Uncategorized

Algemene Verordening Gegevensbescherming

By 13 februari 2018mei 4th, 2018No Comments

Vanaf 25 mei 2018 geldt binnen de gehele Europese Unie nieuwe privacywetgeving. Door deze nieuwe wetgeving, Algemene Verordening Gegevensbescherming (AVG), krijgen inwoners van de lidstaten meer invloed op wat er met hun privacygevoelige informatie gebeurt en wat bedrijven en overheden ermee doen.

 

In veel landen binnen de Europese Unie is wetgeving geïmplementeerd om persoonsgegevens te beschermen. In Nederland is dit de Wet bescherming persoonsgegevens. Door deze verschillende wetgeving hebben internationale bedrijven te maken met een grote diversiteit aan toezichthouders en regelingen. Door AVG gelden binnen de EU overal dezelfde regels.

 

De wet heeft betrekking op persoonsgegevens, maar wat zijn persoonsgegevens? Een persoonsgegeven is informatie die, al dan niet in combinatie met andere gegevens, leidt tot de identificatie van een mens. Hierbij moet men denken aan je naam, leeftijd, politieke mening of voorkeur, emailadres, foto, vingerafdruk, IP-adres en geolocatie. Informatie over iemands gezondheid wordt als extra gevoelig, bijzonder persoonsgegeven beschouwd. Het verwerken van persoonsgegevens betreft alles wat men doet met die gegevens (verzamelen, opslaan, analyseren, registreren, bewaren).

 

Belangrijkste veranderingen

  • In de nieuwe verordening zijn de rechten van betrokkenen aanzienlijk verscherpt. Organisaties moeten de rechten van betrokkenen erkennen en de betrokkenen de mogelijkheid geven om hun rechten uit te kunnen oefenen. Zo moet er onder andere toestemming gevraagd worden aan betrokkenen voor het verwerken van gegevens, moeten gegevens transparant zijn en hebben betrokkenen recht op inzage en correctie van hun gegevens. Daarnaast moet voor elke verwerking worden vastgesteld of deze rechtmatig is.
  • Uitgangspunt bij de verwerking van persoonsgegevens is dat de data wordt geminimaliseerd en dat het gebruik alleen binnen de vastgestelde doelstellingen plaatsvindt. Gegevens mogen alleen bewaard worden binnen het kader van een specifiek doel, niet langer bewaard worden dan strikt noodzakelijk en mogen niet onnodig verspreid worden.
  • Voor iedere verwerking van persoonsgegevens moet een verwerkings-verantwoordelijke partij zijn aangewezen. Deze verantwoordelijke dient te zorgen dat de verwerking voldoet aan de eisen die voortvloeien uit de verordening.
  • Om compliant te zijn aan de privacywet- en regelgeving moet men periodiek inventariseren welke privacy risico’s zich voordoen en welke maatregelen reeds genomen zijn. Hierbij dient ook gekeken te worden of de gebruikte gegevens daadwerkelijk noodzakelijk zijn voor de te bereiken doelstellingen. Een middel hiervoor is Privacy Impact Assessment (PIA). Sinds 2013 is een PIA verplicht voor de Nederlandse overheid. Vanaf 25 mei 2018 geldt deze verplichting ook voor de private sector, afhankelijk van de omvang van de organisatie en de omvang en gevoeligheid van de verwerking.
  • De verwerking van de persoonsgegevens moet beveiligd te zijn. Hiervoor dient de verwerkingsverantwoordelijke dan wel de verwerker, passende organisatorische en technische beveiligingsmaatregelen te treffen. Deze maatregelen moeten zijn ingericht naar de stand der techniek. De verwerkingsverantwoordelijke/verwerker dienen over het vermogen te beschikken om permanent de bescherming van de gegevens te kunnen garanderen en daar periodieke controles op uit te voeren.
  • In de AVG zijn aanwijzingen opgenomen voor het verplicht treffen van technische maatregelen als het gaat om het verwerken van persoonsgegevens.
  • Organisaties van een bepaalde omvang kunnen door de AVG worden verplicht om een functionaris aan te stellen voor gegevensbescherming. Deze functionaris heeft bevoegdheden om onafhankelijk onderzoek uit te voeren naar de bescherming van de gegevens en naleving van wet- en regelgeving.
  • Tot slot zijn er aanzienlijk meer sanctioneringsmogelijkheden voor autoriteiten om naleving van de verordening te handhaven. Dit kan in de vorm van hoge boetes, maar zelfs het verbieden van verwerkingen van persoonsgegevens behoort tot de sancties.
X