Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze verordening regelt de wijze waarop bedrijven en organisaties met persoonsgegevens moeten omgaan en aan welke eisen moet worden voldaan bij het verzamelen en de verwerking daarvan. Onder persoonsgegevens vallen alle gegevens die te herleiden zijn naar een persoon. Dit kunnen namen zijn, maar ook e-mailadressen, klantnummers, adresgegevens, etc.
Wijzigingen
Het idee dat persoonsgegevens beschermd moeten worden, is niet nieuw. Ook nu bestaat er al wetgeving – de Wet Bescherming Persoonsgegevens – die persoonsgegevens beschermt. De strekking en bedoeling van deze regelgeving blijft hetzelfde, maar er is een aantal zaken dat wijzigt. De belangrijkste wijzigingen zullen hierna uiteen worden gezet.
Verantwoordingsplicht
Op iedere organisatie rust de plicht om op ieder moment te kunnen laten zien dat er behoorlijk en zorgvuldig met de persoonsgegevens wordt omgegaan. Behoorlijke en zorgvuldige verwerking houdt in dat de persoonsgegevens zijn verwerkt voor bepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden. De toezichthouder Autoriteit Persoonsgegevens kan om inzage vragen. Het is dus van belang dat een en ander goed wordt gedocumenteerd.
Data Protection Impact Assessment (DPIA)
Op grond van de huidige Wet Bescherming Persoonsgegevens kan een organisatie een Privacy Impact Assessment (PIA) (laten) uitvoeren. Dit assessment geeft inzicht in privacy-risico’s.
Vanaf 25 mei 2018 is een organisatie verplicht om een Data Protection Impact Assessment uit te (laten) voeren, wanneer zij:
-
op grote schaal bijzonder gevoelige persoonsgegevens verwerkt, zoals gegevens op het gebied van levensovertuiging, seksuele geaardheid of strafrechtelijke historie;
-
persoonsgegevens systematisch verwerkt, zoals bij automatische beslissingen op basis van klantgedrag; of
-
vermoedt dat verwerking van de persoonsgegevens een grote invloed heeft op de betrokkenen, zoals bij het verwerken van medische gegevens.
Dit DPIA dient in principe plaats te vinden voordat de persoonsgegevens verwerkt en verzameld worden. Wanneer tijdens de verwerking echter blijkt dat van aan (één van) voornoemde criteria wordt voldaan, moet het DPIA alsnog zo spoedig mogelijk plaatsvinden. Indien uit dit assessment blijkt dat gegevens inderdaad risicovol zijn, moet de organisatie de Autoriteit Persoonsgegevens vóór de gegevensverzameling raadplegen, wanneer die risico’s door de organisatie niet kunnen worden beperkt door maatregelen die met het oog op de beschikbare technologie en de uitvoeringskosten redelijk zijn.
Functionaris voor gegevensbescherming
Bij bepaalde organisaties zal een aparte persoon moeten worden aangesteld die de persoonsgegevens gaat beschermen. Dit is het geval bij:
-
overheidsinstantie;
-
organisaties van wie het een kernactiviteit is om op grote schaal bijzondere persoonsgegevens te verwerken; en
-
organisaties van wie het een kernactiviteit is om op grote schaal mensen te volgen.
Boetes
De boetes die bij overtreding kunnen worden opgelegd, zijn vele malen hoger dan onder de huidige wet.
Meldplicht datalekken
Hoewel het in Nederland al verplicht was om datalekken te melden, is het goed om te benadrukken dat deze verplichting blijft bestaan, aangezien de boetes aanzienlijk hoger zijn bij constatering van een overtreding.
Natuurlijke personen krijgen sterkere rechten
Onder de AVG krijgen natuurlijke personen sterkere rechten, waaronder het recht:
-
op inzage in de eigen persoonsgegevens die een organisatie onder zich heeft;
-
om vergeten te worden: aan de organisatie kan gevraagd worden om informatie te verwijderen;
-
om een eerder gegeven toestemming in te trekken.
Gezien deze veranderingen is het wellicht te onderzoeken of uw organisatie klaar is voor de AVG. Indien u daarover vragen heeft, bespreken wij dat graag met u.