Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking, de nieuwe Europese privacywetgeving. Uw organisatie moet voldoen aan de regels en richtlijnen van de AVG. Kunt u bijvoorbeeld met één druk op de knop aangeven waar persoonsgegevens zich in uw digitaal proces bevinden? Is het voor uw organisatie verplicht een Data Protection Officer aan te stellen? Slaat u alleen data op die u daadwerkelijk nodig heeft?

Doel AVG
Op dit moment heeft iedere lidstaat in de Europese Unie nog een eigen privacywet. De Europese Commissie harmoniseert met deze Verordening de vele uiteenlopende nationale wetten rondom privacy. Daarnaast beoogt de Europese Commissie met dit instrument een solide bodem voor het voortdurend veranderende digitale ecosysteem te bieden. Hiermee streeft de Europese Commissie naar vertrouwen en rechtszekerheid voor de ontwikkeling van de interne markt. Voor bedrijven die internationaal zakendoen zou dit moeten leiden tot minder administratieve handelingen.
Het doel van de AVG is de bescherming van de privacyrechten van individuen. Met de komst van de AVG worden onder meer de privacyrechten van de inwoners van de EU versterkt en uitgebreid. Er zijn strengere regels gekomen voor de opslag, het gebruik en de verwerking van persoonsgegevens en de rechten van de betrokkenen zijn versterkt. Als niet aan die regels wordt voldaan, kunnen de boetes oplopen naar 20 miljoen euro of 4% van de wereldwijze jaaromzet. De toezichthouder is de Autoriteit Persoonsgegevens.

Algemene kaders
De AVG geldt voor iedere onderneming die te maken heeft met persoonsgegevens. De omvang van de onderneming maakt daarbij niet uit. De persoonsgegevens mogen alleen worden verwerkt als dit kan worden gegrond op één van de zes grondslagen. Als u de gegevensverwerking niet kunt baseren op één van deze grondslagen, heeft u niet het recht om persoonsgegevens te verwerken.
De checklist verwerking persoonsgegevens:
1. Toestemming van de betrokken persoon.
2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
4. De gegevensverwerking is noodzakelijk voor de nakoming van de vitale belangen.
5. De gegevensverwerking is noodzakelijk voor de vervulling van de taak van algemeen belang of uitoefening van openbaar gezag.
6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Daarnaast gelden strenge eisen voor het bewaren en doorgeven van die persoonsgegevens:
1. Het begrip persoonsgegevens wordt uitgebreid
Uw organisatie mag niet zomaar persoonsgegevens uitwisselen. Het begrip persoonsgegevens wordt ruimer gedefinieerd met de komst van de AVG. Hieronder vallen alle gegevens die direct of indirect (kunnen) leiden tot de identificatie van een natuurlijk persoon. Naast bestanden met namen en adressen vallen nu dus ook gegevens die zijn gekoppeld aan IP-adressen, cookies en dergelijke onder de wet. De activiteiten van de onderneming vallen door de uitbreiding van het begrip dus sneller onder de AVG.

2. Documentatie verwerking persoonsgegevens
U moet alle verwerkingen van persoonsgegevens documenteren. Niet alleen de gegevens van uw klanten, maar ook van bijvoorbeeld uw personeel. U moet in een register onder andere bijhouden welke gegevens worden verwerkt, voor welke doeleinden en hoe de gegevens beveiligd worden.

3. Wijzen op rechten
U moet niet alleen duidelijk en transparant uitleggen wat u doet met persoonsgegevens, maar betrokkenen ook wijzen op hun rechten. Men heeft het recht om inzage te krijgen in hun gegevens en te weten met welk doel u ze verwerkt en aan wie u ze verstrekt. Daarnaast heeft de betrokkene het recht om een verzoek in de dienen om de gegevens te wissen of te wijzigen. Uw onderneming moet een dergelijk verzoek honoreren. U moet hen voorts wijzen op hun mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

4. Verwerkersovereenkomsten met leveranciers
Met alle leveranciers en afnemers dient u een zogenoemde verwerkersovereenkomst te sluiten waarin u afspraken maakt over de wijze waarop met de persoonsgegevens wordt omgegaan. Dat betekent dat wanneer u diensten uitbesteedt waarbij persoonsgegevens zijn betrokken van uw klanten, u hiervoor toestemming nodig heeft van uw klant.

5. Weggooien boven bewaren
Het uitgangspunt is dat u zo min mogelijk persoonsgegevens onder zich heeft. Verzamel dus zo min mogelijk persoonsgegevens en als u deze onder zich heeft, verwijder deze dan zo snel mogelijk.

6. Samenwerking buiten de EU
Werkt u samen met partijen buiten de EU? Dat wordt onder de AVG enkel toegestaan als de AVG-wetgeving daartoe de mogelijkheid biedt. Hiervoor gelden strenge eisen. Voor een aantal landen heeft de Europese Commissie bepaald dat een passend beschermingsniveau wordt geboden.

Wat betekent dit voor u als credit manager?
In de basis komt het erop neer dat u zich bij iedere verwerking binnen uw processen de volgende vragen moet stellen:
• Welke gegevens heb ik?
• Waarom heb ik die gegevens?
• Heb ik deze gegevens daadwerkelijk nodig?

Wanneer dit zich vertaalt naar de praktijk, ligt er een uitdaging in feitelijk de gehele reis die persoonsgegevens, bijvoorbeeld van een klant, door uw organisatie maken. Van klant naar klant-debiteur tot wellicht externe incasso. In dat kader werd mij laatst de vraag gesteld: moet er expliciete toestemming zijn vanuit de debiteur bij overdracht van de vordering ter incasso? Uw vordering is in vrijwel de meeste gevallen gebaseerd op een overeenkomst waarbij de ene partij de verplichting heeft een dienst of product te leveren. De overeenkomst committeert de andere partij om binnen de overeengekomen termijn te betalen. Als de wederprestatie uitblijft en uw inspanningen niet tot betaling hebben geleid, mag u de gegevens die nodig zijn voor het incasso doorgeven. Uw klant-debiteur en u moeten er uiteraard op kunnen vertrouwen dat de gegevens in veilige handen zijn.

 

Wendy Hekkelman is advocaat en curator bij Bierens Incasso Advocaten

Shares