AVG

De AVG kort en duidelijk

Dinsdag 19 juni 2018

Geen uitzonderingspositie MKB bij handhaving nieuwe privacywet!

Per 25 mei jl. is de Algemene Verordening Gegevensbescherming (AVG) van kracht gegaan. De AVG brengt belangrijke wijzigingen met zich met betrekking tot de bescherming van persoonsgegevens. Alle informatie aan de hand waarvan een specifiek persoon zonder al te veel moeite geïdentificeerd kan worden, is een persoonsgegeven. Denk bijvoorbeeld aan NAW-gegevens, telefoonnummers, IP-adressen, maar bijvoorbeeld ook aan beeld- en geluidmateriaal.

        

De AVG: wat betekent dit voor u?

Verwerken van persoonsgegevens: algemene uitgangspunten
Gegevens mogen niet zomaar verwerkt worden.  Daar zijn allerlei voorwaarden aan verbonden. Eén van de belangrijkste is dat gegevensverwerking alleen maar is toegestaan wanneer dat gebeurt op basis van één van de in de wet genoemde gronden: verkregen toestemming, een overeenkomst, een wettelijke plicht, vitale belangen van de betrokkene, overheidstaak, eigen dringend belang.

Daarnaast mogen er niet meer gegevens verwerkt worden dan noodzakelijk en die gegevens mogen ook niet langer bewaard worden dan nodig is. Natuurlijk dienen de gegevens ook correct en actueel te zijn en zullen er passende beveiligingsmaatregelen getroffen moeten worden.

Documentatieplicht en verwerkingsregister
De AVG introduceert een documentatieplicht. Dit houdt in dat elke organisatie waarop de AVG van toepassing is, in staat moet zijn op elk moment aan te tonen dat er gehandeld is in overeenstemming met de bepalingen van de AVG. Er zal dus een zogenaamde privacy-administratie bijgehouden moeten worden.

Bovendien moet vrijwel iedere organisatie een verwerkingsregister bijhouden. Daar moet onder meer de volgende informatie in staan:

  • de verwerkingsdoeleinden;
  • een beschrijving van de groep(en) personen waar de gegevens betrekking op hebben en van de categorieën van persoonsgegevens (NAW gegevens, medische gegevens, financiële gegevens, etc.);
  • een overzicht van de personen aan wie de persoonsgegevens worden verstrekt;
  • of de persoonsgegevens worden verstrekt aan een land buiten de EU of een internationale organisatie;
  • de (voorgenomen) bewaartermijnen;
  • welke beveiligingsmaatregelen zijn genomen om de gegevens te beschermen.

Bewerkers-/verwerkersovereenkomst
Er moet met iedere verwerker van persoonsgegevens (dat is iemand / een organisatie die in opdracht van de verantwoordelijke gegevens verwerkt) een zogenaamde verwerkersovereenkomst worden gesloten. Hierin moeten de afspraken staan met betrekking tot de bescherming van persoonsgegevens, de beveiligingsmaatregelen en de naleving van de meldplicht datalekken (zie hierna). In de verwerkersovereenkomst moeten onder meer de volgende punten zijn geregeld en opgenomen:

  • Wat de doeleinden van de gegevensverwerking zijn;
  • Welke soort persoonsgegevens worden verwerkt;
  • Wat de categorieën van betrokkenen op wie de gegevens zien;
  • Passend beveiligen van de gegevens;
  • Uitvoeren van audits;
  • Vernietigen of terug leveren van de gegevens aan de verantwoordelijke.

