplichtingen die zij als werkgever heeft in het kader van het arbeidsrecht, deze zijn van dit

verbod uitgezonderd. Tevens hebben betrokkenen waarvan persoonsgegevens worden

verwerkt onder de AVG diverse rechten waar gehoor aan gegeven moet worden door de

verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke zal technische en

organisatorische maatregelen moeten treffen om de persoonsgegevens op een passende

wijze te beveiligen. Dit is van belang om een eventueel datalek te voorkomen.

Om de risico’s van het verwerken van elke soort persoonsgegevens goed in kaart te

brengen, moet de organisatie een DPIA uitvoeren. Hierdoor kunnen deze risico’s voorkomen

worden en is bekend hoe er met deze risico’s omgegaan moet worden mochten deze risico’s

zich voordoen.

Indien persoonsgegevens worden doorgezonden naar het buitenland, gelden hier specifieke

eisen voor. Solid Services BV zendt A1 formulieren van de Sociale Verzekeringsbank door,

om ervoor te zorgen dat haar werknemers ook in het buitenland verzekerd zijn.142

Werknemers kunnen in het buitenland dan aantonen dat zij in Nederland verzekerd zijn.

Hiertoe is zij verplicht op grond van goed werkgeverschap en dit is daarom uitgezonderd in

de AVG. Solid Services BV mag deze gegevens daarom doorzenden naar het buitenland.

Voor de toekomst kan het van belang zijn voor Solid Services BV dat zij een FG benoemt.

Dit is alleen nodig als aan bepaalde voorwaarden, die eerder zijn omschreven, is voldaan.

Dit is momenteel niet het geval. De organisatie zal dit zelf goed in de gaten moeten houden.

Tevens kan ervoor gekozen worden om een certificering aan te vragen, waarmee naar

derden kan worden aangetoond dat Solid Services BV haar persoonsgegevens volgens de

AVG verwerkt. Indien één van de artikelen uit de AVG wordt overtreden, dan staan hier

geldboetes op. De geldboete is afhankelijk van welk artikel uit de AVG is overtreden.

142 A1 formulier, www.svb.nl

22

Hoofdstuk 3: ISO 9001 norm en AVG

3.1. Inleiding

In dit hoofdstuk zal de koppeling tussen de ISO 9001 norm en de AVG worden toegelicht. Dit

is van belang om te kunnen bepalen wat de verhouding is tussen de AVG en de ISO 9001

norm en in hoeverre de werkprocessen en werkinstructies herschreven kunnen worden om

te voldoen aan zowel de AVG als de ISO 9001 norm.

3.2. De ISO 9001 norm

De ISO 9001 norm ziet toe op een kwaliteitsmanagementsysteem, waardoor de organisatie

haar algehele prestaties kan verbeteren en dit een goede basis kan bieden voor duurzame

ontwikkelinitiatieven.143 De eisen voor een kwaliteitsmanagementsysteem zoals

geformuleerd in deze norm, zijn aanvullend op de eisen voor producten en diensten. De

mogelijke voordelen voor een organisatie kunnen zijn:

• Het consequent kunnen voorzien in producten en diensten die voldoen aan de eisen

van de klant en de relevante weten regelgeving;

• Het faciliteren van kansen die de klanttevredenheid verhogen;

• Het oppakken van risico’s en kansen;

• Het aan kunnen tonen dat aan gespecificeerde eisen voor een

kwaliteitsmanagementsysteem wordt voldaan.

3.3. Koppeling ISO 9001 norm en de AVG

Om de koppeling te kunnen maken tussen de AVG en de ISO 9001 norm, zijn een drietal

interviews afgenomen om te bekijken hoe hier vanuit de praktijk tegenaan wordt gekeken.

Onderstaand zal kort worden toegelicht welke informatie uit deze interviews naar voren is

gekomen.

De ISO 9001 norm ziet op een kwaliteitsmanagementsysteem.144 Deze norm ziet dus vooral

op kwaliteit, maar hieronder valt ook het voldoen aan geldende weten regelgeving. De AVG

is nieuwe regelgeving en dit zal dan ook meegenomen moeten worden in het

managementsysteem. Daarnaast ziet de ISO 9001 norm ook op het managen van processen

en het in kaart brengen van risico’s. Dit zijn punten die in de AVG ook terugkomen. De AVG

kan daarom meegenomen worden in deze risicoanalyses en bij het managen van de

processen. Tijdens een audit kan dan worden aangegeven welk beleid er is gemaakt naar

aanleiding van de AVG en hoe dit is geïmplementeerd.145

Het kwaliteitsmanagementsysteem wordt als het ware uitgebreid met privacyaspecten, die

dan worden geïmplementeerd in de bestaande processen. De organisatorische en

technische maatregelen die in het kader van de AVG genomen zijn, worden zo meegenomen

in het kwaliteitsmanagementsysteem.146 Het aanpassen van ISO 9001 werkprocessen en

werkinstructies, om ze AVG-proof te maken, veroorzaakt geen problemen voor de

certificering.147

143 NEN-EN-ISO 9001 norm 144 Bijlage 7. 145 Bijlage 8. 146 Bijlage 7. 147 Bijlage 7 en 8.

23

NEN-normen, waaronder de ISO 9001 norm, zijn een concretisering van het wettelijk kader,

de AVG. De AVG is een verordening op Europees niveau en NEN-normen zijn een semi

privaatrechtelijk reguleringsinstrument voor een branche, bedoeld voor een branche om

handvatten te geven over hoe invulling te geven aan bepaalde wettelijke normen en om een

standaard te stellen. De ISO 9001 norm kan hierdoor nooit conflicteren met de AVG,

aangezien de AVG het wettelijk kader is en het wettelijk kader de norm neerlegt. Een

Europese verordening staat in hiërarchie hoger dan NEN-normen en de AVG heeft daarmee

voorrang op de ISO 9001 norm.148

3.4. Hard law vs. Soft law

Naast een praktische benadering, bestaat er ook nog een juridische verhouding tussen NEN-

normen, waar de ISO 9001 norm een onderdeel van is, en een verordening op Europees

niveau, namelijk de AVG. Deze verhouding zal onderstaand worden toegelicht.

NEN-normen worden vastgesteld door het Nederlands Normalisatie Instituut.

Brancheorganisaties en belangenorganisaties zijn vrij om deze normen als bindend te

hanteren, maar de normen blijven dan van privaatrechtelijke aard tussen deze partijen. De

vraag is of NEN-normen algemeen verbindende regels bevatten. Dit is niet het geval. De

uitvaardiging van normen door een particuliere organisatie, maakt deze normen niet

algemeen verbindend in publiekrechtelijke zin, aangezien de wettelijke grondslag hiervoor

ontbreekt. Het opstellen van algemeen verbindende voorschriften is voorbehouden aan de

wetgever. In beginsel blijft dit normenstelsel daarom een vorm van zelfregulering.149

Aangezien dit juridisch niet-bindende afspraken zijn wordt dit ook wel aangeduid met de term

‘’Soft law’’.150

Een verordening is daarentegen wel een juridisch bindende rechtshandeling.151 Een

verordening is in de hele Europese Unie van toepassing en is een maatregel van algemene

strekking, die verbindend is in al haar onderdelen en rechtstreeks toepasselijk is in elke

lidstaat.152 De AVG is een verordening en is daarmee juridisch bindend voor de gehele

Europese Unie. Juridisch bindende afspraken worden ook wel ‘’Hard law’’ genoemd.


