Een antwoord op de meest gestelde vragen over AVG/GDPR en OBI4wan

De bescherming van persoonsgegevens is een grondrecht dat in het Handvest van de grondrechten van de Europese Unie en het Verdrag over de werking van de Europese Unie is vastgelegd. De Algemene verordening gegevensbescherming (‘Verordening’ of ‘AVG’), is een Europese wet die de bescherming van dit grondrecht regelt.

De Verordening is vanaf 25 mei 2018 rechtstreeks van toepassing in de hele Europese Unie en vervangt de Nederlandse Wet bescherming persoonsgegevens. De Nederlandse Wet bescherming persoonsgegevens was gebaseerd op de voorloper van de Verordening, de Europese Richtlijn gegevensbescherming (95/46/EG).

OBI4wan is al sinds de zomer van 2017 actief bezig om zich voor te bereiden op de AVG en investeert al vele jaren tijd en geld in de beveiliging van de systemen en data. OBI4wan verzamelt namelijk zelfstandig data van openbare bronnen zoals Twitter, Facebook, Blogs en Fora. Deze berichten worden vaak geschreven door natuurlijke personen, die via bijvoorbeeld een Twitter handle, Facebook naam of informatie in de biografie op het social media platform herleidbaar zijn.

Dit op zichzelf is geen probleem, als de uitgangspunten voor het verzamelen en verwerken van de deze gegevens maar een gerechtvaardigd doel hebben. Nu heeft OBI4wan een gerechtvaardigd doel, dat is omschreven in ons Privcacy Statement. OBI4wan is voor deze gegevens zowel de Verwerkingsverantwoordelijke als de Verwerker. Alle verantwoordelijkheden op het vlak van databescherming liggen daarom ook bij OBI4wan.

Maar naast het verzamelen van openbare data, verzamelt jouw organisatie als opdrachtgever ook privégegevens van natuurlijke personen kanalen als Facebook Messenger, Twitter DM, chat en WhatsApp. Denk hierbij bijvoorbeeld aan een e-mailadres, bankrekeningnummer, geboortedatum etc. Deze gegevens worden ook vastgelegd in de oplossingen van OBI4wan. Voor deze gegevens is jouw organisatie als opdrachtgever zélf de Verwerkingsverantwoordelijke en OBI4wan de Verwerker. Jouw organisatie moet dus voldoen aan de plichten die bij een Verwerkingsverantwoordelijke liggen en OBI4wan moet hierbij voldoen aan de plichten van Verwerker.

Via de Rijksoverheid is een handleiding te downloaden, waar de verantwoordelijkheden van zowel de Verwerkingverantwoordelijk als Verwerker zijn terug te lezen.

Ons advies is om de handleiding van de Rijksoverheid goed door te nemen en intern na te gaan of jouw organisatie al voldoet aan de AVG en of alle maatregelen al zijn genomen om hier vóór 25 mei 2018 aan te gaan voldoen.

Daarnaast is één van de allerbelangrijkste taken het sluiten van een Verwerkersovereenkomst met alle partijen die data voor jouw organisatie verwerken, dus ook met OBI4wan, mocht je dit nog niet gedaan hebben. Mocht jouw organisatie nog niet beschikken over een standaard Verwerkersovereenkomst, dan kunnen wij een template Verwerkersovereenkomst aanleveren.

De Autoriteit Persoonsgegevens is in Nederland belast met het controleren op de naleving van de AVG. Indien je als organisatie geen aantoonbare maatregelen hebt getroffen om de gegevens van natuurlijke personen te beschermen of je houdt je niet aan de richtlijnen kunnen er administratieve boetes worden opgelegd.

Overtredingen van de bepalingen over de principes, rechtsgrondslagen en rechten van betrokkenen, kunnen worden gesanctioneerd met een administratieve boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, in het geval deze hoger is.

Het mag op basis van bovenstaande alinea duidelijk zijn, dat het naleven van de wetgeving aan te bevelen is.

We sluiten graag samen met jouw organisatie een verwerkingsovereenkomst. Neem hiervoor contact met ons op!