Op 25 mei 2018 zal de huidige Wet Bescherming Persoonsgegevens worden vervangen door een Europese variant: de Algemene Verordening Gegevensbescherming (AVG). De AVG zal in grote lijnen overeenkomen met de huidige regelgeving, niettemin zijn er een aantal belangrijke verschillen.

De grondslag

De grondslagen waarop een organisatie (of onderneming) persoonsgegevens mag verzamelen zijn niet oneindig. Een organisatie mag persoonsgegevens verzamelen op grond van de expliciete toestemming van de betrokkene, op grond van een overeenkomst, op grond van een wettelijke verplichting, maar ook op grond van – hoewel iets minder concreet – vitale belangen, het algemeen belang en het gerechtvaardigd belang. Let wel, als organisatie mag u enkel persoonsgegevens verzamelen voor specifieke en noodzakelijke doeleinden. In de meeste gevallen, wanneer u geen specifieke grondslag heeft, zullen de betrokkenen toestemming moeten geven voor het verzamelen van hun gegevens. De betrokkenen hebben de mogelijkheid om hun toestemming aangaande de gegevensverwerking ten allen tijde in te trekken. Bovendien dienen de betrokkenen vooraf op de hoogte te worden gebracht van het recht tot intrekking. Tot zover niets nieuws onder de zon.

Rechten betrokkenen

De positie van de betrokkenen wordt onder de AVG verbeterd. Zo hebben betrokkenen de mogelijkheid om hun gegevens te laten wissen. Een betrokkene kan bijvoorbeeld een beroep doen op het recht op vergetelheid om zijn gegevens van een internetlocatie te laten verwijderen, nadat hij of zij daar als kind toestemming voor heeft gegeven. Te verwachten valt dat dit recht met enige terughoudendheid wordt toegepast. Daarnaast kunnen betrokkenen een beroep doen op het recht op dataportabiliteit, oftewel het recht van overdraagbaarheid van gegevens. Betrokkenen hebben het recht om de persoonsgegevens te ontvangen die een organisatie van hen heeft.

Technische en organisatorische maatregelen

Het is van belang dat u als organisatie uw gegevensverwerkingen in kaart brengt. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u als organisatie een documentatieplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Uw documentatie komt ook van pas wanneer betrokkenen hun privacyrechten uitoefenen.

Technische begrippen

In de AVG komt u begrippen tegen als privacy door ontwerp (privacy by design) en privacy door standaardinstellingen (privacy by default). De AVG verplicht een organisatie rekening te houden met privacy en gegevensbescherming bij de ontwikkeling van nieuwe producten en diensten (privacy by design) en nieuwe systemen (privacy by default). Een organisatie mag enkel, als standaard, persoonsgegevens verzamelen die noodzakelijk zijn voor het specifieke doel dat u nastreeft. Een simpel voorbeeld: als iemand zich op uw nieuwsbrief wil abonneren vraag dan niet meer gegevens dan nodig zijn.

Meldplicht datalekken

Als organisatie heeft u onder de AVG de verplichting om alle datalekken te documenteren, en in sommige gevallen is er zelfs een meldingsplicht.

Functionaris voor de gegevensbescherming

Als organisatie kunt u verplicht zijn om een functionaris voor de gegevensverwerking aan te stellen. Een dergelijke functionaris vervult de rol van interne deskundige op het gebied van de bescherming van persoonsgegevens. Overheden en publieke organisaties (zorg- en onderwijsinstellingen) zijn altijd verplicht een functionaris aan te stellen.

Controle

Onderschat de impact van de AVG niet. Bedenk dat de Autoriteit Persoonsgegevens, de nationale toezichthouder, uw organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.

 

Advies nodig?

Heeft u vragen over dit onderwerp? U kunt zich wenden tot een van onze advocaten.