Concluderend kan gesteld worden dat NEN-normen van privaatrechtelijke aard zijn, die vaak

binnen een bepaalde branche als bindend worden gehanteerd. Deze regels zijn juridisch niet

bindend. De AVG daarentegen is een verordening op Europees niveau. Hierdoor is deze

verordening juridisch bindend en geldt deze verordening rechtstreeks binnen de gehele

Europese Unie. Een verordening staat hiërarchisch hoger dan een privaatrechtelijk

normenstelsel, zoals de NEN-normen. De AVG heeft daarom voorrang op de ISO 9001

norm.

De verhouding tussen de ISO 9001 norm en de AVG is dat de AVG het wettelijk kader betreft

dat de norm stelt en NEN-normen een praktische invulling betreffen om een bepaalde

branche handvatten te geven voor de praktische implementatie van bepaalde weten

regelgeving en om een standaard te stellen. Hierdoor kunnen NEN-normen nooit conflicteren

met de AVG, omdat deze een uitvloeisel zijn van het wettelijk kader.

148 Bijlage 9. 149 van den Hoven van Genderen, Computerrecht 2011/4. 150 Bronnen Europees recht en beleid, europadecentraal.nl 151 Verordeningen, richtlijnen en andere rechtshandelingen, europa.eu 152 Ambtenbrink, Vedder 2013, p. 150.

24

De ISO 9001 norm ziet op een kwaliteitsmanagementsysteem. Eén van de voorwaarden die

gesteld wordt is dat geldende weten regelgeving moet worden meegenomen. De AVG is

nieuwe regelgeving en moet daarom worden meegenomen in het beleid. Daarnaast ziet de

ISO 9001 norm op het in kaart brengen van risico’s en het managen van processen. Dit zijn

zaken die in de AVG ook terugkomen en de AVG kan daarom eenvoudig worden

meegenomen bij risicoanalyses en in de bedrijfsprocessen. Het implementeren van de AVG

in de bedrijfsprocessen veroorzaakt hierdoor geen probleem voor de certificering.

Hoofdstuk 4: huidige situatie bij Solid Services BV

4.1. Inleiding

In dit hoofdstuk zal de huidige situatie omtrent de ISO 9001 werkprocessen met

bijbehorende formulieren en werkinstructies, waarin persoonsgegevens worden verwerkt, bij

Solid services BV worden toegelicht. Allereerst zal worden ingegaan op de criteria die de AP

hanteert. Vervolgens zal de kern uit de tabellen die in de bijlagen staan, waarin per

document is weergegeven wat er aangepast dient te worden om te voldoen aan de AVG,

worden toegelicht.

4.2. Criteria Autoriteit Persoonsgegevens

De AP hanteert in eerste instantie de criteria zoals die staan omschreven in de AVG.153

Organisaties moeten kunnen aantonen dat zij in overeenstemming handelen met de AVG. Bij

de beoordeling of een organisatie voldoet aan de AVG, zal dit een grote rol spelen.

Daarnaast stelt de AP zelf aanvullende regels op met betrekking tot de AVG. Het is

raadzaam de website van de AP in de gaten te houden voor nieuwe nadere regelgeving.

Deze informatie is openbaar en voor iedereen toegankelijk.

4.3. Toetsing van huidige ISO 9001 formulieren, checklists, werkinstructies en

procedures

Alle huidige formulieren, checklists, werkinstructies en procedures waar persoonsgegevens

in worden verwerkt, zijn getoetst. De resultaten hiervan zijn opgenomen in tabellen. Deze zijn

opgenomen in de bijlagen. Onderstaand zal hiervan de kern worden weergegeven.

4.3.1. Procedures

De oorzaak van het feit dat sommige procedures niet voldoen aan de AVG, is dat deze

procedures verder toegelicht dienen te worden of dat er te veel persoonsgegevens worden

verwerkt. De meeste procedures beschrijven nu onvoldoende hoe er rekening wordt

gehouden met de AVG of de AVG wordt helemaal niet betrokken in deze procedures.

Onderstaand zullen deze procedures worden toegelicht.154

4.3.1.1. Documenten en registraties

In het kader van beheersing van documenten en registraties staat beschreven dat de

documentatie actueel wordt gehouden. Er staat in deze procedure echter niet beschreven

hoe er wordt omgegaan met verzoeken van werknemers of externen die hun gegevens

willen wijzigen of verwijderen. Ook is het van belang om hierbij te benoemen in welke

frequentie de gegevens worden geüpdatet.

Daarnaast is het in het algemeen noodzakelijk om te bepalen waar persoonsgegevens

worden opgeslagen en/of gearchiveerd. Tevens is het van belang om te beschrijven of

153 Toezichtskader Autoriteit Persoonsgegevens, www.autoriteitpersoonsgegevens.nl 154 Bijlage 1.

25

persoonsgegevens fysiek of digitaal of beide aanwezig zijn. Hierbij dient aangegeven te

worden welke personen bij bepaalde persoonsgegevens kunnen, zowel fysiek als digitaal.

Er staat bijvoorbeeld in de procedures dat vertrouwelijke informatie bewaard wordt in een

afgesloten kast/ruimte. Het is dan van belang dat wordt toegelicht wie hiertoe toegang heeft

middels een sleutel en waarom dat noodzakelijk is. Tevens kunnen er extra sleutels

aanwezig zijn. Er dient dan toegelicht te worden wie een sleutel bezit en/of waar deze

worden bewaard. Persoonsgegevens worden binnen de organisatie confidentieel vernietigd

door middel van een papierversnipperaar. Dit staat nergens in een procedure en zal nog

moeten worden toegelicht. Voor digitale documentatie is het van belang dat

persoonsgegevens volledig worden gewist. Er dient beschreven te worden hoe hiervoor

gezorgd wordt. Daarnaast is er een centraal archief en een digitaal klantenarchief die beiden

vrij toegankelijk zijn voor iedereen. Er dient beschreven te worden waarom iedereen bij deze

gegevens in het centrale archief moet kunnen en of dit echt nodig is. Daarnaast dient

toegelicht te worden, in het kader van Privacy by Design en Privacy by Default, waarom

iedereen bij het digitale klantenarchief moet kunnen.

Tevens is het wenselijk om een clean desk policy te hanteren. Alle gevoelige informatie dient

opgeborgen te worden in de daarvoor in het kantoor bestemde kasten, indien werknemers

niet aanwezig zijn op het kantoor. De kantoren van de managers staan nu vaak open,

waardoor iedereen bij alle informatie kan. De deuren van deze kantoren kunnen op slot. Het

is raadzaam dat dit ook gedaan wordt als deze personen niet aanwezig zijn op kantoor.

Daarnaast dienen werknemers hun computer te locken als zij hun werkplek verlaten. Dit

gebeurt nu nauwelijks, waardoor iedereen bij allerlei gegevens kan. Dit is niet wenselijk.

De werknemers krijgen binnen de organisatie een veiligheidspaspoort. In dit paspoort staat

beschreven welke cursussen, opleidingen en eventuele instructies de werknemer heeft

gevolgd. Dit is wenselijk in het kader van de veiligheid tijdens de werkzaamheden en geeft

de klant snel inzicht in wat de werknemer wel of niet aan opleiding heeft gevolgd. Het

uitgeven van een dergelijk veiligheidspaspoort is een keuze van de werkgever, hiertoe is zij

niet verplicht. Hierdoor zou de werknemer een keuze moeten krijgen of hij/zij een dergelijk

paspoort wil. De werkgever dient hiervoor daarom toestemming te verkrijgen van de

werknemer. Dit zou opgenomen kunnen worden in het formulier ‘’Persoonsgegevens’’ of in

de arbeidsovereenkomst. Het bijhouden van gezondheidsgegevens in deze paspoorten,

zoals medische keuringen en of het wel of niet hebben gehad van bepaalde vaccinaties, mag

alleen als de werknemer hiervoor toestemming heeft gegeven aan de werkgever. Dit zijn

gegevens die een klant niet behoort te krijgen. Deze persoonsgegevens mogen niet worden

gedeeld met klanten, tenzij dat met een gegronde reden wel nodig is en de werknemer hier

uitdrukkelijk toestemming voor heeft gegeven.

