De Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze privacywet treedt in de plaats van de Wet bescherming persoonsgegevens (Wbp).

Voor wie bestemd?

Eigenlijk voor iedereen. De AVG geldt voor ondernemingen, overheden, organisaties en verenigingen. Dus ook voor de lokale voetbalclub of postzegelvereniging. En natuurlijke personen kunnen aan de AVG belangrijke rechten in verband met hun privacy ontlenen. Om te zien of de verordening op u van toepassing is, kunt u onderstaand stroomdiagram volgen:

Op bepaalde activiteiten is niet de AVG maar een andere wet van toepassing. Dat zijn uitzonderingen op “het materiële toepassingsbereik” van de Verordening.

Waar gaat het om?

Privacyrecht gaat om het recht van personen op de bescherming van hun privacy. De AVG stelt regels omtrent de verwerking van persoonsgegevens, en daarmee heeft men al snel te maken.

Er zijn veel soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. En zo zijn er nog veel meer persoonsgegevens te bedenken, zoals ras, godsdienst en gezondheid. Die laatsten vallen onder de “bijzondere persoonsgegevens”.

Het enkele opslaan van persoonsgegevens valt al onder het begrip “verwerking van persoonsgegevens”. En dan kom je al snel uit op klantenbestanden van ondernemers of ledenbestanden van verenigingen.

De kern van de AVG is, dat verwerking van persoonsgegevens is verboden, tenzij is voldaan aan ten minste een van de zes grondslagen, waaronder op grond van de AVG verwerking is toegestaan. Die zes grondslagen zijn:

  1. Toestemming van de betrokken persoon;
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst;
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting;
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen;
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

De toestemming is nog wel een punt van aandacht. Een rechtsgeldige toestemming moet aan de volgende eisen voldoen:

  • – De toestemming mag niet onder druk zijn gegeven;
  • – Het moet een ondubbelzinnige toestemming zijn;
  • – Er moet voldoende informatie zijn verstrekt, zoals over het doel van de verwerking, en het recht om de toestemming weer in te trekken;
  • – De toestemming geldt steeds voor een specifieke verwerking en een specifiek doel;
  • – De toestemming moet eenvoudig zijn in te trekken;
  • – De verwerker moet aantonen dat er geldige toestemming is verkregen.

Voor de goede orde: specifieke toestemming is niet altijd nodig: het is een van de zes grondslagen.

Enkele belangrijke onderwerpen.

Verantwoordingsplicht.

U moet kunnen aantonen dat u aan de privacyregels voldoet. Denk daarbij aan het voldoen aan de belangrijkste beginselen van de verwerking, zoals:

  • – Rechtmatigheid;
  • – Transparantie;
  • – Gebruik voor het juiste doel;
  • – Juistheid van gegevens.

Voorts moet aangetoond worden dat u de juiste technische en organisatorische maatregelen hebt getroffen om de persoonsgegevens te beschermen.

Onderdeel van de verantwoordingsplicht is tevens het register van verwerkingsactiviteiten. In zo’n register staat informatie over de persoonsgegevens die u verwerkt. U bent verplicht een dergelijk register bij te houden, als uw organisatie meer dan 250 medewerkers heeft. Maar ook als er minder medewerkers zijn bent u daartoe verplicht, als:

  • – De verwerking niet incidenteel is en/of
  • – De gegevens een hoog risico inhouden  voor de rechten en vrijheden van de personen van wie u de persoonsgegevens  verwerkt, en/of
  • – De gegevens vallen onder de categorie bijzondere persoonsgegevens. Dat zijn  onder meer gegevens over iemands ras, politieke opvattingen, godsdienst,  gezondheid, strafrechtelijk verleden.

Op internet circuleren de meest uiteenlopende visies over de toepasselijkheid van dit register van verwerkingsactiviteiten. Van een strikte verplichting voor iedereen, tot de visie dat het allemaal wel meevalt en eigenlijk alleen maar van toepassing is voor organisaties die meer dan 250 medewerkers hebben. Gaat u er echter maar van uit, dat u al snel tot het bijhouden van zo’n register verplicht bent, ook als u een kleine organisatie hebt, of een kleine vereniging. Er is bijvoorbeeld al snel sprake van een niet-incidentele verwerking van gegevens, zoals van personeel of relaties.

