De Algemene Verordening Gegevensbescherming (AVG); u kunt zich er als ondernemer niet aan onttrekken - Advies-balie

de Advies-balie
voor (juridisch) advies en praktische ondersteuning
Ga naar de inhoud

Hoofdmenu:

De Algemene Verordening Gegevensbescherming (AVG); u kunt zich er als ondernemer niet aan onttrekken

De Algemene Verordening Gegevensbescherming (AVG); je kunt je er als organisatie niet aan onttrekken

Vrijwel iedere organisatie werkt met persoonsgegevens: personeelsadministraties, patiënten en/of klantenbestanden, adressenbestanden voor nieuwsbrieven of andersoortige persoonsgegevens. Als je dat soort persoonsgegevens verwerkt krijg je te maken met de Wet bescherming persoonsgegevens (WbP) die de privacy van de betrokkenen (degene waarvan jij de persoonsgegevens verwerkt) beschermd. Verwerken betekent overigens niet alleen het registreren van persoonsgegevens, maar ook het ordenen, bewaren, raadplegen, verspreiden, bijwerken, samenbrengen of verwijderen van gegevens. De Wet Bescherming Persoongegevens (WbP) is al sinds 2011 van kracht. Vanaf 2016 is de vernieuwde Wbp in werking getreden. De belangrijkste wijziging in die vernieuwde wet betrof de invoering van de zogenaamde meldplicht bij datalekken en het feit dat de boetebevoegdheden van het College bescherming persoonsgegevens (CBP) aanzienlijk werden uitgebreid. Vanaf die datum heet het CBP 'Autoriteit persoonsgegevens' (AP). Voldoe je als organisatie niet aan de voorwaarden die zijn voorgeschreven dan kan de AP voor overtreding van vrijwel alle verplichtingen uit de Wbp boetes uitdelen. In de huidige Wbp is onder meer bepaald dat persoonsgegevens door middel van passende technische en organisatorische maatregelen beveiligd dienen te worden. Vanuit de EU wordt er nu Europese Wetgeving ingevoerd waardoor er verdere aanvullende eisen aan gegevensbescherming binnen organisaties zullen worden gesteld. Dit is vormgegeven middels de General Data Protection Regulation (GDPR), in het Nederlands bekend onder de naam Algemene Verordening Gegevensbescherming (AVG). Vanaf 25 mei 2018 zal de GDPR volledig in werking worden gesteld en geldt voor alle lidstaten van de EU dezelfde privacywetgeving.

Dat die nieuwe wet eraan zit te komen is al lange tijd bekend. Toch zijn veel organisaties nog niet goed voorbereid. Dat kan erg vervelende consequenties hebben. Zo zal iedere organisatie moeten kunnen aantonen dat zij voldoet aan deze nieuwe Europese Privacy verordening en bij het niet voldoen aan de wettelijke vereisten kunnen er boetes worden opgelegd die oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet van de betreffende organisatie.

De AVG zorgt onder andere voor dat privacyrechten worden versterkt en uitgebreid, dat organisaties meer verplichtingen worden opgelegd bij het verwerken van persoonsgegevens en legt hen een verantwoordingsplicht op. De nieuwe Europese privacywetgeving geldt voor alle organisaties die persoonsgegevens verwerken, dus ook voor kleine MKB'ers en ZZP'ers gelden.

Per 25 mei 2018 verandert voor organisaties, onder andere:
  • Dat organisaties de verwerking van persoonsgegevens niet meer hoeven te melden bij de Autoriteit Persoonsgegevens;
  • Dat organisaties een documentatieplicht hebben op grond waarvan zij moeten kunnen aantonen op welke manier data wordt verzameld, voor welke doeleinden, welke personen binnen en buiten de organisatie er bij betrokken zijn, wat de technische infrastructuur is, welke verwerkingen de data ondergaan en wat de werkwijze is in geval van een datalek;
  • Dat, in tegenstelling tot de regel van de Meldplicht Datalekken dat alleen datalekken gemeld diende te worden als er ernstige gevolgen voor de persoon in kwestie zouden kunnen optreden, vanaf 25 mei 2018 elke datalek gemeld moet worden, tenzij het geen risico oplevert voor de persoonlijke levenssfeer;
  • Dat organisaties verplicht kunnen zijn een functionaris voor de gegevensbescherming (FG) aan te stellen;
  • Dat organisaties verplicht kunnen zijn een Data protection impact assessment (DPIA), in het Nederlands een 'gegegevensbeschermingseffectbeoordeling' uit te voeren.

