Deze website maakt gebruik van cookies. Lees meer of klik hier om te accepteren. Accepteren Lees meer

VCMB - Verbonden door creditmanagement kennis!
VCMB

VCMB Roundtable Juridische gevolgen en de consequenties van AVG voor creditmanagementbranche

De Algemene Verordening Gegevensbescherming (AVG) is in de EU vanaf 25 mei 2018 van toepassing. Vanaf die datum geldt dezelfde privacywetgeving in de hele EU. Nu hebben de lidstaten nog hun eigen nationale wetten, gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland vervalt de Wet Bescherming Persoonsgegevens (Wbp).

Overgangsperiode tussen Wbp en AVG

Eind mei 2016 is de AVG in werking getreden, maar de AVG is pas vanaf 25 mei 2018 van toepassing.

Organisaties die persoonsgegevens verwerken krijgen vanaf 25 mei 2018 meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Van belang is om nu al te onderzoeken of de huidige processen, diensten en goederen op bepaalde punten moet worden aangepast om te voldoen aan de AVG: 25 mei 2018 moet u klaar zijn!

4 elementen cruciaal voor creditmanagement bedrijven

  • Verwerken van persoonsgegevens: In B2C gaat het om de verwerking van gegevens van consumenten, werknemers, bezoekers. In B2B is de AVG van toepassing als de gegevens iets zeggen over een identificeerbaar individu zijn het persoonsgegevens en valt het dus wel degelijk onder de AVG. Bijvoorbeeld zakelijke telefoonnummers die aan een persoon zijn gekoppeld, personeelsadministraties, afbeeldingen met personen erop, locatiegegevens of de omzet van een VOF.
  • Grondslag: toestemming; overeenkomst; gerechtvaardigd belang;
  • Verwerkingsverantwoordelijke;
  • Verwerker

Wat zal uw organisatie moeten checken:

  1. Data protection impact assessment (DPIA) of PIA

Vanaf 25 mei 2018 kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

  1. Functionaris voor de gegevensbescherming (FG)

Is het noodzakelijk of gewenst om binnen uw organisatie een FG aan te stellen. Vanaf 25 mei 2018 kunnen organisaties verplicht zijn een FG aan te stellen, iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.

  • Overheden en publieke organisaties
  • Observatie : voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.
  • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

FG in eigen dienst of extern?

Uit bovenstaande blijkt dat diverse leden van het VCMB een FG moeten aanstellen.

Een FG kan een medewerker zijn, maar een FG kan ook extern worden ingehuurd. Van belang is om te weten dat een FG de AP moet inlichten, de FG werkt naar het belang van de AVG en AP. Om die reden kan het voor veel organisaties gewenst zijn om gebruik te maken van een externe FG.

  1. Recht op dataportabiliteit

Als uw organisatie persoonsgegevens heeft opgeslagen moet u deze data kunnen aanbieden als een persoon hierom vraagt. Naast de reeds bestaande rechten als het recht op inzage en het recht op correctie en verwijdering komen er vanaf 25 mei nieuwe rechten bij

Het recht op dataportabiliteit: ‘

  • Betrokkenen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft.
  • U moet ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
  • Vervolgens kunnen betrokkenen deze gegevens zelf opslaan voor persoonlijk (her)gebruik. Ook kunnen ze de gegevens doorgeven aan een andere organisatie.
  • De organisatie die de gegevens verstrekt, mag betrokkenen hierin niet tegenwerken.
  • De Europese privacy toezichthouders hebben in april 2017 de (definitieve) Guidelines on the right to data portability gepubliceerd die meer uitleg geven over het recht op dataportabiliteit. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp242_rev01_enpdf.pdf
  1. Documenteer al uw gegevensverwerkingen

Voor 25 mei 2018 moet u uw gegevensverwerkingen in kaart brengen:

  • Documenteer welke persoonsgegevens u verwerkt;
  • met welk doel u dit doet;
  • waar deze gegevens vandaan komen;
  • met wie u ze deelt.

Deze administratieplicht houdt in dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Dit overzicht kunt u overigens ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of te verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld. Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag u deze gegevens verwerkt. Beroept u zich bijvoorbeeld op een gerechtvaardigd belang of vraagt u toestemming aan de betrokkenen? 

  1. bewerkersovereenkomsten 

Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, breng dan tijdig de noodzakelijke wijzigingen aan. Want wanneer twee organisaties samen de rol van ‘verantwoordelijke’ hebben, zijn zij onder de AVG (art. 26) ook verplicht om afspraken te maken.

  1. Toestemming vragen

Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

  1. ePrivacy Verordening

De ePrivacy Verordening regelt (onder andere) de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing. De EC stelt voor dat de ePrivacy wetgeving, net als de AVG, een verordening wordt. Een verordening is, in tegenstelling tot een richtlijn, rechtstreeks van toepassing. Dit betekent dat de wetgeving in principe in heel Europa gelijk is, afgezien van kleine uitzonderingen die de lidstaten zelf kunnen maken, zoals we in Nederland zelf hebben ervaren met de cookiewet.

De EC heeft het zeer ambitieuze plan opgevat om ook de ePrivacy Verordening vanaf 25 mei 2018 toe te passen, tegelijk met de AVG. Echter, dit wetsvoorstel moet nog langs het Europees Parlement en de Raad van Ministers.

Dus…

  • FG aanwijzen
  • Verwerking structureel in kaart brengen
  • Analyseren (DPIA) en documenteren
  • Procedures, overeenkomsten, privacy statements, toestemming
  • Maak het verhaal naar de toezichthouder: rechtmatige verwerking,

De presentatie van Ard Jan Dunnik geeft een overzichtelijk beeld van wat organisaties al geregeld moeten hebben, wat nieuw is en welke voorbereidingen essentieel zijn. AVG vraagt om een structureel en continue aanpak. De aandacht voor persoonsgegevens, hoe daar mee om te gaan en door wie kan geen moment meer verzwakken.

Ard Jan Dunnik, procedeert en adviseert op het gebied van privacy, IT, energie en commerciële contracten. Ard Jan treedt op in zowel civiele als bestuursrechtelijke procedures, onder andere bij ACM. Daarnaast houdt Ard Jan zich bezig met het opstellen en beoordelen van overeenkomsten en doceert hij over de juridische aspecten van privacy en cyber security.

VCMB Round Tables

Sinds 2017 organiseert VCMB maandelijks een round table voor haar leden om ontwikkelingen en innovaties met elkaar te bespreken die mogelijk impact hebben op het creditmanagement vak. Voor elke bijeenkomst wordt een expert uitgenodigd om zijn of haar visie over het onderwerp te delen met de aanwezigen, waarna aansluitend de groep met elkaar discussieert over de mogelijke impact daarvan op het creditmanagement domein. Onderwerpen die eerder aan de orde kwamen tijdens de VCMB round tables waren o.a. Blockchain, Artificial Intelligence en Credit Matching. In het najaar staan onder andere de volgende onderwerpen op de agenda: impact van de nieuwe privacywetgeving (GDPR), Payment Services Directive 2 (PDS2) en Fraude management.

Bron: Ard Jan Dunnik, AP, Emerce, ICTrecht & Privacystore

 

 

 

 

Gerelateerde artikelen

© 2018 VCMB Maatwerk software door Way2Web

Wanneer onderneemt u actie bij het signalen van betalingsachterstanden?

Laden ... Laden ...