Enige contouren van de nieuwe privacyregeling Wat is de nieuwe privacywetgeving? De Algemene Verorde...
Website     |     Nieuws     |     Contact

Enige contouren van de nieuwe privacyregeling

Telefoon
0313 71 20 20

E-mail
info@advocatenkantoor-dka.nl
Website
www.advocatenkantoor-dka.nl

Enige contouren van de nieuwe privacyregeling

Wat is de nieuwe privacywetgeving?

De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywetgeving, die op 25 mei 2018 de huidige privacywetgeving (Wet bescherming persoonsgegevens) vervangt. Binnen de Europese Unie bestaan nu nog verschillen, maar met de ingang van de AVG is er één privacywet voor de hele EU. Internationaal staat de AVG bekend als General Data Protection Regulation (GDPR).

 

Het doel van de AVG is om effectief bescherming te bieden aan het grondrecht op bescherming van persoonsgegevens in een digitale wereld. Privacy rechten van klanten of gebruikers worden er mee versterkt en uitgebreid. Er zijn veel soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.

 

Voor wie geldt de nieuwe privacywetgeving?

Deze Europese privacywetgeving verplicht alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU om bij iedere afzonderlijke verwerking van persoonsgegevens na te gaan of is voldaan aan de eisen van de AVG. Vrijwel alle ondernemers, ook zzp'ers en mkb-ers, krijgen hiermee te maken door het versturen van een offerte, factuur of (digitale) nieuwsbrief. Ook het bijhouden van afspraken met klanten, contactgegevens van klanten (zoals adres, e-mailadres of telefoonnummers) of personeelsinformatie valt hieronder. Iedere afzonderlijke verwerking van persoonsgegevens – dus steeds als u iets met die persoonsgegevens doet – moet worden getoetst aan de eisen van de AVG.

 

Door de AVG heeft iedere ondernemer een verantwoordingsplicht. Hij moet kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de AVG te voldoen. Ook moet hij kunnen bewijzen dat hij geldige toestemming heeft gekregen voor het verwerken van persoonsgegevens. Het niet voldoen aan de nieuwe privacywetgeving kan een behoorlijke boete opleveren met sancties tot 20 miljoen euro of 4% van de wereldwijde omzet. De Autoriteit Persoonsgegevens (AP) houdt in Nederland toezicht op naleving van de AVG.

 

Mogen de persoonsgegevens wordt verwerkt?

Onder de AVG mogen niet zomaar persoonsgegevens worden verwerkt. Er worden drie typen persoonsgegevens onderscheiden: gewone, bijzondere en strafrechtelijke gegevens. Gewone persoonsgegevens mogen alleen worden verwerkt wanneer de grondslag voor de gegevensverwerking in de AVG staat. Deze kent 6 grondslagen. Als de gegevensverwerking niet gebaseerd kan worden op minimaal één van deze grondslagen, bestaat er geen recht tot gegevensverwerking. De 6 grondslagen voor het verwerken van de persoonsgegevens zijn:

 

·       toestemming van de betrokken persoon;

·       de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst;

·       de gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting;

·       de gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen;

·       de gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag; en/of

·       de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

 

De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij een beroep gedaan kan worden op een specifieke wettelijke uitzondering én op 1 van de 6 grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. Strafrechtelijke gegevens kunnen zien op strafrechtelijke veroordelingen. Bij bijzondere persoonsgegevens moet gedacht worden aan ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond. Ook als er genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksuele gedrag of gerichtheid worden verwerkt, is er sprake van bijzondere persoonsgegevens.


Verwerkingsregister

In de praktijk zullen (vrijwel) alle organisaties verplicht zijn de verwerking van persoonsgegevens in een register bij te houden. Dit omdat binnen een organisatie klanten-, leveranciers- of personeelsbeheer voorkomt. De gegevensverwerkingen die worden gedaan moeten in kaart worden gebracht. Documenteer welke gegevens verwerkt worden en met welk doel. Datzelfde geldt voor waar deze gegevens vandaan komen en met wie ze worden gedeeld. Een ondernemer is verantwoording plichtig en moet kunnen aantonen dat hij in overeenstemming met de AVG handelt. Het bijhouden van een verwerkingsregister is een onderdeel van die verantwoordingsplicht. Dit register is ook nodig als betrokkenen hun privacy rechten willen uitoefenen en bijvoorbeeld vragen om hun gegevens te corrigeren of verwijderen.

 

De AP gebruikt dit verwerkingsregister om te controleren of een ondernemer zijn zaken omtrent privacy goed op orde heeft. 

