Wat is de nieuwe
privacywetgeving?
De Algemene Verordening
Gegevensbescherming (AVG) is de nieuwe privacywetgeving, die op 25 mei 2018 de
huidige privacywetgeving (Wet bescherming persoonsgegevens) vervangt. Binnen de
Europese Unie bestaan nu nog verschillen, maar met de ingang van de AVG is er
één privacywet voor de hele EU. Internationaal staat de AVG bekend als General
Data Protection Regulation (GDPR).
Het doel van de AVG is om
effectief bescherming te bieden aan het grondrecht op bescherming van
persoonsgegevens in een digitale wereld. Privacy rechten van klanten of
gebruikers worden er mee versterkt en uitgebreid. Er zijn veel soorten persoonsgegevens. Voor de hand liggende gegevens
zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes
met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras,
godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn
door de wetgever extra beschermd.
Voor wie geldt de nieuwe privacywetgeving?
Deze Europese privacywetgeving verplicht alle bedrijven en
organisaties die persoonsgegevens vastleggen van klanten, personeel of andere
personen uit de EU om bij iedere afzonderlijke verwerking van persoonsgegevens
na te gaan of is voldaan aan de eisen van de AVG. Vrijwel alle ondernemers, ook
zzp'ers en mkb-ers, krijgen hiermee te maken door het versturen van een
offerte, factuur of (digitale) nieuwsbrief. Ook het bijhouden van afspraken met
klanten, contactgegevens van klanten (zoals adres, e-mailadres of
telefoonnummers) of personeelsinformatie valt hieronder. Iedere afzonderlijke
verwerking van persoonsgegevens – dus steeds als u iets met die
persoonsgegevens doet – moet worden getoetst aan de eisen van de AVG.
Door de AVG heeft iedere
ondernemer een verantwoordingsplicht. Hij moet kunnen aantonen dat de juiste
organisatorische en technische maatregelen zijn genomen om aan de AVG te
voldoen. Ook moet hij kunnen bewijzen dat hij geldige toestemming heeft
gekregen voor het verwerken van persoonsgegevens. Het niet voldoen aan de
nieuwe privacywetgeving kan een behoorlijke boete opleveren met sancties tot 20
miljoen euro of 4% van de wereldwijde omzet. De Autoriteit
Persoonsgegevens (AP) houdt in Nederland toezicht op naleving van de AVG.
Mogen de persoonsgegevens wordt verwerkt?
Onder de AVG mogen niet zomaar persoonsgegevens worden verwerkt. Er worden drie typen persoonsgegevens onderscheiden: gewone, bijzondere en strafrechtelijke gegevens. Gewone persoonsgegevens mogen alleen worden verwerkt wanneer de grondslag voor de gegevensverwerking in de AVG staat. Deze kent 6 grondslagen. Als de gegevensverwerking niet gebaseerd kan worden op minimaal één van deze grondslagen, bestaat er geen recht tot gegevensverwerking. De 6 grondslagen voor het verwerken van de persoonsgegevens zijn:
·
toestemming van de betrokken persoon;
·
de
gegevensverwerking is noodzakelijk voor de uitvoering van een
overeenkomst;
·
de
gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting;
·
de
gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen;
·
de
gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening
van openbaar gezag; en/of
·
de
gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
De
verwerking van bijzondere en strafrechtelijke persoonsgegevens is
verboden, tenzij een beroep gedaan kan worden op een specifieke wettelijke
uitzondering én op 1 van de 6 grondslagen voor het verwerken van ‘gewone’
persoonsgegevens. Strafrechtelijke gegevens kunnen zien op strafrechtelijke
veroordelingen. Bij bijzondere persoonsgegevens moet gedacht worden aan
ras, etnische afkomst, politieke opvattingen, religieuze of
levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond. Ook als
er genetische gegevens, biometrische gegevens met het oog op de unieke
identificatie van een persoon, gegevens over gezondheid, of gegevens met
betrekking tot iemands seksuele gedrag of gerichtheid worden verwerkt, is er
sprake van bijzondere persoonsgegevens.
Verwerkingsregister
In de praktijk zullen
(vrijwel) alle organisaties verplicht zijn de verwerking van persoonsgegevens
in een register bij te houden. Dit omdat binnen een organisatie klanten-,
leveranciers- of personeelsbeheer voorkomt. De gegevensverwerkingen die
worden gedaan moeten in kaart worden gebracht. Documenteer welke gegevens
verwerkt worden en met welk doel. Datzelfde geldt voor waar deze gegevens
vandaan komen en met wie ze worden gedeeld. Een ondernemer is verantwoording
plichtig en moet kunnen aantonen dat hij in overeenstemming met de AVG handelt.
Het bijhouden van een verwerkingsregister is een onderdeel van die
verantwoordingsplicht. Dit register is ook nodig als betrokkenen hun privacy
rechten willen uitoefenen en bijvoorbeeld vragen om hun gegevens te corrigeren
of verwijderen.
De AP gebruikt dit verwerkingsregister om te controleren of
een ondernemer zijn zaken omtrent privacy goed op orde heeft.
Wat staat er in het verwerkingsregister?
•
de naam en contactgegevens van verantwoordelijke
en van de functionaris voor gegevensbescherming (indien noodzakelijk/aanwezig);
•
de doeleinden waarvoor gegevens worden verwerkt;
•
de categorieën gegevens (zoals NAW-gegevens,
contactgegevens, betaalgegevens);
•
de categorieën betrokkenen (bijvoorbeeld:
klanten, websitebezoekers, werknemers);
•
de categorieën ontvangers (aan wie worden de
gegevens verstrekt?);
•
informatie over eventuele doorgifte van gegevens
naar landen buiten de EU;
•
de bewaartermijnen van de gegevens;
•
de manieren waarop gegevens zijn beveiligd
(bijvoorbeeld: encryptie, logische toegangscontrole, pseudonimisering)
Data protection impact
analyse
Bij het verwerken van
gegevens met een hoog privacy risico is een ‘data protection impact analyse’
(DPIA) verplicht. Met deze gegevensbeschermingseffectbeoordeling worden de
privacy risico’s van de verwerking van gegevens in kaart gebracht. Blijkt uit
de DPIA dat de privacy risico’s hoog zijn, dan kunnen er maatregelen worden
genomen om de risico’s te verkleinen. Maak een data protection impact
assessment en voldoe aan de verplichting om vooraf de risico’s van
gegevensverwerking in kaart te brengen.
Een DPIA moet in ieder geval verplicht worden uitgevoerd als
er:
- bijzondere persoonsgegevens als ras, godsdienst,
gezondheid, politieke opvattingen, genetische – of biometrische gegevens
op grote schaal worden verwerkt, of
- op grote schaal en systematisch mensen worden gevolgd in
een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht, of
- gegevens zo worden gecombineerd, dat iemand in een
bepaalde categorie of groep is in te delen en daardoor zo kan worden
benaderd of beoordeeld (profilering)
Verder
is het van belang dat bij het ontwerpen van nieuwe producten en/of diensten al
rekening wordt gehouden met de bescherming van privacygevoelige informatie.
Vraag geen gegevens op die niet nodig zijn. Voor de verzending van een
e-mailnieuwsbrief is bijvoorbeeld geen woonadres nodig.
Verwerk
alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel. Bij het vragen om
persoonsgegevens moet de standaardinstelling van uw systemen zo privacy
vriendelijk mogelijk zijn. De persoon kan zelf gegevens achterlaten of een
actieve handeling verrichten om toestemming te geven (opt-in). Er mag
bijvoorbeeld geen gebruik worden gemaakt van een (web)formulier waarop al een
vakje is aangevinkt. Ook mag u niet automatisch informatie naar iemand
toezenden, zonder dat diegene daar vooraf toestemming voor heeft gegeven. De
standaardinstellingen moeten de privacy van iemand respecteren (privacy by
default) totdat de persoon zelf toestemming geeft.
Functionaris
gegevensbescherming
Bij
de inwerkingtreding van de AVG kunnen ondernemingen verplicht zijn een
functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die
binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.
In drie situaties is een FG verplicht. (1) Overheidsinstanties en publieke
organisaties zijn altijd verplicht een FG aan te stellen. Het kan gaan om de
rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen.
Voor rechtbanken geldt de verplichte aanstelling van een FG niet. (2) De
verplichting om een FG aan te stellen geldt ook voor organisaties die vanuit
hun kernactiviteiten op grote schaal individuen volgen. Het kan
hierbij gaan om bijvoorbeeld profilering van mensen voor het
maken van risico-inschattingen, cameratoezicht en monitoring van iemands
gezondheid. (3) Organisaties zijn verplicht een FG te benoemen als ze op grote
schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is.
Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid,
ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.
EU-lidstaten
kunnen ook andere situaties benoemen waarin een FG verplicht is. Het is nog
niet bekend of dit in Nederland gaat gebeuren. Wanneer onduidelijk is of een
onderneming verplicht is om een FG aan te stellen, moet goed onderbouwd kunnen
worden waarom ervoor gekozen is om dat wel of niet te doen.
Meldplicht
datalekken en bewerkersovereenkomsten
Herijk de interne procedures voor het vastleggen en melden
van datalekken. In de AVG wordt de meldplicht uitgebreid met de verplichting om
alle datalekken te documenteren. Verder verdient het aanbeveling om ervoor te
zorgen dat er een bewerkersovereenkomst wordt gesloten met iedere organisatie
die persoonsgegevens voor de onderneming verwerkt. Controleer of bestaande
overeenkomsten voldoen aan de AVG.
Tot slot dient iedere nieuwe
(andere of gewijzigde) verwerking van persoonsgegevens steeds te worden
getoetst aan het privacy recht.
Privacyverklaring
De privacyverklaring of een verwijzing naar de
privacyverklaring moet eenvoudig te vinden zijn, daar waar om persoonsgegevens
wordt gevraagd. In de privacyverklaring staan in ieder geval:
- de bedrijfsgegevens;
- het doel van de gegevensvastlegging;
- welke gegevens er worden verzameld;
- aan wie de gegevens eventueel worden doorgegeven;
- hoe lang de gegevens worden bewaard;
- uitleg over cookies en de reden van gebruik (bij gebruik
van cookies);
- de toegepaste beveiliging van de vastgelegde
persoonsgegevens;
- het recht op inzage, correctie, verwijdering en het
meenemen van eigen gegevens (dataportabiliteit);
- het recht op intrekking van verleende toestemming en
- het recht om een klacht in te dienen.
Overigens is het bovenstaande geenszins een uitputtende
weergave van de nieuwe Privacywetgeving.