Data Protection Impact Assessment (DPIA).

De DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, en vervolgens maatregelen te treffen om die risico’s te verkleinen. De DPIA is niet onder alle omstandigheden verplicht, maar de AVG heeft in ieder geval drie gevallen genoemd, waarin er wel sprake is van een verplichting, namelijk als een organisatie:

  • – Systematisch en uitvoering persoonlijke  aspecten evalueert, waaronder profiling;
  • – Op grote schaal bijzondere  persoonsgegevens verwerkt;
  • – Op grote schaal en systematisch mensen  volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Bovendien valt nog een lijst van verwerkingen te verwachten van de Autoriteit Persoonsgegevens, waarvoor eveneens een DPIA verplicht is.

Privacy by design en privacy by default.

Het betreft hier organisatorische maatregelen om de organisatie vertrouwd te maken met de uitgangspunten van de AVG.

Privacy by design houdt in, dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd, dat persoonsgegevens goed worden beschermd. En voorts dat gegevens niet langer worden bewaard dan nodig is.

Privacy by default houdt in, dat technische en organisatorische maatregelen moeten worden genomen om ervoor te zorgen dat standaard alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel.

Functionaris voor gegevensbescherming (FG).

Een dergelijke functionaris is in drie gevallen verplicht:

  • – Bij overheidsinstanties en publieke organisaties, behalve in het geval van  gerechten bij e uitoefening van hun rechterlijke taken;
  • – In het geval er sprake is van regelmatige en stelselmatige observatie op grote    schaal van personen;
  • – Organisaties die op grote schaal bijzondere persoonsgegevens

Organisaties dienen de betreffende functionaris aan te melden bij de Autoriteit Persoonsgegevens. Daartoe is een speciaal aanmeldingsformulier beschikbaar.

Meldplicht datalekken.

Deze verplichting bestond al onder de Wbp, maar de AVG stelt strengere eisen aan de registratie van datalekken. Alle datalekken moeten nu worden geregistreerd, zodat er een controlemogelijkheid is om te zien of u daadwerkelijk aan uw meldingsverplichting hebt voldaan.

Verwerkersovereenkomsten.

Het kan zijn, dat (een deel van) de gegevensverwerking wordt uitbesteed aan derden. Vaak zijn binnen bestaande overeenkomsten al bepalingen opgenomen, maar vaak ook niet. De afspraken moeten in ieder geval voldoen aan de eisen die de AVG stelt aan verwerkersovereenkomsten, zodat de bestaande afspraken zo nodig moeten worden aangepast.

Toezicht en sancties.

Het toezicht op de naleving van de AVG is in Nederland de Autoriteit Persoonsgegevens (AP). Organisaties zijn verplicht alle voor de uitvoering van de taken van de AP benodigde medewerking te verstrekken. De AP kan ook administratieve boetes opleggen. Die kunnen zijn:

  • – een boete van maximaal € 10 miljoen of 2% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer procedureel van aard zijn (artikel 83 lid 4 AVG);
  • – een boete van maximaal € 20 miljoen of 4% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer materieel / inhoudelijk van aard zijn of de privacy van de betrokkenen directer raken (artikel 83 lid 5 AVG);
  • – een boete van maximaal € 20 miljoen of 4% van de wereldwijde jaaromzet voor het niet opvolgen van een bevel van een toezichthouder (artikel 83 lid 6 AVG);
  • – een in het nationale recht bepaalde sanctie op het schenden van een artikel waarop de verordening zelf geen sanctie stelt (artikel 84 lid 1 AVG).

Daarnaast moet er rekening mee gehouden worden, dat een benadeelde natuurlijke persoon een vordering tot schadevergoeding kan instellen. Kortom: niet-naleving van de AVG kan tot serieuze problemen leiden.

Vragen en informatie.

Wij hopen u met het bovenstaande inzicht in de AVG te hebben gegeven. Hebt u nog vragen, of wilt u door ons laten controleren of uw organisatie aan de eisen van de AVG voldoet, dan zijn wij u graag behulpzaam. U kunt daartoe contact opnemen met het kantoor.

Toon reacties

Reacties zijn gesloten.