Rechten betrokkenen
Degene van wie persoonsgegevens worden verwerkt, wordt betrokkene genoemd. De betrokkene heeft een aantal rechten om het recht op privacy te kunnen waarborgen. Dit zijn onder meer:

  • Het recht op informatieverstrekking
    Een betrokkene heeft het recht om tijdig informatie te krijgen over de verwerking van zijn/haar persoonsgegevens, het doel waarvoor die gegevens gebruikt worden, gegevens over een mogelijk aanwezige functionaris gegevensbescherming, welke waarborgen er zijn als de gegevens worden getransporteerd en waar de werknemer naartoe kan in het geval hij/zij een klacht heeft. De informatieverstrekking moet plaatsvinden in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal.
  • Het recht op inzage (en kopie)
    Een betrokkene heeft zowel recht op inzage in de persoonsgegevens die van hem/haar worden verwerkt als een recht op een kopie van die informatie.
  • Het recht op rectificatie
    Een betrokkene kan verlangen dat onjuiste gegevens worden gerectificeerd dan wel worden aangevuld indien de verwerking plaatsvindt op basis van onvolledige gegevens.
  • Het recht op vergetelheid (‘right to be forgotten’)
    De persoonsgegevens van een betrokkene moeten zonder onredelijke vertraging worden verwijderd indien 1) de verwerking hiervan niet langer nodig is voor de verwezenlijking van het doel, 2) de verwerking enkel berustte op de toestemming van de betrokkenen en betrokkene zijn/haar toestemming intrekt of 3) de betrokkene bezwaar maakt of er geen rechtsgrond voor de verwerking aanwezig is.
  • Het recht op dataportabiliteit
    Een betrokkene krijgt het recht om zijn/haar data mee te kunnen nemen en dus op een gemakkelijke manier over te kunnen dragen aan een derde.
  • Het recht om zich te verzetten tegen profilering
    Een betrokkene kan zich verzetten tegen geautomatiseerde individuele besluitvorming. Bij dit recht kan gedacht worden aan de verwerking van sollicitaties via het internet zonder menselijke tussenkomst.

Privacy officer en privacy impact analyse
In sommige gevallen wordt het verplicht een privacy officer (functionaris voor gegevensbescherming) aan te stellen. Dat is bijvoorbeeld het geval bij een overheidsinstantie of -orgaan, maar ook bij bedrijven die zich hoofdzakelijk bezig houden met stelselmatige observatie (profilering en tracking) of grootschalige verwerking van bijzondere persoonsgegevens (ras, geloof, politieke voorkeur, medische gegevens, etc).

Een zogenaamde privacy impact analyse (gegevensbeschermingseffectbeoordeling) is noodzakelijk wanneer er gegevensverwerkingen plaatsvinden met een waarschijnlijk hoog risico voor de rechten en vrijheden van natuurlijke personen. Dit is bijvoorbeeld zo bij profilering, grootschalige verwerking van bijzondere persoonsgegevens en stelselmatige en grootschalige monitoring van openbare ruimtes.

Meldplicht datalekken
De meldplicht datalekken bestaat al en verandert nauwelijks. Het houdt in dat er een melding gedaan moet worden aan de Autoriteit Persoonsgegevens (en soms aan de betrokkene) wanneer er data gelekt is en dat aanzienlijke negatieve gevolgen kan hebben voor de bescherming van persoonsgegevens. Onder ‘datalek’ wordt verstaan het onbedoeld vrijkomen, wijzigen, vernietigen of toegankelijk worden van persoonsgegevens, bijvoorbeeld door een computerhack of verlies van een USB-stick of laptop.

Handhaving
Het niet naleven van de AVG kan een dure aangelegenheid worden. De Autoriteit Persoonsgegevens is namelijk bevoegd om (o.a.) boetes op te leggen van maximaal € 20 miljoen of 4 procent van de wereldwijde jaaromzet (als dat meer is). Daarnaast lopen de bestuurders van organisaties die zich niet aan de regels houden, het risico persoonlijk aansprakelijk gesteld te worden wanneer er iets mis gaat. Reden genoeg om privacy hoog op de agenda te zetten!

Indien u vragen hebt naar aanleiding van de nieuwe wetgeving, neemt u dan gerust contact op met Djoeke Altena van ONL (d.altena@onl.nl; tel: 070- 364 34 74) of Dick van Deventer van Valegis Advocaten (d.vandeventer@valegis.com; 070-319 60 40).

Previous post

Vermogensrendementsheffing - Hans Biesheuvel - BNR

Next post

MKB first bij beleid buitenlandse handel en handelsbevordering - Position paper

No Comment

Leave a reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *