AVG: Privacywetgeving EU

Waarom een nieuwe privacywet?
Iedere lidstaat in de EU had een eigen privacywet die gebaseerd was op de Europese privacyrichtlijn uit 1995 (de Wbp in Nederland). Echter, is deze wetgeving niet gebaseerd op internet zoals we het nu kennen. Veel bedrijven werken hedendaags met persoonsgegevens, maar de beveiliging van deze persoonsgegevens was matig. De AVG heeft als doel deze informatie beter te beschermen en deze bescherming in de hele EU te bieden.De belangrijkste veranderingen
Voor burgers is de grootste verandering dat er meer zeggenschap is verkregen over de persoonsgegevens. Door iedere organisatie moet toestemming worden gevraagd of persoonsgegevens mogen worden gebruikt. Dit geldt niet alleen voor bedrijven binnen de EU, want ook andere bedrijven die persoonsgegevens bewaren van burgers uit de EU moeten toestemming vragen. De begrippen privacy by design en privacy by default zijn nieuwe verplichtingen onder de AVG, wat inhoudt dat persoonsgegevens op een hoog niveau beveiligd moeten worden en dat er standaard zo min mogelijk gegevens worden verwerkt.Overgansperiode
De AVG is gepubliceerd op 4 mei 2016 en twintig dagen later in werking getreden. De wet is echter pas voor alle organisaties verplicht op 25 mei 2018. Deze overgangsperiode is bedoeld om organisaties en toezichthouders de kans te geven om zich voor te bereiden op de AVG. De Wbp was gedurende deze periode nog van kracht.
Verantwoordelijkheden voor organisaties
Organisaties krijgen na invoering van de AVG meer verplichtingen. Het is belangrijk om te kunnen aantonen dat de wet wordt nageleefd. Via een tiental stappen kan worden nagegaan of er aan de AVG wordt voldaan.Stap 1
Ten eerste is het van belang dat organisaties weten van welke vorm van gegevensverzameling er sprake is. Het is alleen toegestaan om 'gewone' persoonsgegevens te verwerken. Het verzamelen van bijzondere of strafrechtelijke gegevens is alleen toegestaan mits een wettelijke uitzondering van kracht is.
Stap 2
Voor het verzamelen van persoonsgegevens gelden een aantal grondslagen. Het is verplicht om aan één van de grondslagen te voldoen. De grondslagen zijn:
- Toestemming vragen aan klanten
- Gegevens zijn noodzakelijk voor de uitvoering van een overeenkomst
- Gegevens zijn noodzakelijk voor het nakomen van een wettelijke verplichting
- Gegevens zijn noodzakelijk ter bescherming van vitale belangen
- Gegevens zijn noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
- Gegevens zijn noodzakelijk voor de behartiging van de gerechtvaardigde belangen
Stap 3
Bedrijven moeten zich vervolgens afvragen of het nodig is om een functionaris gegevensbescherming (FG) aan te stellen. Deze persoon binnen de organisatie houdt toezicht op de toepassing en naleving van de AVG. Deze persoon moet worden aangesteld als een bedrijf een overheidsinstantie of overheidsorgaan is, als een bedrijf bijzondere of strafrechtelijke persoonsgegevens op grote schaal verwerkt, of als een bedrijf op grote schaal aan regelmatige observatie van betrokkenen doet. Wanneer er geen FG nodig is, kan een privacyexpert alsnog nuttig zijn.
Stap 4
De volgende stap voor bedrijven is om na te gaan of er een data protection impact assessment (DPIA) moet worden uitgevoerd. Dit is een instrument bedoeld om vooraf de privacyrisico's van gegevensverwerking in kaart te brengen, om vervolgens maatregelen te kunnen nemen. Een DPIA is alleen verplicht als gegevensverwerking een hoog privacyrisico oplevert voor de personen waarvan persoonsgegevens worden verwerkt. Als dit niet het geval is, moet de reden hiervan gedocumenteerd worden.
Stap 5
Bedrijven moeten vervolgens werken volgens de AVG-uitgangspunten van 'privacy by design' en 'privacy by default'. Dit houdt in dat producten, diensten en systemen privacyvriendelijk ontworpen zijn, dat bepaald is hoe lang de persoonsgegevens bewaard worden en of de instellingen van producten of diensten op privacyvriendelijk staan. Deze punten zijn voor ieder bedrijf verplicht.
Stap 6
Voor sommige bedrijven is het verplicht om een register van verwerkingsactiviteiten op te stellen. Dit register bestaat uit informatie over de persoonsgegevens die worden verwerkt. Zo is dit verplicht bij een organisatie die meer dan 250 medewerkers telt. Daarnaast is het verplicht als de verwerking niet incidenteel is, als de verwerking risico inhoudt voor de rechten en vrijheden van de personen of als de persoonsgegevens vallen onder de categorie bijzondere of strafrechtelijke persoonsgegevens.
Stap 7
In de AVG staat tevens dat persoonsgegevens goed beveiligd moeten worden. Het is daarom van belang een beleid op te stellen voor informatiebeveiliging. Tevens moet worden bepaald welke technische en organisatorische maatregelen er nodig zijn om beveiliging te garanderen.
Stap 8
Wanneer een bedrijf andere partijen benadert om persoonsgegevens te verwerken, moet een verwerkersovereenkomst worden afgesloten. Deze verwerkers moeten garanderen dat zij aan de wettelijke vereisten voldoen.
Stap 9
Ieder bedrijf moet voldoen aan de informatieplicht. Dit houdt in dat een bedrijf mensen op een begrijpelijke manier informeert welke gegevens voor welk doel en met welke grondslag worden verzameld en verwerkt. Bedrijven moeten dus een geldige, begrijpelijke en toegankelijke privacyverklaring of ander document opstellen waarin betrokkenen worden geïnformeerd.
Stap 10
De laatste stap is het nagaan of een bedrijf voldoet aan de privacyrechten waar een beroep op kan worden gedaan. Deze rechten zijn:
- Recht op inzage
- Recht op rectificatie en aanvulling
- Recht op vergetelheid
- Recht op dataportabiliteit
- Recht op beperking van de verwerking
- Rechten met betrekking tot geautomatiseerde besluitvorming en profilering
- Recht van bezwaar
Verantwoordingsplicht
Onder de AVG hebben bedrijven een verantwoordingsplicht. Dit houdt in dat bedrijven moeten kunnen aantonen dat aan de AVG wordt voldaan.