Tevens moeten alle verwijzingen naar de Wet bescherming persoonsgegevens in het

algemeen vervangen worden door de AVG.

4.3.1.2. Automatisering

Een belangrijk beginsel in de AVG is het beginsel van Privacy by Design en Privacy by

Default. Privacy by Design houdt in dat de software zo privacy vriendelijk mogelijk moet

worden ontworpen. Privacy by Default houdt in dat de standaardinstellingen zo privacy

vriendelijk mogelijk moeten zijn. Er dient aangegeven te worden in de procedures welke

personen waarom bij bepaalde persoonsgegevens moeten kunnen en bepaalde

persoonsgegevens dienen eventueel te worden afgeschermd. Er wordt wel gesproken over

autorisaties, maar nergens wordt beschreven hoe dit in zijn werk gaat. Dit dient nader

26

gespecificeerd te worden. Tevens dient in de procedures aangegeven te worden hoe aan het

beginsel van Privacy by Design wordt voldaan.

Er dient beschreven te worden met welke computerprogramma’s wordt gewerkt en welke

persoonsgegevens hiermee worden verwerkt. Hier dient ook toegelicht te worden hoe het

principe van Privacy by Design en Privacy by Default wordt toegepast op deze programma’s.

Er worden virusscans uitgevoerd en back-ups gemaakt. Er dient toegelicht te worden hoe dit

wordt gedaan, bijvoorbeeld automatisch of handmatig en met welke frequentie. Ook dient

aangegeven te worden welke programma’s hierbij gebruikt worden. Er worden back-ups

gemaakt op harde schijven die buiten de organisatie worden bewaard. Er dient beschreven

te worden hoe gegarandeerd wordt dat deze back-ups beveiligd zijn. Tevens dient er

aangegeven te worden of er ook nog andere back-ups worden gemaakt, bijvoorbeeld op een

interne server of in de Cloud. Hierbij dient ook toegelicht te worden wat de rol is van de

leverancier(s) die de updates en revisies verzorgen. Er dient uitgelegd te worden hoe vaak er

wordt gecontroleerd of deze nodig zijn.

Tevens zal er omschreven moeten worden in deze procedure hoe er wordt omgegaan met

een datalek. Het moet duidelijk worden hoe een eventueel datalek voorkomen kan worden,

hoe dit wordt geregistreerd en eventueel gemeld wordt aan de AP. Ook eventuele

datalekken bij verwerkers dienen bijgehouden te worden.

Ook dient er beschreven te worden hoe ervoor gezorgd wordt dat werknemers die uit dienst

treden of langdurig ziek worden, niet meer bij bepaalde gegevens kunnen door bijvoorbeeld

hun account te blokkeren.

In het kader van het wissen van persoonsgegevens dient aangegeven te worden hoe

persoonsgegevens na de bewaartermijn volledig gewist worden.

De locaties van de werkauto’s worden uitgelezen, waardoor werknemers gevolgd kunnen

worden. Er dient toegelicht te worden hoe lang en waar deze gegevens worden opgeslagen.

Tevens dient toegelicht te worden hoe er wordt omgegaan met het feit dat er

persoonsgegevens van werknemers worden verzameld bij klanten. Werknemers krijgen

bijvoorbeeld geregeld pasjes waarmee zij toegang krijgen tot een bepaald terrein.

Daarnaast dient toegelicht te worden of er logging plaatsvindt binnen de systemen van welke

controles er worden uitgevoerd voor het systeem met bijbehorend resultaat of welke

werknemers hebben gewerkt met bepaalde persoonsgegevens. Dit kan helpen bij het

opsporen van een datalek.

Als laatste dient toegelicht te worden welke IT systemen er precies worden gebruikt en of er

databases worden gekoppeld. Indien dit het geval is dient er toegelicht te worden hoe ervoor

gezorgd wordt dat dit veilig gebeurt. Ook dient benoemd te worden hoe de beveiliging van

alle IT systemen in het algemeen getest wordt en met welke frequentie dit gebeurt.

4.3.1.3. Bewaartermijnen

De bewaartermijnen van persoonsgegevens zullen moeten worden herzien in de procedures.

Persoonsgegevens worden nu te lang of zelfs te kort bewaard. Financiële gegevens worden

nu tien jaar bewaard in plaats van zeven jaar. Klantgegevens daarentegen worden vijf jaar

bewaard, terwijl deze ook zeven jaar bewaard dienen te worden voor de Belastingdienst.

Gegevens over onroerende zaken dienen wel tien jaar bewaard te worden. In het kader van

de opslagbeperking die geldt onder de AVG, dienen deze bewaartermijnen aangepast te

worden.

27

4.3.1.4. Beveiliging van persoonsgegevens

Er worden diverse documenten die persoonsgegevens bevatten verstuurd via de post of

e-mail naar externen. Er dient beschreven te worden hoe de beveiliging hierbij wordt

gewaarborgd. E-mails kunnen bijvoorbeeld versleuteld of beveiligd met een wachtwoord

worden verstuurd. Bij verzending via de post kan een melding worden gemaakt van

vertrouwelijkheid door bijvoorbeeld een sticker op de envelop te plakken met vertrouwelijk

erop of de vertrouwelijkheid op te nemen in de adresregel indien een envelop een venster

heeft.

Daarnaast hebben medewerkers een digitale agenda. Er dient beschreven te worden welke

personen hierbij kunnen en of dit nodig is.

Tevens staan alle digitale handtekeningen van werknemers en het management in een

openbare map in het systeem. Dit is niet toegestaan in het kader van de AVG en deze

dienen daarom afgeschermd te worden.

Bovendien dient nader gespecificeerd te worden hoe personeelsgegevens worden beveiligd,

gezien het feit dat dit gevoelige persoonsgegevens zijn en hier daarom voorzichtig mee

omgegaan moet worden. Dit geldt ook voor de persoonsgegevens van uitzendkrachten of

medewerkers van derden, indien hiermee gewerkt wordt.

4.3.1.5. Verwerkersovereenkomsten

Er dient beschreven te worden met welke derde partijen wordt samengewerkt en met welke

van deze partijen een verwerkersovereenkomst is gesloten. Dit komt nu in de procedures

niet duidelijk naar voren. Er zal met de partijen waarmee nog geen verwerkersovereenkomst

is gesloten, alsnog een dergelijke overeenkomst gesloten dienen te worden.

4.3.1.6. Direct marketing

In het kader van nazorg wordt de klant na het afronden van de werkzaamheden gebeld om

deze te evalueren. Er staat in de procedure dat de klant regelmatig gebeld wordt. Het is

raadzaam om te benoemen hoe vaak de klant hiervoor gebeld wordt. Tevens wordt aan de

klant gevraagd of zij in de toekomst nog gebruik wil maken van nazorg en of, en op welke

termijn, zij hiervoor benaderd wil worden. Dit wordt dan in het systeem bij het betreffende

dossier genoteerd. Indien de klant niet meer benaderd wil worden, dan wordt zij verwijderd

van de lijst met klanten die teruggebeld dienen te worden en wordt dit aangegeven in het

systeem in het betreffende dossier. Het zou handig zijn als er een veld in het systeem wordt

gemaakt waar aangegeven kan worden welke klant wel of geen toestemming heeft gegeven,

wanneer dit is gedaan en bij welke medewerker. Hierbij kan dan ook worden aangegeven als

de klant niet teruggebeld wil worden. Dit moet gezien worden als een vorm van direct

marketing, namelijk telemarketing. Het doel is namelijk niet alleen het verlenen van nazorg

maar ook het eventueel binnenhalen van nieuwe opdrachten. Dit dient opgenomen te

worden in de procedure over nazorg.

