De nieuwe Algemene Verordening Gegevensbescherming voor beeldend kunstenaars

Door Jonna van ’t Hof, adviesbureau BBK

Kik hier als je liever een pdf van dit wilt artikel lezen.

Per 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) in. Deze verordening wordt ook wel de GDPR genoemd, dit is de Engelse afkorting. Met het van kracht zijn van deze verordening krijgt iedereen die uit beroep of bedrijf persoonsgegevens verwerkt extra plichten. Dit geldt ook al voor jou als je bijvoorbeeld een klantenbestand bijhoudt.

In dit artikel ga ik in op onderdelen die bij kunstenaars vaak voorkomen. Het artikel is echter niet volledig. Begeef je je ook op andere gebieden dan het beeldende kunstenaarschap en hetgeen ik in dit artikel bespreek dan raad ik je aan in die branche te informeren naar de verplichtingen die er gelden. De Rijksoverheid heeft een heel volledige handleiding opgesteld. Deze is erg lang en voert voor beeldende kunstenaars erg ver, vandaar deze verkorte handleiding.

Leden van de BBK mogen altijd mailen of bellen voor verder advies.

Wat is het doel van de AVG?

Het doel van de AVG is betrokkenen (personen van wie persoonsgegevens worden verwerkt) meer privacyrechten te geven. In de tijd waar persoonsgegevens aan elkaar gekoppeld worden en zelfs verkocht worden vond de Europese Unie het noodzakelijk burgers meer bescherming te bieden. De rechten die in dit artikel genoemd worden heb jij als persoon ook. Zo kan je ten opzichte van bedrijven bijvoorbeeld ook het recht op vergetelheid inroepen.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens waaruit een persoon identificeerbaar is. Voorbeelden van persoonsgegevens zijn naam, Burgerservicenummer (BSN), telefoonnummer, e-mailadres, etc.

Sommige gegevens, zoals een geboortedatum of een adres, zijn niet per se tot één persoon te herleiden, maar vaak worden ze opgeslagen in combinatie met andere gegevens waardoor dit wel het geval wordt. In dat geval geldt de combinatie als persoonsgegevens en vallen ze onder het gebied van de AVG.

Bedrijfsgegevens zijn geen persoonsgegevens. De BBK is bijvoorbeeld geen persoon, maar Joop Booij van de BBK wel.

Wat is een verwerking?

Verwerken is heel breed. De AVG noemt: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Wanneer mag je persoonsgegevens verwerken?

Je mag geen persoonsgegevens verwerken tenzij je vooraf het doel van de verwerking hebt vastgesteld en aan de betrokkene hebt meegedeeld. Dit doel moet voldoen aan de wettelijke grondslagen die de AVG definieert. Voor kunstenaars zullen vermoedelijk alleen de onderstaande drie grondslagen voorkomen.

a. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

Voorbeeld: Iemand geeft zich op voor je mailinglijst. Deze mailinglijst heeft het specifieke doel geïnteresseerden op de hoogte te houden van je kunstactiviteiten. Door het opgeven op de mailinglijst geeft iemand direct toestemming tot verwerking van zijn persoonsgegevens.

b. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

Voorbeeld: Iemand koopt een schilderij van je. Je spreekt af dat je het schilderij bij hem aflevert. Daarvoor noteer je zijn adresgegevens. Voor het afleveren van het schilderij en daarmee het nakomen van de details van de koopovereenkomst heb je de adresgegevens nodig.

c. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

Voorbeeld: Iemand koopt een schilderij van je. Op de factuur zet je zijn naam en adresgegevens. Je bent wettelijk verplicht deze gegevens op de factuur op te nemen.

Klantenbestand

Beeldend kunstenaars die een klantenbestand bijhouden zullen in eerste instantie persoonsgegevens verzameld hebben voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (onder b).

Als de (koop-)overeenkomst echter is afgerond is er geen reden meer om de gegevens te bewaren dan voor fiscale (7 jaar administratie bewaren) of juridische doeleinden (na 20 jaar verloopt de algemene verjaring). De meeste kunstenaars houden hun klanten echter in een bestand en zullen hen van tijd tot tijd ook informatie toesturen over nieuw werk en exposities. In dit geval moet er een toestemming zijn voor het in het bestand houden van de gegevens (onder a).  Het is dus verplicht om direct bij een verkoop aan de koper te vragen of deze in het mailingbestand wil worden opgenomen.

