#OnbezorgdOnline - De AVG: in 10 weken van TO DO naar DONE

WEEK 1: DE AVG IN HET ALGEMEEN

Op dit moment heeft iedere lidstaat binnen de Europese Unie nog een eigen privacywet; in Nederland kennen we de Wet bescherming persoonsgegevens (Wbp). Al deze nationale privacywetten zijn gebaseerd op de Europese privacyrichtlijn uit 1995. Met de komst van het internet en de wereldwijde digitalisering is deze Europese privacyrichtlijn sterk verouderd geraakt. Door de digitalisering is het namelijk steeds gemakkelijker geworden om gegevens van personen digitaal te verzamelen en te verwerken. Bedrijven maken daar dan ook massaal gebruik van door vrijwel alle gegevens digitaal te verzamelen, op te slaan of zelfs te verhandelen. Dit zorgt voor veel kansen en mogelijkheden (“big data is namelijk big business”), maar het kent ook een keerzijde op het gebied van de gegevensbescherming en de privacy van personen. Juist deze keerzijde gaf aanleiding voor de Europese Unie om een nieuwe privacywet te creëren met het doel om personen in de toekomst beter te beschermen tegen de “macht” van de gegevensverzamelaars en het misbruik van die gegevens. Op 25 mei 2018 treedt deze nieuwe wet in werking: de Algemene Verordening Gegevensbescherming (AVG).

 

Wat is de AVG?

De AVG is een Europese verordening met een algemene strekking. Simpel gezegd houdt dat in dat de regelingen in de verordening rechtstreeks van toepassing zijn in alle Europese lidstaten. Een lidstaat heeft dan geen bevoegdheid meer om afwijkende wetten of bindende voorschriften te hanteren over het rechtsgebied waarop de verordening betrekking heeft. Kortom: met de komst van de AVG gelden in alle Europese lidstaten exact dezelfde regels op het gebied van de privacy en de gegevensbescherming. De AVG vervangt daarmee de huidige Wet bescherming persoonsgegevens.

 

Voor wie geldt de AVG?

De nieuwe privacywetgeving geldt voor alle organisaties (inclusief MKB en zelfstandigen) die persoonsgegevens verwerken. Het begrip “persoonsgegevens” moet daarbij ruim geïnterpreteerd worden. De AVG ziet niet alleen een combinatie van een naam, adresgegevens en/of telefoonnummer als persoonsgegevens, maar ook computergegevens zoals IP-adressen en cookies worden beschouwd als persoonsgegevens. Het hebben van een bedrijfswebsite is dus al voldoende om met de AVG te maken te krijgen.

 

Wat verandert er?

I. De AVG zorgt voor een versterking en uitbreiding van de privacyrechten

Op deze manier hebben personen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun persoonsgegevens. Dit wordt onder meer gerealiseerd door de volgende nieuwe maatregelen en rechten:

  • Expliciete toestemming vereist – organisaties hebben een geldige toestemming nodig van de personen om hun persoonsgegevens te verwerken. De bewijslast dat deze geldige toestemming is verkregen ligt bij de organisatie. Vervolgens moet het voor personen net zo makkelijk zijn om de gegeven toestemming weer in te trekken;
  • Recht op vergetelheid – dit gaat een stapje verder dan het intrekken van de toestemming. Het recht op vergetelheid geeft personen het recht om “vergeten te worden”. Personen mogen de organisatie verzoeken om hun gegevens te verwijderen uit de database(s) van de organisatie en ook uit de database(s) van alle organisaties aan wie de betreffende organisatie de persoonsgegevens heeft verstrekt. Een organisatie is verplicht aan dat verzoek gehoor te geven als:

-      de organisatie de persoonsgegevens niet meer nodig heeft voor de doeleinden waarvoor de organisatie de gegevens heeft verzameld of verwerkt;

-      de persoon eerder uitdrukkelijke toestemming heeft gegeven aan de organisatie voor het gebruik van de gegevens, maar deze toestemming nu intrekt;

-      de persoon bezwaar maakt tegen de verwerking. Zo geldt er op grond van artikel 21 AVG een absoluut recht van bezwaar tegen directe marketing. Daarnaast kan er sprake zijn van een relatief recht van bezwaar als de rechten van de persoon zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken;

-      de organisatie de persoonsgegevens onrechtmatig verwerkt. Hiervan kan sprake zijn als een wettelijke grondslag voor de informatieverwerking ontbreekt;

-      de organisatie wettelijk verplicht is om de gegevens na een bepaalde tijd te wissen;

-      de persoon jonger is dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website.

  • Recht op dataportabiliteit – dit houdt in dat personen het recht krijgen om hun persoonsgegevens in een standaardformat te ontvangen. Ook kunnen personen organisaties verzoeken om hun gegevens rechtstreeks over te dragen aan een andere organisatie. Bijvoorbeeld bij de overstap naar een andere internetprovider.

