Privacy 2018

Met ingang van 25 mei 2018 moeten alle bedrijven in Europa die persoonsgegevens verwerken (dus ook het MKB en de ZZP-er) voldoen aan de Algemene Verordening Gegevensbescherming, afgekort AVG. Deze Europese verordening gaat in Nederland de huidige Wet Bescherming Persoonsgegevens en als uitvloeisel daarvan de meldplicht Datalekken, vervangen. 

Betere bescherming persoonsgegevens

In de EU wordt bescherming van privacy als een fundamenteel recht beschouwd, een groot goed in een wereld waarin u en mijn data voor (internet) bedrijven goud waard zijn. Het doel van de AVG is om burgers meer vertrouwen te geven in de digitale economie door een betere bescherming van hun persoonsgegevens. De AVG versterkt de positie van de mensen van wie gegevens worden verwerkt. Zij krijgen nieuwe privacyrechten en reeds bestaande rechten worden versterkt. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk gaat meer dan nu het geval is, liggen op de verantwoordelijkheid van organisaties om aan te kunnen tonen dat zij zich aan de wet houden. 

Verwerken gegevens

Wat wordt er nu precies onder het verwerken van gegevens verstaan? Daaronder wordt verstaan: het verzamelen, vastleggen, orderenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.   

Het verwerken van persoonsgegevens is alleen toegestaan wanneer deze verwerking rechtmatig is. 
Daarvan is sprake als:

• er toestemming is van de betrokkene voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
• de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;
• de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting;
• de verwerking noodzakelijk is om de vitale belangen van betrokkene of andere natuurlijke personen te beschermen;
• de verwerking noodzakelijk is ter vervulling van een taak van algemeen belang of openbaar gezag;
• de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

Verplichtingen bedrijven

De nieuwe wetgeving brengt zoals vermeld nogal wat verplichtingen voor bedrijven met zich mee. Zij  moeten vaker dan nu het geval is, apart toestemming vragen aan de mensen van wie ze gegevens gebruiken. Bedrijven worden verplicht om datalekken te melden aan de toezichthouder en moeten daarnaast een Data Protection Officer (DPO) aanstellen die moet garanderen dat bedrijven de regels naleven. Bedrijven worden voorts verplicht een register bij te houden van gegevens die zij verzamelen en ze moeten een zogenaamd privacy impact assessment (risico-analyse) uitvoeren aan de hand waarvan eventuele interne privacy problemen in kaart worden gebracht.

Aanstellen DPO?

De verplichting tot aanstelling van een DPO, het bijhouden van een register en het uitvoeren van een privacy impact assessment geldt niet voor alle bedrijven.

De verplichting tot het aanstellen van een DPO geldt voor overheidsinstanties en publieke organisaties; voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen en voor organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken (bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden).

Register van verwerkingsactiviteiten

De verplichting tot het bijhouden van een register van verwerkingsactiviteiten geldt ook niet voor ieder bedrijf. Het is afhankelijk van de omvang van de organisatie en het type gegevens dat wordt verwerkt.
Als een organisatie meer dan 250 medewerkers heeft, is het verplicht om een register van verwerkingsactiviteiten bij te houden. Organisaties met minder dan 250 medewerkers zijn daartoe niet verplicht tenzij ze persoonsgegevens verwerken:

• die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie persoonsgegevens worden verwerkt en/of;
• waarvan de verwerking niet incidenteel is en/of;
• die vallen onder de categorie bijzondere persoonsgegevens.

Risico-analyse uitvoeren

De plicht tenslotte tot het uitvoeren van een risico-analyse geldt ook niet voor alle gevallen van gegevensverwerking. De analyse is alleen verplicht als de gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Daarvan is sprake als een organisatie:

• systematisch en uitvoerig persoonlijke aspecten evalueert;
• op grote schaal bijzondere persoonsgegevens verwerkt;
• op grote schaal en systematisch mensen volgt in een voor publiek toegankelijk gebied

Naast het vorenstaande zal de Autoriteit Persoonsgegevens op termijn een lijst van verwerkingen publiceren op grond waarvan een risico-analyse eveneens verplicht is.

Als bedrijven zich niet aan de nieuwe privacywetgeving houden, riskeren ze een boete van maximaal 20 miljoen euro of 4% van de (wereldwijde) omzet.

Bewustwording

Volgens de media is het merendeel van de bedrijven in Nederland zich op dit moment volstrekt nog niet bewust van de impact die de AVG vanaf mei 2018 zal hebben. Om daar verandering in aan te brengen, heeft de Autoriteit Persoonsgegevens (het bestuursorgaan in Nederland dat onder meer onafhankelijk toezicht houdt op het gebruik van persoonsgegevens) op haar website de tien belangrijkste stappen die u als ondernemer moet zetten om op tijd aan de AVG te voldoen, op een rij gezet. Het gaat hier om:

Stap 1. Bewustwording

Stap 2: Rechten van betrokkenen

Stap 3: Overzicht verwerkingen

Stap 4: Privacy impact assessment (PIA)

Stap 5: Privacy by design & privacy by default

Stap 6: Functionaris voor de gegevensbescherming

Stap 7: Meldplicht datalekken

Stap 8: Bewerkersovereenkomsten

Stap 9: Leidende toezichthouder

Stap 10: Toestemming

De komende maanden zal ik via dit digitale platform de afzonderlijke stappen toelichten.

Meer informatie over de tien stappen kunt u vinden op de site van de autoriteit persoonsgegevens.

Op verzoek kan ik u deze tekst ook per e-mail toesturen. U kunt dan volstaan met een e-mail aan frank.vandewatering@witloxvcs.nl onder vermelding van tekst 10 stappen AVG.