De AVG en wat moet ik daarmee?

Door Karin Boukema en Rein Pleiter

Het is op het moment van schrijven bijna 25 mei 2018. De laatste weken worden we overspoeld door emails van organisaties en bedrijven die ons verzekeren dat zij zich aan de AVG houden. Maar wat doen zij dan precies? En wat is die AVG?

De AVG staat voor Algemene Verordening Gegevensbescherming. Door online te zijn en overal je gegevens in te vullen, hebben inmiddels ontelbaar veel bedrijven en organisaties toegang tot jouw gegevens. Dat varieert van adresgegevens, geboortedatum, BSN nummer tot aan welke nachtcrème je gebruikt en waar je die koopt. Omdat je niet altijd (bewust) toestemming geeft voor het delen en bewaren van deze gegevens is het niet te controleren wie precies over welke gegevens van jou beschikt.

Deze gegevens zijn voor veel bedrijven erg handig om in bezit te hebben, en daarom is er een levendige handel in ontstaan. Je zult je wel herinneren dat Facebook gegevens van miljoenen gebruikers heeft verkocht aan een Brits databedrijf dat daarmee merkwaardige dingen deed tijdens de Amerikaanse verkiezingen. En dat is nog maar één voorbeeld. Een ander dreigend probleem is dat er van iedereen gegevens zijn opgeslagen in slecht beveiligde databases.

Om jouw gegevens beter te beschermen is in 1995 door de EU in een richtlijn bepaald dat landen maatregelen moeten nemen ter bescherming van persoonsgegevens. In Nederland is dat de Wet Bescherming Persoonsgegevens geworden. De richtlijn was inmiddels behoorlijk verouderd en daarom hebben de Europese Commissie en het Europese Parlement nieuwe regels opgesteld die beter bij deze tijd passen. Dat is deze Verordening geworden. Overal in Europa gaan landen bedrijven verplichten om de gegevens die zij van personen in bezit hebben beter te beschermen. Wat interessant is, is dat dit ook geldt voor bedrijven die buiten de Europese Unie zijn gevestigd maar online diensten of producten aanbieden aan Europese consumenten.

Maar hoe worden dan de gegevens beter beschermd?

Om te beginnen moeten bedrijven zelf vastleggen welke gegevens zij hebben, waar deze zijn vastgelegd (in een dossier, databestanden, computers?) en waarom zij deze gegevens überhaupt hebben. Wanneer bedrijven niet een goede reden hebben voor het bezit, het gebruiken of het delen van jouw gegevens, dan moeten zij die gegevens wissen. Bijvoorbeeld, je hebt in 2015 een ijskast gekocht bij Coolblue. De garantietermijn is inmiddels verlopen en je hebt daarna nooit meer iets bij dit bedrijf gekocht. Waarom zou Coolblue jouw gegevens dan nog mogen houden of mogen verkopen?

Om van de AVG geen tandeloze tijger te maken is besloten om torenhoge boetes op overtreding te zetten. Veel bedrijven nemen deze wetswijziging dan ook terecht serieus en zijn druk e-mails aan het versturen aan de personen van wie zij gegevens in bezit hebben.

Maar wat moet je nu met die stortvloed aan mailtjes van bedrijven die jou verzekeren dat je gegevens goed beschermd zijn? Het geeft je als consument de gelegenheid om eens goed kijken of je wel wilt dat dat bedrijf jouw gegevens heeft. Die mail krijg je niet voor niets. Wanneer je wilt dat een bedrijf je gegevens wist, dan kun je dat kenbaar maken. Dan moet dat bedrijf dat, wanneer het bewaren geen doel meer dient waarvoor je vooraf toestemming hebt gegeven, ook doen. Het ‘recht op vergetelheid’ wordt dat genoemd.

En wat doen wij op ons kantoor eigenlijk? Uiteraard hebben advocaten toegang tot veel gevoelige informatie over hun cliënten. Naast de algemene gegevens, weten advocaten in de regel zaken die behoorlijk vertrouwelijk zijn. In de Advocatenwet is al opgenomen dat alles dat tussen een cliënt en zijn of haar advocaat wordt besproken, gebeurt op basis van vertrouwelijkheid. Een advocaat mag daar niet met een derde over praten. Daar houden wij ons natuurlijk al aan. Maar verder? Wij hebben een register waarin ook andere advocaten en het ondersteunend personeel kan, waarin de adresgegevens, telefoon, email, BSN en (soms) geboortedatum van de cliënt is opgenomen. Deze gegevens staan in ons netwerk en worden gebruikt om de cliënten te kunnen bereiken. Verder bevinden deze gegevens zich in de aparte fysieke dossiers. Wanneer een zaak wordt gesloten, worden de gegevens tenminste 5 jaar lang bewaard.Een langere termijn voor bewaring is bijvoorbeeld gerechtvaardigd wanneer de zaak nog niet verjaard is en nog afgewikkeld moet worden.

Er worden nooit gegevens aan derden verkocht, maar soms wel gedeeld wanneer dat noodzakelijk is voor de uitvoering van de opdracht. Denk aan het inschakelen van een deurwaarder. Of het aanvragen van een toevoeging. Iedere cliënt heeft het recht om bij ons inzage te vragen over de gegevens die we van hem of haar hebben en te vragen wat wij daarmee doen. Uiteraard heeft ook iedere cliënt het recht om van ons te verlangen deze gegevens te wissen. Wanneer een zaak is afgehandeld en de laatste declaratie is voldaan, zullen wij dat zonder meer doen.

Is uw bedrijf al AVG-proof? Of heeft u nog meer vragen over de AVG? Wij kunnen u helpen met het opstellen van de benodigde documenten zodat u bij een eventuele controle kunt laten zien dat u behoorlijk omgaat met de gegevens die u worden toevertrouwd. Neem vrijblijvend contact met ons op om te zien wat wij voor u kunnen betekenen.