II. Meer verantwoordelijkheden voor organisaties

Het versterken en uitbreiden van de privacyrechten van personen zorgt ervoor dat organisaties automatisch meer verplichtingen krijgen bij het verwerken van persoonsgegevens:

  • Verantwoordingsplicht of documentatieplicht – dit houdt in dat de organisatie met documenten moet kunnen aantonen dat zij de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Er geldt niet langer een verplichting om de verwerking van persoonsgegevens te melden bij de Autoriteit Persoonsgegevens;
  • Een verplichting om een risicoanalyse uit te voeren, genaamd “data protection impact assessment” (DPIA) - de DPIA is een instrument om voorafgaand aan de gegevensverwerking de privacyrisico’s in kaart te brengen, om vervolgens maatregelen te kunnen nemen om die risico’s te verkleinen. Het uitvoeren van een DPIA is alleen verplicht als de gegevensverwerking (waarschijnlijk) een hoog privacyrisico oplevert voor de personen van wie de gegevens worden verwerkt.  De AVG bepaalt dat hiervan in ieder geval sprake is als de organisatie:

-      op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere persoonsgegevens zijn gegevens die informatie verstrekken over (bijvoorbeeld) de gezondheid, het ras, de godsdienst, het strafrechtelijk verleden of de seksuele geaardheid van een persoon;

-      op grote schaal en systematisch personen volgt in een publiek toegankelijk gebied, bijvoorbeeld door middel van cameratoezicht;

-      systematisch persoonlijke aspecten evalueert, zoals de arbodiensten of verzekeraar.

  • In sommige gevallen: het aanstellen van een functionaris voor de gegevensbescherming – een functionaris voor de gegevensbescherming is voor de volgende organisaties in ieder geval verplicht:

-      Overheidsinstanties en publieke organisaties, ongeacht het type gegevens dat zij verwerken. Voor rechtbanken geldt een dergelijke verplichte aanstelling niet;

-      Organisaties die vanuit hun kernactiviteit op grote schaal individuen volgen, bijvoorbeeld middels cameratoezicht of door de monitoring van de gezondheid van een persoon;

-      Organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken.

In de AVG wordt niet gedefinieerd wat “grootschalig” inhoudt. Belangrijke indicatoren zijn in ieder geval het aantal personen van wie gegevens worden verwerkt, de hoeveelheid gegevens die worden verwerkt, de duur van de gegevensverwerking en de geografische reikwijdte van deze verwerking.

 

III. Dezelfde (uitgebreide) bevoegdheden voor alle Europese privacytoezichthouders.

Bij een overtreding van de AVG kan de Autoriteit Persoonsgegevens (AP) of een van de andere Europese privacytoezichthouders de organisatie een boete opleggen, verdeeld over twee categorieën:

  • Bij niet-nakoming van een verplichting op basis van de AVG kan de AP een boete opleggen van maximaal 10 miljoen euro, of een boete van 2% van de wereldwijde jaaromzet als dat bedrag hoger is;
  • Bij overtreding van de beginselen of grondslagen van de AVG of de privacyrechten van de betrokken personen kan de AP een boete opleggen van maximaal 20 miljoen euro, of een boete van 4% van de wereldwijde jaaromzet als dat bedrag hoger is.

 

Hoe raak je als organisatie voorbereid op de AVG?

Door het lezen van deze blog heb je al de eerste stap gezet in de voorbereiding op de AVG. De eerste stap is namelijk bewustwording. Zorg ervoor dat de mensen in jouw organisatie ook op de hoogte zijn van de nieuwe privacyregels. Dat blijkt in de praktijk namelijk nog niet zo vanzelfsprekend te zijn, maar wel van belang om uiteindelijk AVG-proof te kunnen worden. Alleen op papier AVG-proof zijn is namelijk niet voldoende; de AVG verlangt ook van de mensen in de organisaties dat ze AVG-proof handelen. Deze blog is dan ook bedoeld om meer informatie te geven over de AVG in het algemeen en je bewust te maken van de strengere regels die de AVG kent voor organisaties.

 

In onze blog van volgende week komt stap 2 in de voorbereidingen aan bod: grondslagen voor het verzamelen van persoonsgegevens en de organisatorische maatregelen die je daarvoor moet nemen. Houd in de tussentijd ook onze social media kanalen in de gaten; hierop zullen regelmatig handige tips en weetjes worden gedeeld die kunnen helpen bij de voorbereidingen.

 

Tot volgende week!

 

LET OP: Waar in deze blog gesproken wordt over “personen” worden natuurlijke personen bedoeld. De AVG is niet van toepassing op bedrijfsgegevens, zoals het e-mailadres van een organisatie.