NB Een DPIA is alleen verplicht als een gegevensverwerking naar verwachting een hoog privacyrisico oplevert voor de betrokkenen. Daarvan is in ieder geval sprake als een organisatie:
  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied.

Op termijn zal de AP een lijst van verwerkingen publiceren waarvoor een DPIA verplicht is. De Europese privacytoezichthouders hebben in april 2017 de Guidelines on Data Protection Impact Assessment vastgesteld die in oktober 2017 is gewijzigd en is vastgesteld. De officiële Nederlandse vertaling, genaamd: 'Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepalingen of een beperking' kan middels deze link worden bekeken.

Uitleg in het kort
Voordat hieronder puntsgewijs wordt aangegeven wat de Algemene Verordening Gegevensbescherming inhoudt, wellicht ten overvloede even in het kort een omschrijving wat onder persoonsgegevens wordt verstaan. Persoonsgegevens zijn alle gegevens aan de hand waarvan een persoon kan worden geïdentificeerd. Hierbij kun je denken aan:
  • Naam- en adresgegevens;
  • (Pas)foto's;
  • Vingerafdrukken;
  • E-mailadressen;
  • IP-adressen;
Ook gegevens die een waardering geven over een persoon, zoals bijvoorbeeld iemands IQ worden als persoonsgegevens beschouwd.

Naast dit soort 'gewone' persoonsgegevens kent de wet ook 'bijzondere' persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens die zo gevoelig zijn dat de verwerking van dat soort gegevens iemands privacy ernstig kan aantasten. Hieronder vallen bijvoorbeeld gegevens over iemands:
  • Godsdienst;
  • Gezondheid;
  • Strafrechtelijk verleden;
  • Seksuele voorkeur;
  • Ras;
  • Burgerservicenummer;
  • Lidmaatschap van een bepaalde vereniging of genootschap.

De AVG puntsgewijs:
Op basis van onderstaande belangen mag je persoonsgegevens verzamelen:
  • Er is ondubbelzinnige toestemming van de gebruiker (voor de verwerking van gegevens van een kind jonger dan 13 jaar is toestemming van een ouder of wettelijke vertegenwoordiger noodzakelijk);
  • Er zijn vitale belangen voor verwerking;
  • De verwerking is noodzakelijk op grond van een wettelijke verplichting;
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst;
  • Er bestaat een algemeen belang voor verwerking;
  • Er bestaat een gerechtvaardigd belang.

Er dient zorgvuldigheid betracht te worden in de vorm van:
  • Privacy by design;
  • Impact assessment;
  • Een functionaris gegevensbescherming.

Er dienen technische en organisatorische maatregelen getroffen te worden, waaronder:
  • Het bijhouden van een register met alle verwerkingen;
  • Er dient een gegevensbeschermingsbeleid te zijn;
  • Er moet sprake zijn van (digitale) beveiliging.

De betrokkenen hebben rechten:
  • Inzagerecht;
  • Het recht om gegevens te wijzigen;
  • Het recht om vergeten te worden;
  • Het recht om gegevens over te dragen;
  • Het recht op informatie.

In dit artikel is slechts kort ingegaan op wat de AVG inhoudt en met wat voor regels organisaties rekening moeten gaan houden. Uitgebreide informatie over de AVG is te vinden op de site van de Autoriteit Persoonsgegevens.

Desgewenst gaan we in een volgend blog wat nader in op een of meerdere onderdelen van de AVG. Als u vragen hebt of een onderwerp voor een volgend blog, laat het ons dan weten via info@advies-balie.nl


Terug naar de inhoud | Terug naar het hoofdmenu