Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dit betekent dat vanaf deze datum dezelfde wetgeving voor de hele Europese Unie geldt. Hiermee vervalt de Wet bescherming persoonsgegevens (Wbp).
De AVG is geen nieuwe wet want deze is al op 24 mei 2016 in werking getreden, maar pas vanaf 25 mei 2018 is de wet van toepassing. Organisaties hebben dus twee jaar de tijd gekregen om zich goed voor te bereiden op de AVG. Waarom organisaties twee jaar de tijd hebben gekregen is omdat er best wat dingen gaan veranderen. Hieronder zal ik dan ook kort toelichten wat er gaat veranderen en wat dit voor organisaties betekent.
Grondslag van de AVG
Organisaties hebben volgens de AVG een grondslag nodig om persoonsgegevens te mogen verwerken. In de wet zijn de volgende 6 grondslagen opgenomen. Deze grondslagen stonden ook in de Wbp, echter worden er strengere eisen gesteld aan toestemming en gerechtvaardigd belang.
- Toestemming
- Vitale belangen
- Wettelijke verplichting
- Noodzakelijk voor het sluiten van overeenkomsten
- Algemeen belang
- Gerechtvaardigd belang
Wel is het goed om te bedenken dat je toestemming als grondslag eigenlijk als laatste redmiddel wilt gebruiken. Dit omdat er nogal wat haken en ogen aan deze grondslag zitten. Tevens moet een verwerking aan de belangrijkste beginselen van de AVG voldoen:
- Rechtmatigheid
- Transparantie
- Doelbinding
- Juistheid
Zorgvuldigheid
Bewustwording binnen je organisatie is erg belangrijk. De medewerkers moeten op de hoogte zijn van de nieuwe privacyregels en moeten weten hoe zij kunnen voldoen aan de AVG.
Sommige organisaties kunnen vanuit de AVG verplicht zijn om een Data Protection Impact Assessment (DPIA) uit te voeren. Je bent als organisatie verplicht om een DPIA uit te voeren als je op grote schaal aan profiling doet, op grote schaal bijzondere persoonsgegevens verwerkt of op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied. De Autoriteit Persoonsgegevens (AP) publiceert binnenkort een lijst met verwerking waarvoor een DPIA verplicht is. Tevens geldt voor sommige organisaties een verplichting om een Functionaris Gegevensbescherming (FG) aan te stellen. Dit geldt voor overheden, publieke organisatie, organisaties die als kernactiviteit op grote schaal individuen volgen en organisaties die op grote schaal bijzondere persoonsgegevens verwerken. De Europese Unie kan ook andere situaties benoemen waarin een FG verplicht is. Of dit in Nederland ook gaat gebeuren is nog niet bekend. Ben je in beide situaties vanuit de wet niet verplicht om deze acties uit te voeren? Dan is het alsnog raadzaam om deze acties wel te ondernemen. Een risicoanalyse helpt je goed in beeld te brengen welke gegevens er verwerkt worden en wat het risico hiervan is. Ook is het handig om minimaal één iemand aan te stellen die over alle privacy gerelateerde dingen gaat.
Daarnaast geldt voor alle organisaties de plicht om een verwerkingsregister te hebben wanneer je persoonsgegevens verwerkt en om een privacybeleid te hebben. Tot slot is er vanuit de AVG het uitgangspunt Privacy by design en Privacy by default. Dit wil zeggen dat je als organisatie privacy verhogende en technische en organisatorische maatregelen moet nemen. Voorbeelden hiervan zijn een app die aanbiedt niet de locatie te gebruiken wanneer dit niet nodig is of niet vooraf het vakje ‘ja ik wil aanbiedingen’ aan te laten vinken.
Rechten van betrokkenen in de AVG
In de AVG krijgen betrokkenen meer rechten. Zo hebben betrokken het recht:
- Op dataportabiliteit (overdragen van persoonsgegevens)
- Op inzage (inzien welke gegevens een organisatie van betrokkene heeft)
- Op rectificatie en aanvulling (wijziging of aanpassing)
- Op vergetelheid (verwijdering van gegevens)
- Op beperking van de verwerking
- Met betrekking tot geautomatiseerde besluitvorming en profiling
- Om bezwaar te maken
Ten slotte hebben betrokkenen het recht op duidelijke informatie over wat een organisatie met hun persoonsgegevens doet. Dit kan opgenomen worden in een privacy statement die op de website van de organisatie te vinden is.
Door deze nieuwe rechten van betrokkenen, komt er ook meer verantwoordelijkheid voor organisaties. Er moeten duidelijke protocollen komen om verzoeken van betrokken aan te nemen en erop te reageren. Al met al verandert er best veel voor organisaties en worden zij flink aan het werk gezet om compliant aan de AVG te zijn.