Dit geldt eveneens voor het klanttevredenheidsonderzoek. Klanten worden na afloop van de

werkzaamheden gebeld voor een klanttevredenheidsonderzoek. Vaste klanten worden één

keer per jaar gebeld. Het uitvoeren van een dergelijk onderzoek is geen onderdeel meer van

de overeenkomst. Daarom is het raadzaam om aan klanten toestemming te vragen, zodat zij

kunnen aangeven of zij willen meewerken aan een dergelijk onderzoek. Dit zou bijvoorbeeld

opgenomen kunnen worden in de offerte of middels een toestemmingsformulier voorgelegd

kunnen worden aan de klant. Klanten hebben namelijk het recht van verzet bij telemarketing.

Het houden van een klanttevredenheidsonderzoek valt onder telemarketing, omdat het doel

naast het peilen van de klanttevredenheid ook is het verkrijgen van vervolgopdrachten. Als

28

een klant zich verzet, mag zij niet meer gebeld worden. Een klant die in een Bel-Me-Niet-

Register staat mag ook niet worden benaderd, tenzij dit een bestaande klant is. Dit valt onder

de uitzondering, tenzij deze zich vervolgens beroept op het recht van verzet. Tijdens elk

gesprek dient de klant gewezen te worden op het recht van verzet en het Bel-Me-Niet-

Register. Dit dient opgenomen te worden in de procedure over klanttevredenheid.

4.3.1.7. Gegevens over de gezondheid

Er wordt benoemd dat bij het nuttigen en/of binnenbrengen van alcohol en drugs disciplinaire

maatregelen volgen. Er worden echter geen preventieve of incidentele alcohol- of

drugstesten afgenomen bij de werknemers. Het is raadzaam om dit te vermelden, aangezien

dit niet meer is toegestaan onder de AVG.

Tevens wordt, als een werknemer zich ziekmeldt, gevraagd naar de oorzaak van het

verzuim. Dit mag een werkgever niet vragen. het vaststellen van ziekte en/of diagnosen is

voorbehouden aan een (bedrijfs)arts. Dit dient uit de procedure gehaald te worden en ook

niet meer te worden verwerkt in het systeem of de salarisadministratie. De ziekmeldingen

worden doorgegeven aan de Arbodienst. De Arbodienst verwerkt in dit geval wel

persoonsgegevens van de organisatie, maar bepaalt zelf het doel en de middelen voor de

verwerking. Hierdoor is zij ook verwerkingsverantwoordelijke en hoeft met deze partij geen

verwerkersovereenkomst gesloten te worden.

Tevens mag de werkgever niet altijd medische gegevens in het kader van bedrijfsongevallen

verwerken. De werkgever is niet in elke situatie verplicht deze te melden bij de inspectie

SZW en in een dergelijke situatie mogen er dan ook geen medische gegevens worden

verwerkt. Als de werkgever dit toch wil bijhouden, dient dit anoniem te gebeuren waardoor de

medische gegevens niet meer te linken zijn aan één persoon en het daarmee geen

persoonsgegevens meer zijn. Indien een werknemer uitdrukkelijke toestemming geeft voor

het verwerken van deze gegevens, mag dit wel.

Ook wordt binnen de organisatie de mogelijkheid geboden voor werknemers om vrijwillig een

medische keuring uit te laten voeren. Er dient gespecificeerd te worden wat er met deze

gegevens wordt gedaan. Tevens dient aangegeven te worden of de werkgever deze

gegevens ontvangt en of deze dan bijvoorbeeld in het personeelsdossier worden bewaard.

De werkgever mag medische gegevens die voortkomen uit een vrijwillige medische keuring

in principe niet ontvangen. Dit mag alleen als de werknemer hier toestemming voor geeft. Er

wordt reeds een toestemmingsformulier ingevuld door werknemers om aan te geven dat zij

gebruik wensen te maken van een medische keuring. Via dit formulier zou de werknemer op

een eenvoudige wijze tevens wel of geen toestemming kunnen geven voor het feit dat de

werkgever de resultaten van de medische keuring ontvangt.

4.3.1.8. Risicomanagement

In de cyclus van risicomanagement wordt momenteel de verwerking van persoonsgegevens

niet meegenomen. Dit zou wel eenvoudig kunnen. Het is van belang dat er eerst een Data

Protection Impact Assessment wordt uitgevoerd. Hierbij dient gekeken te worden naar welke

persoonsgegevens er binnen de organisatie worden verwerkt, met welk doel, een

beoordeling van de noodzaak en de evenredigheid van de verwerking van de

persoonsgegevens in verhouding met de doeleinden, een beoordeling van de risico’s voor de

rechten en vrijheden van de betrokkenen en de beoogde maatregelen om deze risico’s te

voorkomen. Hieronder valt ook het goed beveiligen van persoonsgegevens. Hierbij dienen

tevens de maximale bewaartermijnen voor persoonsgegevens te worden weergegeven,

zodat duidelijk is wanneer bepaalde persoonsgegevens vernietigd dienen te worden. Deze

gegevens dienen vervolgens overzichtelijk te worden vastgelegd in een verwerkingsregister.

Een Excel bestand is in dit geval voldoende. De resultaten van dit assessment dienen

29

regelmatig geëvalueerd te worden. De termijnen die gehanteerd worden in het kader van de

ISO 9001 norm zijn ook voor de AVG toereikend. De AVG kan meegenomen worden in de

cycli van risicomanagement in het kader van de ISO 9001 norm. De resultaten van het

assessment dienen alleen vaker geëvalueerd te worden als er zich veranderende

omstandigheden voordoen, zoals dat er gewerkt gaat worden met nieuwe technologieën of

dat persoonsgegevens worden verwerkt voor andere doeleinden dan eerder beschreven. Dit

dient beschreven te worden in de procedures die betrekking hebben op risicomanagement.

4.3.1.9. Persoonsgegevens nieuwe werknemers

Het verzamelen van pasfoto’s en digitale handtekeningen van werknemers is niet

noodzakelijk. De pasfoto’s zijn voor het veiligheidspaspoort dat, zoals eerder benoemd, niet

verplicht is. Daarnaast kunnen documenten ook fysiek worden ondertekend. De werknemer

zou de keuze moeten krijgen of hij/zij deze persoonsgegevens wil verstrekken. Hierover zou

iets opgenomen kunnen worden in het formulier ‘’Persoonsgegevens’’, waar de werknemer

voor kan tekenen.

4.3.1.10. Vertrouwenspersoon

Werknemers kunnen voor vertrouwelijke zaken terecht bij een vertrouwenspersoon. Hierbij

dient aangegeven te worden of dit gesprek schriftelijk wordt vastgelegd, of dit vervolgens ook

wordt bewaard in het personeelsdossier of dat er iets anders met deze informatie wordt

gedaan. Tevens is de vertrouwenspersoon de algemeen directeur. Het is onwaarschijnlijk dat

werknemers hier vrijelijk kunnen praten zonder dat dit zorgt voor scheve verhoudingen op de

werkvloer. Het is raadzaam om hiervoor een ander persoon aan te wijzen binnen de

organisatie.

4.3.2. Formulieren

De meeste formulieren voldoen aan de AVG omdat er middels deze formulieren niet meer

persoonsgegevens worden verzameld dan dat nodig is voor het doel. De reden dat sommige

formulieren niet voldoen aan de AVG is omdat er middels deze formulieren te veel

persoonsgegevens worden verzameld of persoonsgegevens worden verzameld die niet

verzameld mogen worden. Een voorbeeld hiervan is het registreren van (bijna) ongevallen.

Hierbij worden gegevens over de gezondheid van werknemers verzameld. Een werkgever is

niet altijd verplicht om bedrijfsongevallen te melden bij de inspectie SZW en in deze situaties

is het verzamelen van deze persoonsgegevens niet nodig. Het bijhouden van deze gegevens

is wel mogelijk door dit anoniem te doen, zodat het niet meer te herleiden is naar één

persoon en daarmee geen persoonsgegeven meer is. Indien een werknemer uitdrukkelijke

toestemming geeft voor het verwerken van deze gegevens, mag dit wel. Ook worden in dit

kader namen van eventuele getuigen genoteerd, dit kan niet zomaar zonder toestemming

van een derde gedaan worden. Deze gezondheidsgegevens worden opgeslagen in het

betreffende dossier van het project. Hier kan iedereen bij en dit is daarom geen wenselijke

situatie.

Tevens worden deze gegevens doorgezonden naar de arbodienst en naar de opdrachtgever.

De arbodienst dient in bepaalde gevallen gezondheidsgegevens te ontvangen. Een

opdrachtgever daarentegen mag geen gezondheidsgegevens van werknemers ontvangen.

Er bestaat een overzichtsformulier van (bijna) ongevallen, dit formulier dient ook

geanonimiseerd te worden. Indien een werknemer uitdrukkelijke toestemming geeft voor het

verwerken van deze gegevens, mag dit wel.

Daarnaast bestaat er een formulier dat werknemers invullen als zij in dienst treden bij de

organisatie. Middels dit formulier worden medische gegevens, privételefoonnummers en

contactgegevens van personen die gebeld kunnen worden bij een noodgeval verzameld.

30

Medische gegevens mogen niet op deze wijze expliciet worden opgevraagd. Indien een

werknemer uitdrukkelijke toestemming geeft voor het verwerken van deze gegevens, mag dit

wel. De werknemers hebben een zakelijke telefoon, waardoor een privételefoonnummer

overbodig is en daarom niet moet worden verwerkt. Contactgegevens van personen die

gebeld kunnen worden bij noodgevallen, dient de werknemer niet verplicht op te geven en de

werkgever is niet verplicht om deze gegevens op te vragen. Het wel of niet verstrekken van

deze contactgegevens dient daarom een keuze te zijn van de werknemer.155

4.3.3. Werkinstructies

Alle werkinstructies waarin persoonsgegevens worden verwerkt voldoen aan de AVG. Dit

komt doordat er niet meer persoonsgegevens worden verwerkt dan dat nodig is voor het doel

en er geen persoonsgegevens worden opgevraagd die niet zouden mogen worden

opgevraagd. Deze werkinstructies hoeven daarom niet aangepast te worden.156

4.4. Algemene opmerkingen naar aanleiding van praktijkonderzoek

• In de procedures is niets opgenomen over marketing. Het is wellicht raadzaam om,

naast de toelichting in de procedures over nazorg en klanttevredenheid, hier een

nieuwe procedure voor te schrijven. In deze procedure zal dan conform de AVG het

volgende in vermeldt dienen te worden:

❖ Wat wordt er precies gedaan door de organisatie op het gebied van

marketing? Ik heb bijvoorbeeld tijdens mijn onderzoek geconstateerd dat er

nieuwsbrieven worden verstuurd naar klanten. Dit is een vorm van direct

marketing. Hier zijn regels aan verbonden. Bijvoorbeeld het inbouwen van een

opt-out functie waardoor mensen zich gemakkelijk kunnen afmelden voor een

nieuwsbrief. Tevens kan gedacht worden aan het maken van analyses.

Gebeurt dit binnen de organisatie en met welk doel? Ik heb tijdens mijn

onderzoek ook geconstateerd dat er klanten nagebeld worden om zo nieuwe

opdrachten binnen te halen. Dit is ook een vorm van direct marketing,

namelijk telemarketing.157 Dit dient dan ook in deze procedure opgenomen te

worden.

• Er is binnen het bedrijf geen privacybeleid beschikbaar. Het zou raadzaam zijn om dit

bijvoorbeeld intern op te nemen in de arbeidsovereenkomst of het

personeelsreglement. Om externe partijen op de hoogte te stellen over het

privacybeleid zou er een privacystatement gepubliceerd kunnen worden op de

website of er zou een paragraaf aan gewijd kunnen worden in de offerte of de

algemene voorwaarden.

• Op de website van de organisatie kunnen mensen hun persoonsgegevens

achterlaten voor het maken van een afspraak. Hier kan worden ingevuld: voor- en

achternaam, telefoonnummer en e-mailadres. De website beschikt niet over een SSL

certificaat, waardoor dergelijke persoonsgegevens niet veilig kunnen worden

achtergelaten door derden. Het is raadzaam een SSL certificaat aan te vragen. Het

kopje ‘’niet beveiligd’’ zal dan worden vervangen door ‘’beveiligd’’. Een dergelijk

certificaat kan aangevraagd worden bij de hostingprovider.

155 Bijlage 2. 156 Bijlage 3. 157 Vragen over telemarketing, www.autoriteitpersoonsgegevens.nl

31

• Op de website van de organisatie staan foto’s van de werknemers. Het is raadzaam

om voor het gebruik van deze foto’s toestemming te vragen aan de werknemers

middels een toestemmingsformulier. Gezien het feit dat het verwerken van deze

persoonsgegevens niet noodzakelijk is, is dit de enige passende rechtsgrond.

• Het is niet duidelijk met welke externe partijen nu wel of geen

verwerkersovereenkomst is afgesloten. Het is raadzaam in een overzicht weer te

geven met welke externe partijen wordt samengewerkt en met deze partijen een

verwerkersovereenkomst af te sluiten. Denk hierbij bijvoorbeeld aan: een accountant,

een jurist of advocaat, IT bedrijven, externe salarisadministratie, uitzendbureaus,

beveiligingsbedrijven, pensioenfondsen, leasemaatschappijen voor auto’s etc.

• Het is raadzaam om een procedure op te nemen waarin staat beschreven welke

persoonsgegevens er worden doorgegeven aan externe partijen in het buitenland en

hoe wordt gewaarborgd dat aan de regels wordt voldaan die hieromtrent gelden.

• Er is geen procedure aanwezig waarin wordt toegelicht hoe betrokkenen hun rechten

uit de AVG kunnen uitoefenen. Waar kunnen externen of werknemers een klacht

indienen? Wat wordt hiermee gedaan? Binnen welke termijn? Dit zijn allemaal zaken

die vastgelegd dienen te worden.

• Er is geen procedure aanwezig omtrent sollicitanten. Het is raadzaam om hiervoor

een procedure te maken. Ik heb tijdens mijn onderzoek geconstateerd dat hierover

geen duidelijkheid bestaat en dat persoonsgegevens van sollicitanten erg lang

bewaard worden. Deze dossiers gaan terug tot 2015, terwijl de maximale

bewaartermijn hiervoor, na afronding van de sollicitatieprocedure, vier weken

bedraagt en met toestemming van de sollicitant maximaal één jaar.158 Dit geldt zowel

voor fysieke als digitale documentatie.