 

Wat staat er in het verwerkingsregister?

       de naam en contactgegevens van verantwoordelijke en van de functionaris voor gegevensbescherming (indien noodzakelijk/aanwezig);

       de doeleinden waarvoor gegevens worden verwerkt;

       de categorieën gegevens (zoals NAW-gegevens, contactgegevens, betaalgegevens);

       de categorieën betrokkenen (bijvoorbeeld: klanten, websitebezoekers, werknemers);

       de categorieën ontvangers (aan wie worden de gegevens verstrekt?);

       informatie over eventuele doorgifte van gegevens naar landen buiten de EU;

       de bewaartermijnen van de gegevens;

       de manieren waarop gegevens zijn beveiligd (bijvoorbeeld: encryptie, logische toegangscontrole, pseudonimisering)

 

Data protection impact analyse

Bij het verwerken van gegevens met een hoog privacy risico is een ‘data protection impact analyse’ (DPIA) verplicht. Met deze gegevensbeschermingseffectbeoordeling worden de privacy risico’s van de verwerking van gegevens in kaart gebracht. Blijkt uit de DPIA dat de privacy risico’s hoog zijn, dan kunnen er maatregelen worden genomen om de risico’s te verkleinen. Maak een data protection impact assessment en voldoe aan de verplichting om vooraf de risico’s van gegevensverwerking in kaart te brengen.

 

Een DPIA moet in ieder geval verplicht worden uitgevoerd als er:

  • bijzondere persoonsgegevens als ras, godsdienst, gezondheid, politieke opvattingen, genetische – of biometrische gegevens op grote schaal worden verwerkt, of
  • op grote schaal en systematisch mensen worden gevolgd in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht, of
  • gegevens zo worden gecombineerd, dat iemand in een bepaalde categorie of groep is in te delen en daardoor zo kan worden benaderd of beoordeeld (profilering)

Verder is het van belang dat bij het ontwerpen van nieuwe producten en/of diensten al rekening wordt gehouden met de bescherming van privacygevoelige informatie. Vraag geen gegevens op die niet nodig zijn. Voor de verzending van een e-mailnieuwsbrief is bijvoorbeeld geen woonadres nodig.

 

Verwerk alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel. Bij het vragen om persoonsgegevens moet de standaardinstelling van uw systemen zo privacy vriendelijk mogelijk zijn. De persoon kan zelf gegevens achterlaten of een actieve handeling verrichten om toestemming te geven (opt-in). Er mag bijvoorbeeld geen gebruik worden gemaakt van een (web)formulier waarop al een vakje is aangevinkt. Ook mag u niet automatisch informatie naar iemand toezenden, zonder dat diegene daar vooraf toestemming voor heeft gegeven. De standaardinstellingen moeten de privacy van iemand respecteren (privacy by default) totdat de persoon zelf toestemming geeft.


Functionaris gegevensbescherming

Bij de inwerkingtreding van de AVG kunnen ondernemingen verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. In drie situaties is een FG verplicht. (1) Overheidsinstanties en publieke organisaties zijn altijd verplicht een FG aan te stellen. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet. (2) De verplichting om een FG aan te stellen geldt ook voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid. (3) Organisaties zijn verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren. Wanneer onduidelijk is of een onderneming verplicht is om een FG aan te stellen, moet goed onderbouwd kunnen worden waarom ervoor gekozen is om dat wel of niet te doen.


Meldplicht datalekken en bewerkersovereenkomsten

Herijk de interne procedures voor het vastleggen en melden van datalekken. In de AVG wordt de meldplicht uitgebreid met de verplichting om alle datalekken te documenteren. Verder verdient het aanbeveling om ervoor te zorgen dat er een bewerkersovereenkomst wordt gesloten met iedere organisatie die persoonsgegevens voor de onderneming verwerkt. Controleer of bestaande overeenkomsten voldoen aan de AVG.

 

Tot slot dient iedere nieuwe (andere of gewijzigde) verwerking van persoonsgegevens steeds te worden getoetst aan het privacy recht.


Privacyverklaring

De privacyverklaring of een verwijzing naar de privacyverklaring moet eenvoudig te vinden zijn, daar waar om persoonsgegevens wordt gevraagd. In de privacyverklaring staan in ieder geval:

  • de bedrijfsgegevens;
  • het doel van de gegevensvastlegging;
  • welke gegevens er worden verzameld;
  • aan wie de gegevens eventueel worden doorgegeven;
  • hoe lang de gegevens worden bewaard;
  • uitleg over cookies en de reden van gebruik (bij gebruik van cookies);
  • de toegepaste beveiliging van de vastgelegde persoonsgegevens;
  • het recht op inzage, correctie, verwijdering en het meenemen van eigen gegevens (dataportabiliteit);
  • het recht op intrekking van verleende toestemming en
  • het recht om een klacht in te dienen.

Overigens is het bovenstaande geenszins een uitputtende weergave van de nieuwe Privacywetgeving.