Home > Blog > De nieuwe privacy verordening: Zorg dat u de boot niet mist!

De nieuwe privacy verordening: Zorg dat u de boot niet mist!

De nieuwe Algemene Verordening Gegevensbescherming (AVG) heeft al veel stof doen opwaaien in  privacy discussies. De AVG gaat vanaf 25 mei 2018 gelden. Dit lijkt misschien ver weg, maar vóór deze datum dienen organisaties te zorgen dat zij voldoen aan de AVG. Het is dus voor u als ondernemer belangrijk om te weten welke stempel de AVG op uw organisatie gaat drukken en hoe u deze correct kunt implementeren.

In het onderstaande artikel zullen de belangrijkste veranderingen voor organisaties uiteen gezet worden.

Minder administratieve rompslomp
Heeft u een internationale onderneming? Dan hebben wij goed nieuws voor u. Dankzij de AVG zal er in heel de EU dezelfde regelgeving gaan gelden, wat betekent dat u niet langer per land aan andere voorwaarden hoeft te voldoen. Daarnaast is het niet langer nodig om de verwerking van persoonsgegevens aan te melden bij de Autoriteit Persoonsgegevens (AP).  Dit kan u veel administratief werk schelen.

Meer eigen verantwoordelijkheid
Aangezien de verwerkingen niet meer aangemeld hoeven te worden bij de AP,  wordt er meer verantwoordelijkheid gelegd bij de verwerkende organisatie zelf. Wanneer u voldoet aan één van de onderstaande criteria, bent u verplicht een register van verwerkingen bij te houden:

  • Meer dan 250 werknemers in dienst; of
  • De verwerkingen omvatten een risico voor de rechten en vrijheden van betrokkenen; of
  • De verwerking van persoonsgegevens is niet incidenteel; of
  • Er worden bijzondere gegevens (ras, godsdienst, gezondheid, etc.) verwerkt.

Daarnaast dienen sommige organisaties een zogeheten ‘gegevensbeschermingseffectenbeoordeling’ uit te voeren. Het gaat hierbij allereerst om een risico-inschatting van de mogelijke ongewenste gevolgen van de verwerking. Vervolgens moet u op zoek gaan naar oplossingen om de kans op deze gevolgen zo veel mogelijk te minimaliseren. Indien uit de beoordeling blijkt dat de verwerking een hoog risico op zou leveren, dan moet u de AP informeren.  Een dergelijke beoordeling is in hoofdlijnen in de volgende drie situaties vereist:

  1. Indien u uw keuzes baseert op een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen (profilering) en deze personen daar daadwerkelijk gevolgen aan ondervinden;
  2. Indien u grote hoeveelheden gevoelige gegevens verwerkt;
  3. Indien u stelselmatig en grootschalig openbaar toegankelijke ruimten monitort.

Verder schrijft de AVG dat het hierbij niet gaat om bijvoorbeeld de verwerking van persoonsgegevens van cliënten door een individuele arts of advocaat.

Ondernemingen dienen hun huidige privacy verwerkingsmethodes te beoordelen. U als ondernemer dient voldoende passende maatregelen te hanteren om de gegevens adequaat te beschermen (privacy by design), hierbij kan onder andere gedacht worden aan pseudonimisering, waarbij de gegevens op een bepaalde manier versleuteld worden, waardoor de persoon behorend bij de data alleen geïdentificeerd kan worden met aanvullende gegevens die apart en beveiligd zijn opgeslagen. Een andere mogelijkheid is dataminimalisatie, waarbij niet meer data verzameld wordt dan nodig is voor het specifieke doel dat wordt nagestreefd.

Daarnaast moet u kijken naar de inrichting van uw systemen. Kunnen deze op dusdanige wijze ingericht worden, dat risico’s op ongewenst gebruik van de gegevens verkleind worden (privacy by default)? Denk hierbij aan technische maatregelen zoals het beveiligen van uw systemen met firewalls en het installeren van antivirus software.

Meer rechten voor betrokkenen
Onder de Wbp geldt al het recht om een verzoek in te dienen tot inzage, aanpassing en verwijdering van de persoonlijke gegevens. Deze rechten zijn in de AVG nog meer aangescherpt. Daarnaast introduceert de AVG een aantal nieuwe rechten voor de betrokkene:

  • Data overdraagbaarheid: De betrokkene mag verwerker A verzoeken om zijn gegevens toe te zenden in een bepaald formaat, zodat de betrokkene deze in hetzelfde formaat kan doorsturen naar verwerker B. Indien het technisch mogelijk is, kan de betrokkene zelfs verwerker A verzoeken om de gegevens rechtstreeks door te sturen naar verwerker B.
  • Verwerkingsbeperking: De betrokkene kan de verwerker om beperking van de verwerking verzoeken, als deze bijvoorbeeld de juistheid van de persoonlijke gegevens betwist. Het kan ook voorkomen dat de verwerker de persoonsgegevens niet meer nodig heeft, maar de betrokkene wel voor een rechtszaak en daarom de verwerker verzoekt de gegevens nog aan te houden.
  • Meer informatierechten: Onder de Wbp geldt al dat de identiteit van de verwerker en de doeleinden aan de betrokkene gemeld dienen te worden. Onder de AVG komt daar een hele rits aan informatierechten bij, die op het moment van verwerken medegedeeld dienen te worden aan de betrokkene. Het gaat hier bijvoorbeeld om de belangen van de verwerker, de rechtsgrond en de opslagperiode.

Risico’s niet-naleving
Tot slot nog even de risico’s. Elk land dient een toezichthoudend orgaan in te stellen, in Nederland is dat de AP. Deze autoriteit monitort en handhaaft de toepassing van de AVG. Indien een organisatie de AVG niet naleeft, kan de AP een reeks van corrigerende maatregelen opleggen, variërend van een waarschuwing tot een boete van 20 miljoen euro. Het is dus zaak om in uw eigen gegevensbescherming te duiken: “It is better to be safe than sorry”!

Conclusie
Alhoewel het nog anderhalf jaar duurt voordat de hierboven genoemde regelingen gaan gelden, zijn er een hoop nieuwe zaken waar u rekening mee moet gaan houden.

Tip van ons: Begin op tijd en neem uw privacy beleid eens onder de loep. Heeft u vragen met betrekking tot uw privacy situatie? U kunt altijd contact met ons opnemen!