• In de organisatie is de bewustwording omtrent de AVG vrij laag. Het is aan het

management om de bewustwording binnen de organisatie te vergroten. Het moet

voorop staan dat het voldoen aan de AVG een continu proces is, een werkwijze,

geen éénmalige inspanning.


Concluderend kan gesteld worden dat de ISO 9001 werkprocessen waarin

persoonsgegevens worden verwerkt nog niet voldoen aan de AVG. Alle werkinstructies en

het merendeel van de formulieren, die bij de werkprocessen horen, waarin

persoonsgegevens worden verwerkt, voldoen wel aan de AVG, omdat hierin niet meer

persoonsgegevens worden verwerkt dan nodig is voor de doeleinden. De reden dat sommige

formulieren niet voldoen aan de AVG, is omdat er middels deze formulieren te veel

persoonsgegevens worden verzameld voor de doeleinden of persoonsgegevens worden

verwerkt die niet verwerkt mogen worden. Daarnaast voldoet een gedeelte van de

procedures nog niet aan de AVG. De reden hiervan is dat deze procedures meer uitleg

behoeven en dat er te veel persoonsgegevens worden verwerkt. Het uitleggen van de

procedures heeft als doel helder te krijgen hoe met bepaalde zaken om wordt gegaan binnen

de organisatie, zoals bijvoorbeeld: bewaartermijnen, beveiliging, archivering, Privacy by

158 AVG: hoe lang mag u persoonsgegevens bewaren?, www.abab.nl

32

Design en Privacy by Default, verwerking van bijzondere persoonsgegevens, automatisering,

omgang met eventuele datalekken, direct marketing en risico’s die zich voor kunnen doen.

Per formulier, werkinstructie of procedure is aangegeven wat er aangepast dient te worden,

zodat voldaan wordt aan de AVG. Deze aanpassingen staan in de tabellen in de bijlagen.

Tevens zijn er nog een aantal algemene aanpassingen aanbevolen omtrent procedures en

zaken die nog missen binnen de organisatie, maar die conform de AVG wel nodig zijn. Als

deze aanpassingen zijn geïmplementeerd, dan is er binnen de organisatie meer duidelijkheid

over hoe er gewerkt dient te worden met de AVG en voldoet de organisatie aan de regels

hieromtrent.

Hoofdstuk 5: conclusies en aanbevelingen

5.1. Inleiding

Als sluitstuk van dit onderzoek zullen in dit hoofdstuk de conclusies uit dit onderzoek worden

weergegeven.159 Zij vormen een antwoord op de centrale vraag en de deelvragen.

Daaropvolgend zullen de aanbevelingen worden toegelicht. Aangezien het creëren van een

werkwijze die voldoet aan de AVG centraal staat in dit onderzoeksrapport, is gekozen voor

praktische aanbevelingen die handvatten geven om de AVG praktisch te implementeren

binnen de organisatie.

5.2. Conclusies

De bedrijfsprocessen van de organisatie zijn ingericht volgens de ISO 9001 norm. Om te

kunnen voldoen aan de AVG zijn de procedures, formulieren, checklists en werkinstructies

getoetst aan de AVG en deze zullen vervolgens herschreven dienen te worden.

Allereerst is de AVG bekeken en is bepaald welke artikelen voor Solid Services BV relevant

zijn, om zo het wettelijk kader te bepalen dat voor de organisatie geldt. De onderwerpen uit

de AVG die voor Solid Services BV vooral relevant zijn, zijn: de wettelijke grondslagen, de

beginselen die gelden voor de verwerking van persoonsgegevens, de vereisten voor

toestemming, artikelen met betrekking tot direct marketing, het verwerken van bijzondere

persoonsgegevens, rechten van betrokkenen, het treffen van organisatorische en technische

maatregelen, beveiliging van persoonsgegevens, regels omtrent datalekken, het in kaart

brengen van risico’s door middel van een Data Protection Impact Assessment, regels

omtrent het verzenden van persoonsgegevens naar het buitenland, het opstellen van een

verwerkingsregister en het sluiten van verwerkersovereenkomsten met derde partijen

waarmee wordt samengewerkt. Onderwerpen uit de AVG waar de organisatie nu nog geen

rekening mee hoeft te houden, maar eventueel in de toekomst wel, zijn: het aanstellen van

een FG en het eventueel aanvragen van een certificering. Voor de nadere invulling van

bepaalde artikelen uit de AVG is tevens de Uitvoeringswet Algemene verordening

gegevensbescherming bekeken.

Om te achterhalen hoe de ISO 9001 norm en de AVG zich tot elkaar verhouden en in

hoeverre de ISO 9001 werkprocessen herschreven kunnen worden, zonder dat de ISO 9001

certificering in het geding komt, zijn een drietal interviews gehouden met deskundigen uit de

praktijk. Uit deze interviews kwam vooral naar voren dat de ISO 9001 norm ziet op een

kwaliteitsmanagementsysteem. Binnen dit managementsysteem moet er voldaan worden

aan geldende weten regelgeving. De AVG is dergelijke weten regelgeving en daarom

dient de AVG meegenomen te worden in het kwaliteitsmanagementsysteem. De ISO 9001

norm biedt daarom voldoende ruimte om de AVG te implementeren binnen de organisatie en

159 van Schaaijk 2015, p. 241.

33

de werkprocessen kunnen herschreven worden zonder dat dit consequenties heeft voor de

ISO 9001 certificering. Daarnaast is de AVG een Europese verordening en zijn NEN-normen,

waaronder ook de ISO 9001 norm, niet bindende regels van privaatrechtelijke aard die

binnen een bepaalde branche als bindend worden gehanteerd en daarmee een vorm van

zelfregulering zijn. Hiërarchisch gezien staat een verordening op Europees niveau hoger dan

branche gerelateerde, niet bindende regels. De AVG heeft daarom voorrang op de ISO 9001

norm. Tevens zijn ISO normen een concrete invulling van het wettelijk kader, die een

branche handvatten geven voor de implementatie van bepaalde weten regelgeving en een

standaard stellen. Gezien het feit dat de AVG het wettelijk kader is en één van de vereisten

van de ISO 9001 norm is dat er voldaan moet worden aan relevante weten regelgeving,

kan de ISO 9001 norm logischerwijs niet conflicteren met de AVG.

Vervolgens zijn de bedrijfsprocessen getoetst aan het wettelijk kader van de AVG.

Concluderend kan gesteld worden dat de ISO 9001 bedrijfsprocessen waarin

persoonsgegevens worden verwerkt nog niet voldoen aan de AVG. Alle werkinstructies en

het merendeel van de formulieren, die bij de werkprocessen horen, waarin

persoonsgegevens worden verwerkt, voldoen wel aan de AVG, omdat hierin niet meer

persoonsgegevens worden verwerkt dan nodig is voor de doeleinden. De reden dat sommige

formulieren niet voldoen aan de AVG, is omdat er middels deze formulieren te veel

persoonsgegevens worden verzameld voor de doeleinden of persoonsgegevens worden

verwerkt die niet verwerkt mogen worden. Daarnaast voldoet een gedeelte van de

procedures nog niet aan de AVG. De reden hiervan is dat deze procedures meer uitleg

behoeven. De meeste procedures beschrijven nu onvoldoende hoe er rekening wordt

gehouden met de AVG of de AVG wordt helemaal niet betrokken in deze procedures.

Tevens dienen de bewaartermijnen nader bekeken en beschreven te worden. De meeste

persoonsgegevens worden nu te lang of te kort bewaard. Als persoonsgegevens te lang

worden bewaard, dan is dit in strijd met de opslagbeperking die geldt onder AVG.

