Nieuwe wet voor het beschermen van persoonsgegevens

 

Het lijkt nog ver weg, de nieuwe algemene verordening gegevensbescherming (AVG). 25 Mei 2018 gaat deze verordening in. Het kan echter betekenen voor uw organisatie dat er processen en procedures aangepast moeten worden. Wij informeren u daarom graag tijdig over een aantal belangrijke wijzigingen die gaan komen en waar u rekening mee dient te houden. Vanaf de genoemde datum geldt deze verordening in geheel Europa en vervangt daarmee de tot dan toe geldende Wet bescherming persoonsgegevens (Wbp).

In het kort: wat houdt de AVG in? Iedere organisatie heeft te maken met persoonsgegevens. Deze privacywet vertelt u hoe u hiermee om dient te gaan: wat mag wel en niet en welke rechten en plichten hebt u ten aanzien van het verwerken (i.e. verkrijgen, gebruiken, opslaan en verstrekken) van persoonsgegevens. Persoonsgegevens beperken zich niet alleen tot de privégegevens, maar ook zakelijke e-mailadressen en andere gegevens vallen hieronder.

Wat verandert er?

De Autoriteit Persoonsgegevens (APg ) heeft op hun website zeer uitgebreide informatie staan over alle wijzigingen. In een zogenoemd tienstappenplan bereiden zij u voor op de nieuwe AVG. De informatie die wij u hieronder verstrekken is slechts een beknopte weergave van de hoofdpunten om u alvast een indruk te geven van de wijzigingen die er komen gaan. Voor gedetailleerde informatie over de inhoud van de betreffende verordening verwijzen wij u naar de website van de Autoriteit Persoonsgegevens.

Meer rechten voor betrokkenen

Eén van de veranderingen die de privacy van mensen moet waarborgen, is dat ze meer rechten krijgen. Organisaties moeten kunnen aantonen dat zij toestemming hebben gekregen om de persoonsgegevens te verwerken. Evenzo moet de organisatie een (eenvoudige) mogelijkheid bieden om die toestemming weer in te trekken. De eisen die hieraan worden gesteld zijn in de AVG strenger dan in de huidige Wbp. Ook nieuw is het recht op vergetelheid. Dit gaat verder dan het huidige recht op correctie en verwijdering. Zo kan een persoon bijvoorbeeld eisen dat de organisatie andere instanties, aan wie zij de gegevens hebben verstrekt, informeert over de te verwijderen gegevens. Onder bepaalde voorwaarden hebben mensen tevens het recht om hun digitale persoonsgegevens te ontvangen in een bepaald format, het zogenoemde recht op dataportabiliteit. Het kan zelfs mogelijk zijn dat uw organisatie de persoonsgegevens door moet geven aan de nieuwe dienstverlener.

Functionaris voor gegevensbescherming

In bepaalde gevallen kan het verplicht zijn om een functionaris in dienst te hebben, die speciaal is aangesteld om toezicht te houden op de naleving van de AVG. Dit geldt in ieder geval voor alle overheidsinstanties en publieke organisaties. Daarnaast geldt het voor organisaties die één van de volgende kernactiviteiten hebben:

  • Het op grote schaal volgen van personen (bijvoorbeeld voor het maken van risico-inschattingen, bij camerabewaking en bij het monitoren van gezondheid via zogenoemde wearables).
  • Het op grote schaal verwerken van specifieke persoonsgegevens, zoals gezondheid, ras, politieke voorkeur, religie, strafrechtelijke gegevens, etc.

De functionaris moet onafhankelijk zijn werk kunnen doen en belangenverstrengeling tussen de organisatie en de organisatie moet worden voorkomen. De APg heeft een richtlijn in het Engels ter beschikking gesteld met alle exacte eisen waaraan de functionaris moet voldoen. U vindt deze hier .

Het waarborgen van de privacy

Om de privacy van mensen te waarborgen kan het noodzakelijk zijn dat u vooraf een zogenoemde privacy impact assessment (PIA) uit moet voeren. Hiermee worden de risico’s van gegevensverwerking in kaart gebracht. Dit is alleen verplicht bij hoge privacyrisico’s. Te denken valt aan:

  • Het systematisch en uitvoerig beoordelen van persoonskenmerken (bijvoorbeeld profiling).
  • Het op grote schaal verwerken van persoonsgegevens.
  • Het verwerken van privacygevoelige gegevens, zoals gezondheid, ras, politieke voorkeur, religie, strafrechtelijke gegevens, etc.
  • Het op grote schaal en systematisch monitoren en volgen van personen in publiek toegankelijke gebieden door bijvoorbeeld camerabewaking.
  • Het koppelen van verschillende databases, waarbij bijvoorbeeld gegevens zijn verzameld die voor verschillende doeleinden gebruikt worden.

Tevens zijn er uitgangspunten bepaald aangaande ‘Privacy by design’ en ‘Privacy by default’. Privacy by design betekent dat er bij het ontwerp van producten of diensten al rekening gehouden wordt met het beschermen van de persoonsgegevens. Privacy by default betekent dat slechts die gegevens verzameld mogen worden, die men nodig heeft om een bepaald doel te bereiken. Een reeds aangevinkt vakje met ‘ik wil graag een nieuwsbrief ontvangen’ of het vragen om een mobiel telefoonnummer terwijl het doel is om nieuwsbrieven te verzenden, is dus niet zondermeer toegestaan.

Documentatieplicht

Volgens de nieuwe AVG moet een organisatie schriftelijk aan kunnen tonen dat zij op alle punten aan de nieuwe voorwaarden voldoet. Sommige van deze regels zijn nieuw of gewijzigd en sommige zijn onveranderd.

  • Zoals hierboven al vermeld, moet de toestemming die personen verleend hebben gedocumenteerd worden. De eisen hiervoor zijn strenger dan voorheen.
  • Alle gegevensverwerkingen moeten gedocumenteerd zijn. Met andere woorden: u dient een overzicht te kunnen verstrekken, dat inzichtelijk maakt welke gegevens u verwerkt, om welke reden, waar deze vandaan komen en met wie ze eventueel zijn gedeeld.
  • Indien gegevens door een derde partij verwerkt of gebruikt worden, dan dient u een bewerkersovereenkomst te kunnen overleggen. Voor reeds bestaande bewerkersovereenkomsten is het raadzaam om na te gaan of deze nog steeds voldoen aan de nieuwe richtlijnen.
 
 
 

Per 1 augustus 2017 worden wij onderdeel van Bosch Energy & Building Solutions, zodat we u in de toekomst intelligente en duurzame oplossingen kunnen bieden die uw gebouw niet alleen veilig, maar ook comfortabel en efficiënt maken. Maandelijks schrijven wij een artikel over veiligheids- en beveiligingsthema’s en andere aanverwante zaken. Volg ons op social media om op de hoogte te blijven van de nieuwste ontwikkelingen. Nu al meer weten? Neem dan contact met ons op.