Nieuwe privacywetgeving: Algemene Verordening Gegevensbescherming (AVG)

29 maart 2018

Met ingang van 25 mei 2018 vervangt de Europese privacywet, ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd, de huidige Wet bescherming persoonsgegevens. De nieuwe privacyregels vragen een gedegen voorbereiding.

Met de AVG krijgen organisaties die persoonsgegevens verwerken strengere verplichtingen. Organisaties en bedrijven, groot én klein, moeten, meer dan nu het geval is, straks goed kunnen aantonen dat ze zich aan de privacywetgeving houden. Kort gezegd krijgen burgers met de nieuwe wet meer privacyrechten en toezichthouders krijgen meer bevoegdheden om te controleren hoe er met deze privacyrechten wordt omgegaan. Alle data die te herleiden zijn naar een natuurlijke persoon vallen onder deze wetgeving. Denk hierbij aan bijvoorbeeld iemands naam, adres en woonplaats, telefoonnummers en e-mailadressen.

Wat zijn de belangrijkste regels van de AVG?

1. Eigen verantwoordelijkheid: verwerkingsverantwoordelijken moeten kunnen aantonen dat zij de juiste technische en organisatorische maatregelen hebben getroffen.

2. Controleur aanstellen: bepaalde organisaties (bijvoorbeeld: overheidsinstanties, ziekenhuizen, verzekeringsmaatschappijen of zoekmachine-aanbieder) zijn verplicht om een Data Protection Officer of Functionaris voor de Gegevensbescherming aan te stellen.

3. Boetes: de toezichthouder, Autoriteit Persoonsgegevens, gaat vanaf mei 2018 actief controleren en kan boetes uitdelen. Als een bedrijf zich niet aan de regels houdt riskeert deze een boete van maximaal 20 miljoen euro of 4% van de totale jaaromzet.

4. Rechten van betrokkenen: betrokkenen (denk aan werknemers of klanten) hebben recht op inzage, het recht op vergetelheid en het verwijderen van gegevens, het recht op dataportabiliteit, het recht om verwerking te beperken en het recht op bezwaar tegen de verwerking van de gegevens.

AVG: verwerkingsvoorwaarden aan verwerkingen van persoonsgegevens

Aan de volgende verwerkingsvoorwaarden moeten alle verwerkingen van persoonsgegevens voldoen:

  • Persoonsgegevens moeten op juiste, rechtmatige en transparante manieren worden opgeslagen;
  • Persoonsgegevens mogen alleen voor een bepaald uitdrukkelijk beschreven doel worden opgeslagen. De verwerking is gerechtvaardigd wanneer het doel van de verwerking gebaseerd kan worden op één van de zes rechtsgrondslagen (zie “AVG in een notendop”) die in de Verordening worden gegeven;
  • Alleen persoonsgegevens die noodzakelijk zijn voor het doel mogen worden opgeslagen;
  • Als identificatie niet meer noodzakelijk is voor het doel, dan moeten de gegevens worden verwijderd of geanonimiseerd;
  • De persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.

AVG: registerplicht om verwerkingsactiviteiten in uw organisatie bij te houden

Aangezien een onderneming al snel structureel persoonsgegevens verwerkt (denk aan een klantenbestand of een personeelsadministratie) kan gesteld worden dat bijna elke organisatie verplicht is om een register van verwerkingsactiviteiten bij te houden.

Het register geeft door middel van een beschrijving inzicht in de verwerkingsactiviteiten. Dit moet schriftelijk gebeuren, wat ook via elektronische weg kan worden gedaan, maar verder zijn er geen vormvereisten. In het register moeten minimaal onderstaande onderdelen worden opgenomen:

  • Naam en contactgegevens van de verantwoordelijke / functionaris voor gegevensbescherming;
  • De verwerkingsdoeleinden;
  • Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • De termijnen waarbinnen de verschillende categorieën van gegevens worden gewist;
  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Zowel de verwerkingsverantwoordelijke als de verwerker dienen een register van verwerkingsactiviteiten bij te houden!

AVG: afspraken maken in een verwerkersovereenkomst

De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon die alleen of tezamen met anderen het doel en de middelen vaststelt voor de verwerking. Bijvoorbeeld een werkgever die de gegevens van zijn werknemers verwerkt is een verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke heeft de plicht om de gegevens in overeenstemming met de beginselen voor de verwerking van persoonsgegevens te verwerken (zie bovenstaande “verwerkingsvoorwaarden”). Naast de registerplicht zal de verwerkingsverantwoordelijke ook afspraken moeten maken met de verwerker van de persoonsgegevens.

Diegene die ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder dat hij rechtstreeks aan diens gezag is onderworpen, is een verwerker. Denk hierbij aan een administratiekantoor dat namens een bedrijf de salarisadministratie voert. Met deze verwerker zal een verwerkersovereenkomst gesloten moeten worden.

AVG: privacy bij design & default (eisen aan software)

Op grond van de AVG moet alle software die binnen een organisatie gebruikt wordt om persoonsgegevens te verwerken voldoen aan het ‘privacy bij design’-vereiste. Dit betekent dat bij het ontwerpen van het informatiesysteem al rekening wordt gehouden met de privacy en gegevensbescherming en het zo min mogelijk verwerken van persoonsgegevens. Bijvoorbeeld Excel of Word is als software niet bedoeld voor het veilig verwerken van persoonsgegevens. Het is ook nog maar de vraag of het beveiligen van een Excel-bestand of een Word-bestand door middel van een wachtwoord voldoende zal zijn om aan het privacy vereiste te voldoen.

AVG: een datalek verplicht melden

Een datalek moest op grond van de bestaande wetgeving al verplicht worden gemeld. Ook onder de AVG moet melding gemaakt worden van een inbreuk op de beveiliging van persoonsgegevens die kan leiden tot ongeoorloofde verwerking daarvan. Als verwerkingsverantwoordelijke moet u een procedure opstellen waarin duidelijk in kaart gebracht wordt welke stappen er genomen moeten worden bij een mogelijk datalek.

De AVG in een notendop:

U heeft een of meerdere rechtsgrondslagen voor het verzamelen van persoonsgegevens:

  • Toestemming van de gebruiker;
  • Vitale belangen;
  • Wettelijke verplichting;
  • Overeenkomst;
  • Algemeen belang;
  • Gerechtvaardigd belang.

U betracht de vereiste zorgvuldigheid:

  • Benoeming functionaris gegevensbescherming (indien nodig);
  • Privacy by design;
  • Impact assessment (indien nodig).

U neemt de benodigde technische en organisatorische maatregelen:

  • Register met alle verwerkingen;
  • Gegevensbeschermingsbeleid;
  • (Digitale) beveiliging.

U komt tegemoet aan rechten van betrokkenen:

  • Recht om in te zien;
  • Recht om te wijzigen;
  • Recht om vergeten te worden;
  • Recht om gegevens over te dragen;
  • Recht op informatie.

Door middel van de AVG-regelhulp van de Autoriteit Persoonsgegevens kunt u bepalen tot welke actiepunten u over moet gaan om uw organisatie AVG-proof te maken.

Heeft u vragen op het gebied van onze dienstverlening of anderszins? Indien u ons contactformulier invult, nemen wij zo spoedig mogelijk contact met u op.