Gepubliceerd op 15 november 2017 15:32

Nieuwe Europese privacywetgeving in aantocht

15 november 2017 - Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De regels dwingen organisaties om goed na te denken over hoe persoonsgegevens worden verwerkt en worden beschermd.

Verantwoordingsplicht
De meldingsplicht bij de Autoriteit Persoonsgegevens voor het verwerken van persoonsgegevens vervalt. Tegelijkertijd legt de AVG meer dan nu de verantwoordelijkheid bij organisaties om zelf aan te tonen dat zij aan de nieuwe privacyregels voldoen. Onderdeel van deze nieuwe verantwoordingsplicht is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. Het bijhouden van een register van verwerkingsactiviteiten is ook onderdeel van de verantwoordingsplicht. Daarin moeten alle verwerkingen van persoonlijke gegevens gedocumenteerd worden, bijv. ook personeelsadministratie of de nieuwsbrief. In dit register moet onder andere staan welke persoonsgegevens er verwerkt worden, voor welke doeleinden, en hoe deze gegevens beveiligd worden.

Datalekken, nieuwe privacyrechten en hogere boetes 
- Volgens de huidige privacywet hoeft u alleen datalekken bij te houden wanneer u dit ook moet melden aan de toezichthouder. De AVG stelt het verplicht om alle datalekken intern te documenteren, óók datalekken die niet hoeven worden gemeld.   
- Één van de rechtvaardigingsgronden voor het verwerken van persoonsgegevens is toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Privacyverklaringen- of overeenkomsten moeten nóg transparanter: u moet in eenvoudige taal precies en volledig uitleggen wat u doet met persoonlijke gegevens. Ook moet u mensen wijzen op hun rechten, zoals dat men gegevens mag aanpassen, het dossier mag inzien of zelfs laten vernietigen. Bovendien moet u ze wijzen op de mogelijkheid een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens. En het moet voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. Nieuw is dat betrokkenen recht hebben op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.  
- De maximale boete per overtreding van de huidige privacywet is nu 900.000 euro. Dit verandert met de komst van de AVG naar 20 miljoen euro of 4% van de wereldwijde jaaromzet. Bovendien komt er komt een Europees Comité dat toeziet op de juiste toepassing van de AVG.  
- Met de komst van de AVG zijn sommige organisaties verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen en een data protection impact assessment (DPIA) uit te voeren. Dat is onder meer het geval als er sprake is van een grootschalige verwerking van persoonsgegevens die een kernactiviteit van de organisatie is. 

Privacy by design en beveiligingsmaatregelen
Verder komen bepalingen uit de AVG voor een groot deel overeen met de Wbp. Wat bijvoorbeeld blijft zijn de grondbeginselen ‘Privacy by design’ en ‘Privacy by default’. Dit betekent dat bij elke stap in de ontwikkeling de privacyaspecten worden benoemd en meegenomen in de uitwerking (risicoanalyse – nemen van beveiligingsmaatregelen – controle en evaluatie).
- 'Privacy by design' houdt in dat u al bij het ontwerpen van producten en diensten ervoor zorgt dat persoonsgegevens goed worden beschermd. Ook mag u zo min mogelijk privacygevoelige informatie verzamelen en moet u actief informatie weggooien wanneer deze niet meer relevant is. En u moet beleid hebben dat uitwerkt wanneer iets wel of niet relevant is, en hoe het weggooien veilig wordt gerealiseerd.
- 'Privacy by default' betekent dat u technische én organisatorische maatregelen moet nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. 

Meer informatie
Bekijk voor achtergrond en beveiligingstips het LSTA Infosheet Wbp. Meer informatie over de AVG kunt u vinden op de website van Autoriteit Persoonsgegevens en op de website van de Rijksoverheid is het document 'Anticiperen op de Algemene Verordening Gegevensbescherming' te vinden.

naar alle berichten