AVG: mogen gegevens nog wel in de cloud?

Wanneer je in de vergaderruimte van een gemiddeld bedrijf de term Algemene Verordening Gegevensbescherming (AVG) uitspreekt, hoor je de koffiemokken op de grond vallen. Discussies over de nieuwe Europese privacywetgeving kunnen fel oplopen en iedereen lijkt elkaar tegen te spreken. Wat is de waarheid? Zeker is dat de aanscherping van de wet op het beschermen van persoonsgegevens de gemoederen bezighoudt en een 25 mei moet de handhaving op de AVG van start. Is uw bedrijf er klaar voor? schrikbeeld oproept: het verplicht aan moeten stellen van een functionaris gegevensbescherming en boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van een bedrijf. Bij het ingaan van de wet op 25 mei 2018 worden Bijbelse taferelen verwacht. Op deze dag zullen de vier ruiters vanuit de Europese Commissie naar beneden dalen en is de Apocalyps een feit.  Of is het allemaal niet zo erg? In dit artikel hopen we u enigszins gerust te kunnen stellen, maar ook een stukje bewustwording mee te geven over de inhoud van de wet. Daarnaast beantwoorden we een vraag die wij als verstrekker van cloud-oplossingen veel krijgen: ‘mogen gegevens nog wel in de cloud?’

Waar gaat de AVG over?

Naar verluidt maakt 93% van de bedrijven zich zorgen over de impact van de AVG voor dataopslag in de cloud. Waar gaat de AVG nou eigenlijk over? Deze Europese wetgeving, ook wel bekend onder zijn Engelse naam General Data Protection Regulation (GDPR), gaat in het kort over het reguleren van de verwerking van persoonsgegevens.  Verwerking is in deze wet een ruim begrip. Het gaat dan niet alleen om het opslaan van iemands naam of geboortedatum, maar ook over het gebruik, de verstrekking, het combineren en de analyse van persoonsgegevens. Dit dient u bijvoorbeeld al in acht te nemen bij het versturen van een nieuwsbrief, hierbij gebruikt u  immers ook persoonlijke informatie. Dergelijke verwerkingen dienen gedocumenteerd te worden en deze documentatie dient opvraagbaar te zijn voor instanties als de Autoriteit Persoonsgegevens (AP). Om het wetsartikel te citeren, de verwerking van persoonsgegevens dient ‘behoorlijk en transparant’ te zijn.

De AVG: tussen feit versus fictie

Laat ons voor een deel van de ondernemers een angst wegnemen: de mkb’er met minder dan 250 werknemers in dienst wordt van een aantal verplichtingen vrijgesteld. Het aannemen van een functionaris gegevensbescherming is pas verplicht wanneer u op grote schaal met gevoelige persoonsgegevens in aanraking komt. Zolang dat niet het geval is, en uw bedrijf onder het aantal van 250 werknemers blijft, mag een interne medewerker worden aangesteld voor deze functie. Daarnaast geldt de eerder genoemde documentatieplicht bijvoorbeeld slechts voor bedrijven met een groter volume aan personeel. Tenzij de gegevensverwerking risico’s oplevert voor de privacy van de betrokken individuen. Dat laatste is een ruim begrip en geeft veel ruimte voor interpretatie. En daar zit hem vaak de crux.

Dat laat zich illustreren met een voorbeeld. Stel u wil de online verkoop van uw producten stimuleren en besluit om een campagne via Google Adwords te starten. Hiermee kunt u marketingcampagnes beginnen en uiteindelijk het verkeer van en naar uw website verhogen. Uiteindelijk wilt u weten of een bezoeker daadwerkelijk overgaat tot aankoop. Hierdoor komt u in aanraking met allerlei persoonsgegevens die volgens de AVG ‘transparant’ en ‘behoorlijk’ moeten worden verwerkt. Maar dan nu de hamvraag: bent u als eigenaar van de website verantwoordelijk voor de verwerking van gegevens of is Google dat? Het korte antwoord: u bent verantwoordelijk. Omdat het gaat om gegevens die via uw website worden vergaard en via die weg worden gekoppeld aan een specifieke gebruiker. Dat maakt het dat u plotseling actief gegevens aan het verwerken bent en dat u de nieuwe wetgeving in acht moet nemen.

Eén van de dingen die daarom noodzakelijk is, is een privacyverklaring op uw website. Ter illustratie kunt u die van ons bekijken. Het maken van de privacyverklaring is even een klusje, maar het geeft de bezoekers van de website inzicht over hoe gegevens worden verzameld en wat er mee gebeurt. Het vertelt de bezoeker eveneens hoe ze de opslag van hun persoonsgegevens ongedaan kunnen maken. Een tip om het opstellen van de privacyverklaring te vereenvoudigen is de privacyverklaring generator van veiliginternetten.nl.

En de cloud?

Dan is het nog maar een kleine stap naar de AVG in relatie tot de cloud. Het motto van Censom is: ‘alles vanuit de cloud.’ En wij verzekeren u, dat motto staat ook na 25 mei 2018. Wat betekent de AVG voor uw gegevens in de cloud? Allereerst het positieve nieuws: wanneer u toestemming heeft van een derde om zijn of haar gegevens te verwerken, dan hoeft u niet apart toestemming te vragen om deze informatie in de cloud op te slaan. Deze toestemming heeft u immers als van hen gekregen.

Om daadwerkelijk te begrijpen wat voor gevolgen de AVG voor de cloud heeft, geven we u wat jargon uit de wet mee. De AVG spreekt over verwerkingsverantwoordelijken en verwerkers. Indien u persoonsgegevens opslaat in een cloud-omgeving wordt u een verwerkingsverantwoordelijke genoemd en zijn wij als cloud leverancier de verwerker. Beide partijen dienen een verwerkersovereenkomst met elkaar te sluiten. In zo’n document wordt onder meer genoteerd wat er met verzamelde data gedaan wordt en hoe een belanghebbende deze kan inzien. In het wetsartikel wordt gesproken over verwerkersverantwoordelijken en verwerkers. Wederom een voorbeeld: u besteedt de salarisadministratie uit aan een ander bedrijf (de gegevens verwerker), dan moet u (de verwerkingsverantwoordelijke) met deze partij een verwerkersovereenkomst afsluiten. Hiermee maken beide partijen duidelijk hoe ze omgaan met de privacy van betrokken individuen.

Dit alles roept wellicht meer vragen op dan dat het antwoorden geeft. En wellicht is het allemaal abracadabra voor u. Maar groot of klein, de AVG heeft betrekking op ieder bedrijf; voorbereiding is essentieel. Mochten er vragen zijn over de AVG, dan kunt u contact met ons opnemen voor een vrijblijvend consult. U kunt ons telefonisch bereiken op het nummer: 085 877 1639 of mailen op info@censom.nl. Dan kunnen wij samen met u kijken of uw bedrijf klaar is voor de AVG en wellicht wat van uw angsten wegnemen.

Wilt u op de hoogte blijven van nieuws omtrent cloud-technologie en alles wat daar bij komt kijken? Schrijf u dan hieronder in voor onze nieuwsupdate! We gaan hier uiteraard volkomen AVG-vriendelijk mee om.