Voor je oud-klanten, de mensen die ooit iets bij je gekocht hebben geldt dat je deze mensen wel in je mailinglijst mag houden. Dit is een onderdeel van het overgangsrecht. Het moet wel duidelijk zijn in je register (zie onder onderdeel Register van verwerkingen) dat het klanten zijn die voor 25 mei 2018 iets bij je gekocht hebben. Van de andere mensen in je mailinglijst heb je toestemming nodig. Dit betekent dat iemand zich zelf ingetekend moet hebben op je mailinglijst (schriftelijk of digitaal) en dat je hier ook nog een bewijs van hebt. Dit was in feite al verplicht onder de anti-spamwetgeving.

Heb je deze administratie niet goed bijgehouden dan is er helaas slechts één oplossing. Je moet dan alle mensen op je mailinglijst van wie je de toestemming niet kunt terugvinden aanschrijven met het bericht dat ze in je klantenbestand staan en of ze daar in willen blijven staan. Alleen als mensen positief reageren mag je ze in je klantenbestand houden. Mensen die niet reageren moet je uit het bestand verwijderen.

Gebruik maken van verwerkers/ derden die toegang hebben tot de persoonsgegevens

Als je niet zelf de persoonsgegevens verwerkt, maar dit overlaat aan een externe partij of dienst spreekt de verordening van verwerkers. Met verwerkers moet je als verantwoordelijke een overeenkomst hebben die voldoet aan de AVG. Sommige diensten als bijvoorbeeld online e‑mailingservices worden ook gezien als een verwerker, zij hebben immers toegang tot de persoonsgegevens.

Met verwerkers en derden die toegang tot de persoonsgegevens hebben moet je dus een overeenkomst hebben. Hoe deze overeenkomst eruit ziet maakt niet uit. Er moet alleen in staan wie de verwerker is, wat deze verwerker aan persoonsgegevens verwerkt, voor welk doel, hoe lang de persoonsgegevens bewaard worden en hoe de persoonsgegevens beveiligd zijn. De overeenkomst moet uiteraard voldoen aan de voorwaarden die de AVG stelt. De meeste verwerkers zullen zelf overeenkomsten (laten) opstellen. Je kan daar gebruik van maken.

Veel online-diensten hebben een privacybeleid. Dit geldt als een overeenkomst. Hierin wordt uitgelegd wat de dienst met de persoonsgegevens doet. De AVG stelt dat je op de hoogte moet zijn van de inhoud van het privacybeleid van diensten die je gebruikt om persoonsgegevens te (laten) verwerken. Het doorworstelen van deze juridische teksten, vaak ook in het Engels is lastig. We raden aan om vooral de overeenkomsten en het privacybeleid van kleinere organisaties te controleren. De meeste organisaties zijn in de aanloop tot 25 mei 2018 druk bezig hun privacybeleid aan de AVG aan te passen.  Ik moet benadrukken dat jij als hoofdverwerker verantwoordelijk en aansprakelijk blijft voor het juist verwerken en beveiligen van de persoonsgegevens. De meeste organisaties zijn echter netjes bezig en zullen zich (hopelijk) aan de AVG houden.

Register van verwerkingen

Naast dit alles moet je als je structureel persoonsgegevens verwerkt een register (een lijst of database) van verwerkingen bijhouden. Je verwerkt structureel persoonsgegevens als je een klantenbestand hebt.

De BBK maakt een format (Ledennet) voor een register voor leden die een klantenbestand hebben.

Een register bijhouden betekent dat je precies moet documenteren welke soort persoonsgegevens je verwerkt voor welk doel. Daar moet je ook bij vermelden welke verwerkers/ derden toegang hebben tot welke gegevens. Het register moet altijd up-to-date zijn. Als je controle krijgt van de Autoriteit Persoonsgegevens dan moet je een actueel register kunnen overhandigen.