Persoonsgegevens mogen namelijk niet langer worden bewaard dan dat nodig is voor het

doel waarvoor de persoonsgegevens worden verwerkt. Indien persoonsgegevens te kort

worden bewaard, kan de organisatie deze persoonsgegevens niet overhandigen bij

bijvoorbeeld een audit van de Belastingdienst of de AP. Afhankelijk van het soort

persoonsgevevens dat wordt verwerkt, moet bepaald worden of deze gegevens te kort of te

lang bewaard worden. Hiervoor kan geen algemene termijn worden gehanteerd.

Als de procedures beter toegelicht zijn, heeft de organisatie meer helderheid over hoe met

bepaalde zaken om wordt gegaan, zoals bijvoorbeeld: bewaartermijnen, beveiliging,

archivering, Privacy by Design en Privacy by Default, verwerking van bijzondere

persoonsgegevens, automatisering, omgang met eventuele datalekken, direct marketing en

risico’s die zich voor kunnen doen. Daarnaast worden er middels sommige procedures te

veel persoonsgegevens verwerkt. Per formulier, werkinstructie, checklist of procedure is

aangegeven wat er aangepast dient te worden, zodat voldaan wordt aan de AVG. Deze

aanpassingen staan in de tabellen in de bijlagen. Tevens zijn er nog een aantal algemene

aanpassingen aanbevolen omtrent procedures en zaken die nog missen binnen de

organisatie, maar die conform de AVG wel nodig zijn.

Vervolgens is bekeken welke criteria de AP hanteert bij het beoordelen of een organisatie

voldoet aan de AVG. De Autoriteit Persoonsgegevens bekijkt of organisaties in

overeenstemming handelen met de AVG. Daarnaast stelt de AP zelf aanvullende regels op

met betrekking tot de AVG. Het is raadzaam de website van de AP regelmatig te raadplegen

voor nieuwe nadere regelgeving. Deze informatie is openbaar en voor iedereen toegankelijk.

34

Concluderend kan gesteld worden dat als Solid Services BV door middel van de formulieren,

waarin persoonsgegevens worden verwerkt, alléén persoonsgegevens verwerkt die zij nodig

heeft voor de doelen waarvoor de persoonsgegevens worden verwerkt en daarnaast geen

persoonsgegevens opvraagt die niet opgevraagd mogen worden, deze formulieren voldoen

aan de AVG. De werkinstructies waarin persoonsgegevens worden verwerkt, voldoen

allemaal aan de AVG. De procedures dienen op diverse punten nader toegelicht te worden

en de persoonsgegevens die niet verwerkt mogen worden, dienen niet meer verwerkt te

worden. Tevens dienen persoonsgegevens die niet relevant zijn voor het beoogde doel, niet

meer verwerkt te worden. Indien dit is aangepast, voldoen de procedures aan de AVG.

Als al deze aanpassingen zijn geïmplementeerd, dan is er binnen de organisatie meer

duidelijkheid over hoe er gewerkt dient te worden met de AVG en voldoet de organisatie aan

de regels hieromtrent.

5.3. Aanbevelingen

Onderstaand zullen de aanbevelingen, die voortvloeien uit de conclusies van dit onderzoek,

worden toegelicht. Deze aanbevelingen bevatten praktische handvatten over hoe de

organisatie haar processen kan aanpassen, zodat zij voldoet aan de AVG.

❖ Het is van belang dat er een hoger niveau van bewustwording wordt

gecreëerd omtrent de AVG binnen de organisatie, om ervoor te zorgen dat er

conform de AVG wordt gewerkt. Dit kan bijvoorbeeld door het geven van

voorlichtingen of door dit onderwerp op de agenda te zetten van het

werkoverleg;

❖ Er dient in beeld gebracht te worden welke persoonsgegevens er binnen de

organisatie worden verwerkt, met welk doel dit gebeurt en wat hier de

rechtsgrond voor is. Deze gegevens kunnen de basis vormen voor het

verplicht gestelde verwerkingsregister. Een overzicht in Excel zou al volstaan;

❖ Het is belangrijk dat de procedures en formulieren die niet voldoen aan de

AVG, herschreven worden. Hierbij is het van belang dat duidelijk wordt

beschreven wat er concreet gedaan wordt om te voldoen aan de AVG en dat

dit dan vervolgens ook gehanteerd wordt. Het enkel schriftelijk vastleggen van

procedures is niet voldoende;

❖ De bewaartermijnen van persoonsgegevens dienen te worden herzien en

herschreven in de procedures, sommige persoonsgegevens worden nu te

lang bewaard of juist te kort;

❖ Binnen de organisatie dient een DPIA uitgevoerd te worden. Het is praktisch

gezien het handigst om deze gelijktijdig uit te voeren met de risicoanalyses die

volgens de ISO 9001 norm al plaatsvinden. De frequentie hiervan is ook

voldoende volgens de AVG. De eerste keer zal dan wellicht afwijkend zijn

omdat een DPIA op korte termijn uitgevoerd dient te worden;

❖ Het aanstellen van een FG is op dit moment volgens de AVG niet verplicht.

Om er zeker van te zijn dat de AVG goed en op korte termijn

geïmplementeerd wordt, is het wellicht toch handig om binnen de organisatie

iemand aan te wijzen die de voortgang hieromtrent bewaakt. Dit zou

35

eventueel de persoon kunnen zijn die zich momenteel al bezig houdt met de

ISO 9001 normering;

❖ Naast een eventuele certificering voor de AVG zou er ook gekeken kunnen

worden naar een certificering voor de ISO 27001. Dit is de standaard voor

informatiebeveiliging. Hierdoor heeft deze norm veel overeenkomsten met de

AVG. Deze ISO norm zou kunnen helpen bij het voldoen aan de AVG en het

aantonen daarvan aan derden;

❖ Op het gebied van automatisering is er binnen de procedures nog veel

onduidelijk. Het is van belang dat dit proces nader geëvalueerd wordt en

duidelijk in beeld gebracht wordt wat de rol is van leveranciers in het kader

van het verzorgen van updates, virusscans, checks e.d. Daarnaast is het van

belang dat duidelijk wordt hoe persoonsgegevens, eventuele back-ups en

bestanden in de Cloud e.d. worden beveiligd;

❖ Het beginsel van Privacy by Design en Privacy by Default kan nog beter

worden toegepast. Er moet gekeken worden hoe de software zo privacy

vriendelijk mogelijk kan worden ingericht. Daarnaast moet er kritisch bekeken

worden wie er momenteel bij welke persoonsgegevens kan en of dit

noodzakelijk is. Indien dit niet het geval is, moeten bepaalde

persoonsgegevens worden afgeschermd voor bepaalde personen;

❖ In de procedures die betrekking hebben op het werken met fysieke dossiers

dient aangegeven te worden welke personen bij deze informatie kunnen en

waarom dit noodzakelijk is;

❖ Het clean desk principe en het locken van computers dient meer onder de

aandacht gebracht te worden. Het gebeurt nu te vaak dat werknemers hun

werkplek verlaten zonder hun computer te locken of privacygevoelige

gegevens op de bureaus liggen als werknemers niet aanwezig zijn op het

kantoor. Hierdoor kan iedereen bij deze persoonsgegevens en dat is niet de

bedoeling. Dossiers kunnen opgeborgen worden in de hiervoor bestemde

kasten. Sommige kantoren kunnen op slot. Dit dient ook gedaan te worden als

de betreffende medewerker niet aanwezig is. Om ervoor te zorgen dat

werknemers meer bekend raken met het locken van hun computer, zou bij het

nalaten hiervan een blokkade van de computer voor een paar minuten ingezet

kunnen worden, met een vermelding van het nalaten;

