Evidos en de AVG: welke veranderingen kunt u verwachten?

15 mei 2018

Het zetten van een handtekening

Vanaf 25 mei a.s. treedt de Algemene Verordening Gegevens (AVG) in werking. Recentelijk heeft u waarschijnlijk veel over de AVG gehoord. Middels deze blog willen wij u informeren over de belangrijkste wijzigingen die de Algemene Verordening Gegevens met zich meebrengt en op welke wijze Evidos hier invulling aan geeft gegeven.

De AVG

Op dit moment is de Wet bescherming persoonsgegevens (Wbp) van toepassing indien sprake is van een verwerking van persoonsgegevens. De Wbp gaat echter vanaf 25 mei 2018 plaatsmaken voor de AVG. Deze verordening zal in heel Europa voor dezelfde regels rondom de bescherming van persoonsgegevens gaan zorgen en brengt heel wat veranderingen met zich mee voor het bedrijfsleven. Hieronder vindt u een aantal van deze veranderingen:

Het bijhouden van een verwerkingsregister: met de komst van de AVG dienen de meeste organisaties een verwerkingsregister bij te houden. In het register moet onder andere staan welke categorieën persoonsgegevens er verwerkt worden, de doeleinden waarvoor de gegevens worden verwerkt en de manieren waarop de persoonsgegevens zijn beveiligd.
Het aanstellen van een functionaris gegevensbescherming (FG): de FG is onder andere verplicht voor overheidsinstellingen, wanneer organisaties op grote schaal gevoelige persoonsgegevens zoals gezondheidsgegevens verwerken, of voor organisaties die structureel mensen observeren. Daarnaast kunnen organisaties ook vrijwillig een FG aanstellen. Een FG dient onafhankelijk te zijn en adviseert en rapporteert binnen de organisatie over naleving van de AVG.
Rechten van betrokkenen: de AVG introduceert enkele nieuwe rechten voor mensen van wie u persoonsgegevens verwerkt. Op dit moment hebben zij al een recht op inzage, bezwaar en rectificatie, maar vanaf 25 mei 2018 komen daar ook het recht op dataportabiliteit en het recht op gegevenswissing bij.
Hogere boetes: onder de AVG heeft de nationale toezichthouder de mogelijkheid om boetes op te leggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Het uitvoeren van een data protection impact assessment (DPIA): een DPIA is een uitgebreid onderzoek om privacyrisico’s in kaart te brengen, om vervolgens maatregelen te nemen om deze risico’s zo veel mogelijk weg te nemen. Het uitvoeren van een DPIA is verplicht wanneer een project hoge risico’s voor de privacy van betrokken personen oplevert. Denk bijvoorbeeld aan het gebruiken van gevoelige gegevens of het op grote schaal combineren van gegevens.
Privacy by design en privacy by default: bij de ontwikkeling van nieuwe diensten dienen de privacyaspecten te worden benoemd en te worden meegenomen in de uitwerking. Daarnaast moeten standaardinstellingen van een nieuwe dienst zo privacyvriendelijk mogelijk zijn.
De verwerkersovereenkomst: met de komst van de AVG worden organisaties verplicht om een verwerkersovereenkomst te sluiten met partijen die in opdracht van hun persoonsgegevens verwerken. De AVG noemt een aantal specifieke punten die opgenomen dienen te worden in deze overeenkomst.

De AVG en de clouddienst van Evidos

Momenteel maakt u gebruik van de clouddienst van Evidos, Ondertekenen.nl. De AVG is van toepassing op de clouddienst van Evidos. Immers, bij het leveren van deze dienst worden persoonsgegevens verwerkt. Deze persoonsgegevens worden door Evidos in opdracht van u verwerkt. In deze rolverdeling bent u als verwerkingsverantwoordelijke en Evidos als verwerker aan te merken.

Met het oog op de AVG dienen verwerkingsverantwoordelijke en verwerker schriftelijke afspraken te maken over de verwerking van persoonsgegevens. Dit houdt in dat er onder andere afspraken gemaakt moeten worden over de doeleinden waaronder de persoonsgegevens worden verwerkt, de beveiligingsmaatregelen, het inschakelen van derden, het uitvoeren van audits en het melden van datalekken.

Met de komst van de AVG is het niet meer nodig om apart een verwerkersovereenkomst te sluiten, maar is het ook mogelijk om de afspraken te verwerken in bijvoorbeeld de algemene voorwaarden. Evidos heeft voor deze laatste optie gekozen en heeft mede daarom de algemene voorwaarden vernieuwd. Door deze vernieuwde algemene voorwaarden biedt Evidos als extra dienstverlening een in de algemene voorwaarden verwerkte standaard verwerkersovereenkomst aan die voldoet aan de AVG. Tevens heeft Evidos dit moment aangegrepen om de algemene voorwaarden ook op andere punten te herzien.

Een ander belangrijk aspect van de AVG is de beveiliging van persoonsgegevens. Evidos acht de beveiliging van persoonsgegevens en de dienst van groot belang en draagt er zorg voor dat de kwaliteit en betrouwbaarheid van de dienst worden bewaakt. Om op een transparante wijze inzicht te geven in de getroffen beveiligingsmaatregelen hanteert Evidos een beveiligingsverklaring welke gepubliceerd is op haar website.

Verder introduceert de AVG het verwerkingsregister, zoals hiervoor al werd aangegeven. Evidos is al geruime tijd bezig om zowel in de rol van verwerkingsverantwoordelijke, als in de rol van verwerker, een verwerkingsregister op te stellen en draagt er zorg voor dat beide registers vanaf 25 mei a.s. worden gehanteerd en worden bijgehouden.

Tot slot neemt de AVG met zich mee dat Evidos op een duidelijke en transparante wijze aan haar informatieplicht richting betrokkenen moet voldoen. Dit houdt in dat Evidos o.a. moet communiceren welke soorten persoonsgegevens zij verzamelt, voor welke doeleinden dit gebeurt en op welke wijze betrokkenen gebruik kunnen maken van hun wettelijke rechten. Evidos voldoet aan haar informatieplicht via de privacy- en cookieverklaring die op haar website is gepubliceerd.

Mocht u nog vragen hebben over de wijze waarop Evidos omgaat met de aankomende AVG, aarzel dan niet om contact op te nemen. In een volgende blog zullen we u nog voorzien van praktische tips over het gebruik van onze ondertekendienst in het kader van de AVG.

Terug naar overzicht