Het register is iets anders dan een privacybeleid. In een privacybeleid geef je aan personen weer hoe je omgaat met hun persoonsgegevens. Het register is specifieker en is meestal alleen bedoeld voor intern gebruik en voor verantwoording aan de Autoriteit Persoonsgegevens.

Beveiliging

Je bent verplicht de persoonsgegevens goed te beveiligen tegen inbreuk door onbevoegden. Ook met weinig middelen kan je dit prima doen. Zorg bijvoorbeeld voor goede wachtwoorden voor alle plekken waar de persoonsgegevens staan. De Consumentenbond heeft een artikel over goede wachtwoorden.

Je doet er goed aan je computer te beveiligen. De meest belangrijkste tips zijn:
Zorg voor een wachtwoord op je computer (en tablet en smartphone), zorg voor anti-virus en anti-malware software, gebruik een Firewall, zorg dat je besturingssysteem en software altijd up-to-date zijn en zorg dat je veilig van internet gebruik maakt. Er zijn veel artikelen op internet te vinden hoe je dit allemaal doet. Ook je computerleverancier kan je vertellen wat nodig is.

Heb je een webwinkel, zorg er dan voor dat je gebruik maakt van een SSL-versleuteling. Je hostingbedrijf kan je meer informatie geven.

Tot slot is natuurlijk de allerbeste beveiliging zo min mogelijk persoonsgegevens verwerken. Verzamel en verwerk dus alleen wat je echt nodig hebt.

Meldingsplicht datalekken

Aanvullend bij de beveiliging is er de meldingsplicht datalekken. Op het moment dat je computer of telefoon gestolen zijn, gehackt worden of een onbevoegde toegang heeft tot je online-mailinglijst is er sprake van een datalek en moet je die melden aan de Autoriteit Persoonsgegevens.
Naast melding aan de Autoriteit Persoonsgegevens moet je de datalek ook melden aan de mensen van wie je persoonsgegevens hebt verwerkt.

Informatie geven aan betrokkenen

Een onderdeel van de nieuwe verordening zijn de rechten van betrokkenen (de mensen van wie er persoonsgegevens worden verwerkt).

Deze mensen hebben het recht op inzage van gegevens, recht op rectificatie van gegevens, recht op vergetelheid en recht op overdraagbaarheid. Hieronder leggen we uit wat dit precies betekent.

Recht van inzage

Een betrokkene heeft recht van inzage op al zijn door jouw verwerkte persoonsgegevens. Dit recht houdt praktisch gezien in dat als iemand dit verzoek bij je neerlegt, je binnen 1 maand inzage moet geven in welke persoonsgegevens je van die persoon hebt verwerkt en hoe die zijn verwerkt. Lukt het je niet om dit binnen 1 maand te doen dan kan je binnen die maand een schriftelijk bericht versturen dat je 1 extra maand nodig hebt. Je hebt dan 2 maanden de tijd om de informatie te verzamelen en te verstrekken. Na die periode ben je in verzuim en kan de betrokkene een klacht indienen bij de Autoriteit Persoonsgegevens. Deze kan je dan een boete opleggen.
De inzage moet in begrijpelijke taal en op een heldere manier inzichtelijk zijn voor de betrokkene.

Rectificatie

Een betrokkene heeft het recht tot het laten rectificeren van zijn persoonsgegevens indien die niet juist zijn verwerkt. In de regel zal het gaan om het juist verwerken van een naam of adres. Dit is ook in je eigen belang.

Vergetelheid

Als een betrokkene niet langer in jouw systeem verwerkt wil worden kan deze een verzoek tot verwijdering/ vergetelheid bij je indienen. Aan dit verzoek moet je tegemoet komen. Meestal zal het gaan om de verwijdering van een (e-)mailinglijst.

Overdraagbaarheid

Tot slot is er het recht tot overdraagbaarheid. Als een betrokkene verzoekt om overdracht van zijn bij jouw verwerkte persoonsgegevens aan een andere partij dan moet je hier gehoor aan geven. We vermoeden dat je zelden tot nooit met dit verzoek te maken krijgt.