GDPR/ AVG

De nieuwe Europese Privacy Verordening en de belangrijkste punten waar uw bedrijf aan dient te voldoen.

Op 25 mei 2018 treedt de nieuwe Algemene Verordening Gegevensbescherming (AVG) in werking. Hiermee wordt de huidige Wet Bescherming Persoonsgegevens (WBP) vervangen. Voor heel Europa gelden vanaf dat moment dezelfde privacyregels. Een lidstaat kan er tevens voor kiezen om strengere regels, naast de Europese regels, in te voeren. Om te voldoen aan de nieuwe regels, is het van belang dat u tijdig veranderingen doorvoert in uw onderneming. Onderstaand een overzicht van de belangrijkste veranderingen.

Documentatieplicht

De huidige ‘meldplicht’ bij de Autoriteit Persoonsgegevens vervalt en wordt vervangen door een ‘documentatieplicht’. Bedrijven moeten een register bijhouden waarbij inzichtelijk is hoe persoonsgegevens worden verwerkt. Deze taak is opgedragen aan de ‘bewerker’ (straks verwerker) en de ‘verantwoordelijke’ (straks verwerkingsverantwoordelijke). De verantwoordelijke kan een rechtspersoon of een natuurlijk persoon zijn en is verantwoordelijke voor de gegevensverwerking. De bewerker is de partij aan wie de verwerking van gegevens is uitbesteed.
Het register moet altijd up-to-date zijn. Er moet kunnen worden aangetoond dat doeltreffende organisatorische en technische maatregelen zijn genomen om te voldoen aan de verplichtingen van de Verordening. Zoals bescherming tegen verlies of diefstal van persoonsgegevens. Voor bedrijven met minder dan 250 medewerkers in dienst is de documentatieplicht niet verplicht, tenzij de verwerking risico’s inhouden voor de betrokkenen of het verwerking van bijzondere persoonsgegevens betreft, zoals medische gegevens. Verwacht wordt dat op de documentatieplicht streng zal worden gehandhaafd. Er kunnen boetes worden opgelegd van maximaal € 200.000 of 4% van de wereldwijde jaaromzet.

 

Bewerkersovereenkomst

De Bewerkersovereenkomst (straks verwerkersovereenkomst) tussen de verantwoordelijke en de bewerker was al onderdeel van de WBP. De eisen aan de bewerkersovereenkomst worden met de komst van de AVG flink uitgebreid en veranderd. Zo worden er eisen gesteld over onder meer de duur, het soort en de doeleinden van de gegevensverwerking. Tevens worden verdere eisen gesteld aan beveiligingsmaatregelen, het uitvoeren van audits en het inschakelen van derde partijen.

 

Privacy Impact Assessment (PIA)

Met een PIA kan een bedrijf die privacy risico’s in kaart brengen bij de ontwikkeling van diensten en producten. Op grond van de Verordening dient de verantwoordelijke voor de gegevensverwerking een PIA uit te voeren indien de kans bestaat dat het soort gegevensverwerking – gelet op de aard, de omvang, de context en de doeleinden daarvan – een hoog risico inhoudt voor de rechten en vrijheden van betrokkene. Een PIA is in iedere geval vereist als het om verwerkingen gaat waarbij gebruik wordt gemaakt van nieuwe technologieën en waarbij bijzondere persoonsgegevens worden verwerkt, zoals medische gegevens.

GDPR

Meldplicht datalekken

De meldplicht datalekken is een opmaat naar de verordening. Een datalek is een verlies van data of enige onrechtmatige verwerking van data. Indien persoonsgegevens opzettelijk of per ongeluk verloren gaan of geopenbaard worden, moet dit binnen 72 uur worden gemeld aan de toezichthouder. Wanneer het datalek een nadelig effect heeft op de betrokkene (degene op die de gegevens betrekking hebben) moet deze betrokkene ook worden ingelicht. Anders ten opzichte van de Wet Meldplicht Datalekken is dat een bewerker verplicht is om het datalek te melden aan de verantwoordelijke en dat de toezichthouder alleen geïnformeerd hoeft te worden als er daadwerkelijk een lek is geweest, niet al bij een vermoeden.

 

Data Protection Officer

Een Privacy officer ziet toe op de omgang met persoonsgegevens. De aanstelling van een Data Protection Officer, of terwijl een Functionaris Gegevensbescherming (FG), is met de komst van de Verordening in een aantal situaties verplicht indien bedrijven vanwege hun aard of omvang op grote schaal persoonsgegevens verwerken en voor overheidsdiensten (met uitzondering van gerechten). Op grond van nationale wetgeving kan elke Lidstaat het aanstellen van een data Protection Officer ook voor andere bedrijven verplichten.

 

Privacy by Design and Privacy by Default

De Verordening stelt Privacy by Design en Privacy by Default verplicht voor bedrijven die persoonsgegevens willen verwerken. Bij Privacy by Design gaat het erom dat een bedrijf al bij de start rekening houdt me de inrichting van het informatiesysteem. Bij het ontwikkelen van (nieuwe) producten of diensten dient zoveel mogelijk rekening te worden gehouden met de privacy van betrokkene. Getracht dient te worden zo min mogelijk en alleen uitsluitend noodzakelijke persoonsgegeven te verwerken. Een ander belangrijk aspect van Privacy by Design bestaat uit het anonimiseren van persoonsgegevens, de gegevens niet herleidbaar opslaan. Daarnaast is het belangrijk technieken toe te passen waardoor gegevens versleuteld worden verzonden: pseudonimisering.

Priavcy by Default richt zich meer op diensten of producten waarbij gebruikers de mogelijkheid hebben hun persoonsgegevens te delen. Bedrijven dienen instellingen en functies van hun diensten of producten standaard (by default) zo te hebben ingericht dat deze op hoogst mogelijke privacy stand staat. Dit is echter een maximale stand van de desbetreffende dienst of het product. Welke absoluut gezien niet privacy vriendelijk hoeft te zijn. Voorbeelden van het ontbreken van Privacy by Default zijn standaard ‘aangevinkte vierkantjes’ waardoor de betrokkene akkoord gaat met het delen van gegevens op social medianetwerken of het abonneren op een nieuwsbrief.