❖ Er dient een procedure geschreven te worden over hoe er omgegaan wordt

met een datalek, dit kan geïntegreerd worden in de procedure omtrent

automatisering;

❖ Er dient beschreven te worden in een procedure, naast de toelichting in de

procedures omtrent nazorg en klanttevredenheid, wat er precies omtrent

marketing wordt gedaan. Dit geldt ook voor direct marketing, zoals:

telemarketing en/of digitale direct marketing, zoals nieuwsbrieven;

❖ Er dient in kaart gebracht te worden aan welke derde partijen

persoonsgegevens worden verstrekt. Dit geldt ook voor derden in het

buitenland. Hiervoor dient een procedure opgenomen te worden;

36

❖ Met alle derde partijen dient een verwerkersovereenkomst gesloten te

worden. Hiervoor kan de standaardovereenkomst in bijlage 5 als uitgangspunt

worden gebruikt;

❖ Het is aan te raden om beleid te maken over hoe betrokkenen hun rechten uit

de AVG kunnen uitoefenen. Dit kan bijvoorbeeld via een privacystatement op

de website of een passage in de offerte of de algemene voorwaarden voor

externen en middels een passage in het personeelshandboek of de

arbeidsovereenkomst voor werknemers;

❖ De website beschikt niet over een SSL certificaat. Hierdoor kunnen derden

niet veilig hun persoonsgegevens achterlaten. Het is raadzaam een dergelijk

certificaat aan te vragen bij de hostingprovider. De aanduiding ‘’niet beveiligd’’

zal dan worden vervangen door ‘’beveiligd’’;

❖ Op de website staan foto’s van de werknemers. Hiervoor dient toestemming

gevraagd te worden. Dit kan het makkelijkste gedaan worden middels een

toestemmingsformulier;

❖ Het is raadzaam om een procedure op te nemen over het proces rondom

sollicitanten. Het is nu niet precies duidelijk welke persoonsgegevens in dat

kader worden verwerkt, met welk doel en hoe lang deze persoonsgegevens

bewaard dienen te worden.

37

Bronnenlijst

Wet- en regelgeving

Algemene verordening gegevensbescherming

Article 29 Working Party, Guidelines on Consent under Regulation 2016/679

Article 29 Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and

determining whether processing is "likely to result in a high risk" for the purposes of

Regulation 2016/679

Uitvoeringswet Algemene verordening gegevensbescherming

Literatuur

Ambtenbrink, Vedder 2013.

F. Ambtenbrink, H.H.B. Vedder, Recht van de Europese Unie, Den Haag: Boom Juridische

uitgevers 2013.

Berkvens, Vinken, Wiegerinck, Wolters, Reijner & van Gerwen 2018. J.M.A. Berkvens, S.M.M.C. Vinken, S.R. Wiegerinck, S. Wolters, J. Reijner & M.J.M.G. van

Gerwen, Checklist privacy: privacybeleid in 46 checklists. Van WBP naar AVG en UAVG,

Amsterdam: Berghauser Pont Publishing 2018.

Engelfriet, Chew & Kager 2018.

A. Engelfriet, L. Chew & P. Kager, De Algemene Verordening Gegevensbescherming.

Artikelgewijs commentaar, Amsterdam: Ius Mentis 2018.

Engelfriet, Chew & Kager 2018.

A. Engelfriet, L. Chew & P. Kager, Handboek AVG: compliance in de praktijk,

Amsterdam: Ius Mentis 2018.

Hooghiemstra & Nouwt, in: T&C AVG.

T.F.M. Hooghiemstra & J. Nouwt ‘Commentaar op de AVG’, in: Tekst & Commentaar AVG, Den Haag: Sdu Uitgevers 2018. van Schaaijk 2015.

G.A.F.M. van Schaaijk, Praktijkgericht juridisch onderzoek,

Den Haag: Boom Juridische uitgevers 2015.

Jurisprudentie

HR 9 september 2011, ECLI:NL:HR:2011:BQ8097 (Santander).

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=1004&TRM=Vinken,+S.M.M.C.

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=1004&TRM=Wiegerinck,+S.R.

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/REL?PPN=161375308

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=1004&TRM=Reijner,+J.

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=1004&TRM=Gerwen,+M.J.M.G.+van

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=1004&TRM=Gerwen,+M.J.M.G.+van

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=4&TRM=Checklist

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=4&TRM=privacy

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=4&TRM=privacybeleid

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=4&TRM=46

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=4&TRM=checklists

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=4&TRM=WBP

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=4&TRM=AVG

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=4&TRM=UAVG

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=1018&TRM=Amsterdam

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=1018&TRM=Berghauser

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=1018&TRM=Pont

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=5/CLK?IKT=1018&TRM=Publishing


http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=7/CLK?IKT=1018&TRM=Ius

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=7/CLK?IKT=1018&TRM=Mentis



http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=7/CLK?IKT=4&TRM=Handboek

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=7/CLK?IKT=4&TRM=AVG

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=7/CLK?IKT=4&TRM=compliance

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=7/CLK?IKT=4&TRM=praktijk


http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=7/CLK?IKT=1018&TRM=Ius

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=3/TTL=7/CLK?IKT=1018&TRM=Mentis


http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=5/TTL=1/CLK?IKT=1018&TRM=Den

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=5/TTL=1/CLK?IKT=1018&TRM=Haag

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=5/TTL=1/CLK?IKT=1018&TRM=Boom

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=5/TTL=1/CLK?IKT=1018&TRM=Juridische

http://opc-fontys.oclc.org:8180/xslt/DB=1/SET=5/TTL=1/CLK?IKT=1018&TRM=uitgevers

38

Artikelen

Bastiaans, Bb 2018/24

S. Bastiaans, ‘Privacy in een nieuw jasje: een vergelijking van beschermingsniveau tussen

de Wbp en de AVG’, Bb 2018/24, afl.8, p. 86-88.

van den Hoven van Genderen, Computerrecht 2011/4

R. van den Hoven van Genderen, ‘Hoe hard is de NEN-norm? Bescherming van

persoonsgegevens voor de zorgsector langs de meetlat van NEN 7510’, Computerrecht

2011, afl. 1, art. 4.

Vries, de & Goudsmit, NJB 2016/1077

H. de Vries & M. Goudsmit, ‘Voorsorteren op de Algemene Verordening

Gegevensbescherming’, NJB 2016/1077, afl. 22, p. 1071-1125.

Elektronische bronnen

www.autoriteitpersoonsgegevens.nl

europadecentraal.nl

europa.eu

www.norea.nl

www.rijksoverheid.nl

www.svb.nl

Interviews

Interview met een medewerker van Kiwa

Interview met een medewerker van NEN

Interview met een privacyjurist

Overige bronnen

Checklist WP29

‘’Criteria voor een aanvaardbare gegevensbeschermingseffectbeoordeling’’

Modellen voor de Rechtspraktijk

‘’T.J.M. de Weerd, VIII.5.65 Verwerkersovereenkomst’’

NEN-normen

NEN-EN-ISO 9001 norm

http://www.autoriteitpersoonsgegevens.nl/

http://www.norea.nl/

http://www.rijksoverheid.nl/

http://www.svb.nl/

Juridische Hogeschool Online Catalogus :: Home - …...Onderwijsinstelling: Juridische Hogeschool...

Documents

Transcript of Juridische Hogeschool Online Catalogus :: Home - …...Onderwijsinstelling: Juridische Hogeschool...