Over minder dan acht weken is het zover: 25 mei 2018 – de invoering van de Algemene Verordening Gegevensbescherming (AVG). Technisch gezien is de AVG al bijna twee jaar in werking getreden maar pas vanaf 25 mei moet u voldoen aan alle regels van de AVG en zullen deze ook worden gehandhaafd. Vanaf 25 mei moet u, als u persoonsgegevens verzamelt, voldoen aan de regels van de AVG. Met persoonsgegevens wordt bedoeld: alle informatie waarmee een burger geïdentificeerd kan worden: naam, telefoonnummer, adres, e-mailadres, foto’s, en meer.

Als u niet voldoet aan de regels, dan kunnen de boetes oplopen tot maar liefst vier procent van de jaaromzet. Het is daarom zaak om als organisatie goed voorbereid te zijn op de invoering van de AVG 25 mei aanstaande.

Samen met ICTRecht (gespecialiseerd in de AVG wetgeving) zitten wij midden in een traject om ervoor te zorgen dat onze systemen voor 25 mei AVG-proof zijn zodat wij als verwerker van uw data voldoen aan de eisen die de AVG stelt. Maar wat zijn belangrijke pijlers van de AVG waar u als kantoor rekening mee moet houden?

Belangrijke pijlers van de AVG
1. Verwerkingsregister
Als organisatie moet u inzichtelijk maken hoe en welke persoonsgegevens uw organisatie verwerkt. Het moet duidelijk zijn welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang heeft tot die gegevens.

2. Privacy by design & privacy by default
Bij nieuwe producten en diensten moet rekening worden gehouden met privacy by design & privacy by default. Privacy by design houdt in dat bij het ontwerpen van (nieuwe) producten en diensten privacy als uitgangspunt wordt genomen. Privacy by default betekent dat daarbij zo min mogelijk persoonsgegevens worden gevraagd en verwerkt.

Van oudsher houdt Devoon bij het ontwikkelen van (nieuwe) functies in NEXTassyst al rekening met privacy. Zo kunt u bijvoorbeeld al jaren in NEXTassyst instellen dat partijen zoals de nationale notaris of auditors alleen toegang hebben tot bepaalde, voor hen relevante, data/persoonsgegevens.

3. Verwerkingsovereenkomst
Een belangrijk onderdeel van de AVG is de zogeheten verwerkingsovereenkomst. Op dit moment hebben wij met u een bewerkersovereenkomst gesloten. Deze zullen wij voor 25 mei vervangen door een verwerkingsovereenkomst. Deze nieuwe overeenkomst zorgt ervoor dat de taken en verantwoordelijkheden van zowel u als Devoon goed en helder worden vastgelegd.

4. Informatiebeveiligingsbeleid
In de AVG staat dat u als organisatie een passend gegevensbeschermingsbeleid moet uitvoeren. Dit betekent dat u passende technische en organisatorische maatregelen moet treffen om te waarborgen en aan te kunnen tonen dat de verwerking van persoonsgegevens gebeurt in overeenstemming met de AVG.

Eén belangrijk aspect daarbij is het veilig communiceren met uw cliënten. Het versturen van (concept) akten naar cliënten per email is in het notariaat nog altijd gemeengoed. Met de komst van de AVG (en ook al op dit moment) is het versturen van documenten met persoonsgegevens risicovol. Het overgrote deel van het emailverkeer – bijvoorbeeld het e-mailen naar een Gmail account – is namelijk niet veilig. Om u hierbij te helpen hebben wij de NEXTportal ontwikkeld. Hiermee kunt u op een veilige en AVG-proof manier communiceren met uw cliënten.

5. Meldplicht Datalekken
Steeds vaker komt in het nieuws dat hackers persoonsgegevens hebben gestolen en online hebben gezet. Maar ook onbedoeld worden door medewerkers van organisaties persoonsgegevens gelekt. Sinds 1 januari 2016 bestaat er al een meldplicht voor datalekken. Met de invoering van de AVG zijn deze regels veranderd en uitgebreid.

Vanaf 25 mei bent u verplicht om alle datalekken te documenteren zodat dit op een later tijdstip inzichtelijk is. Daarnaast is het criterium voor de melding bij de Autoriteit Persoonsgegevens gewijzigd. Ieder datalek moet worden gemeld, tenzij het niet waarschijnlijk is dat dit een risico inhoudt voor de rechten en vrijheden van de betrokkene. Tot slot moet een melding aan een betrokkene worden gedaan als het datalek een hoog risico voor de betrokkene inhoudt.

Om notariskantoren te helpen bij het voldoen aan de verplichtingen uit de AVG, heeft de KNB op Notarisnet diverse handvaten beschikbaar gesteld om u te helpen om aan de bovenstaande punten te voldoen.

Conclusie – het belang van een goed verhaal
Het lastige van de AVG is dat het een nieuwe wet is waarin veel bepalingen staan die nog niet zijn uitgekristalliseerd. Zo staat nog niet definitief vast dat het notariaat valt onder de uitzonderingsbepaling van art. 17 lid 3 sub b AVG waarin het ‘recht op vergetelheid’ wordt geregeld en uitgezonderd. Het belangrijkste is dat u als kantoor laat zien dat u er alles aan gedaan heeft om te voldoen aan de eisen die de AVG aan uw kantoor stelt.

De Tweede Kamer heeft een motie aangenomen die de Autoriteit Persoonsgegevens oproept de nieuwe wet voorlopig niet streng te handhaven en ook de Autoriteit Persoonsgegevens heeft al aangegeven dat zij voornemens zijn om eerst te waarschuwen voordat er een boete wordt uitgedeeld.

Betekent dat dat het spreekwoord ‘de soep wordt nooit zo heet gegeten, als zij wordt opgediend’ hier van toepassing is? Dat is maar de vraag. De kans is zeker aanwezig dat in de eerste periode na 25 mei de regels niet strikt wordt gehandhaafd. Dit betekent echter niet dat organisaties dan maar niets hoeven te doen en rustig achterover kunnen zitten. Zorg als organisatie dat u kunt laten zien dat u zich heeft ingespannen om aan de nieuwe wetgeving te voldoen, zorg dat u een goed verhaal heeft.

Heeft u nog vragen over dit artikel of wilt u met ons overleggen? Neem dan contact op met mij of met een van mijn collega’s.

De AVG komt er aan!