Privacy en de daarbij behorende wetgevingen zijn niet meer weg te denken. Het kan zijn dat je door de bomen het bos niet ziet, want de privacywetgeving is erg uitgebreid. Om meer duidelijkheid te creëren over privacy en de wetgeving eromheen beantwoorden wij in deze blog 5 vragen over de internationale privacywetgeving: de AVG.
1. Wat is de AVG?
AVG staat voor Algemene Verordening Gegevensbescherming en is een Europese privacywetgeving. Er wordt ook wel gesproken over de Engelse term GDPR: General Data Protection Regulation. Op 25 mei 2018 werd de Wet bescherming persoonsgegevens (Wbp) vervangen door de AVG. Dit heeft ervoor gezorgd dat in de hele Europese Economische Ruimte (EER) dezelfde privacywetgeving geldt. Elk land kan nog eigen uitzonderingen of aanvullingen toevoegen. In Nederland zijn deze uitzonderingen en aanvullingen bepaald in de Uitvoeringswet AVG (UAVG). Alle bedrijven en organisaties die persoonsgegevens vastleggen moeten zich houden aan de AVG. De AVG zorgt onder andere voor:
- Versterking en uitbreiding van de privacy rechten;
- Duidelijke privacy-verantwoordelijkheden voor organisaties;
- De bevoegdheid van de Autoriteit Persoonsgegevens (Nederlandse toezichthouder) om boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet op te leggen bij het niet naleven van de AVG.
2. Wanneer mogen persoonsgegevens worden verwerkt?
Het verwerken van persoonsgegevens is een inbreuk op de privacy. Onder het verwerken van persoonsgegevens wordt elke bewerking verstaan die betrekking heeft tot persoonsgegevens. Hierbij kun je denken aan het verzamelen, vastleggen of wijzigen van persoonsgegevens. Persoonsgegevens mogen alleen worden verwerkt als het echt niet anders kan: alleen wanneer je zonder de gegevens het doel niet kunt bereiken. Voor het mogen verwerken van persoonsgegevens heb je minimaal één van de volgende grondslagen nodig:
- Je hebt (aantoonbare) toestemming van de persoon waar de gegevens van zijn;
- Het is noodzakelijk om de gegevens te verwerken om een overeenkomst uit te voeren;
- Het is noodzakelijk om de gegevens te verwerken, omdat je dat wettelijk verplicht bent;
- Het is noodzakelijk om de gegevens te verwerken om vitale belangen te beschermen;
- Het is noodzakelijk om de gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen;
- Het is noodzakelijk om de gegevens te verwerken om een gerechtvaardigd belang te behartigen.
3. Wat is een Data Protection Impact Assessment (DPIA)?
Een Data Protection Impact Assessment (DPIA) is een document waarmee de privacy risico’s van een verwerking worden beoordeeld. In dit document worden de risico’s die bij een verwerking komen kijken omschreven, de genomen maatregelen om deze risico’s te verkleinen of weg te nemen worden omschreven en er wordt weergegeven wat de eventuele (aanvaardbare) restrisico’s zijn. Hiermee wordt in kaart gebracht of er ernstige privacy risico’s zijn binnen de organisatie en of het de keuze van de organisatie is geweest deze te aanvaarden of niet. Een verwerkingsverantwoordelijke is verplicht een DPIA uit te voeren wanneer een gegevensverwerking mogelijk een groot privacy risico oplevert voor de betrokkene. Dit kan bepaald worden aan de hand van een DPIA-checklist. Daarnaast is een DPIA verplicht als het gaat om één of meer van de volgende drie soorten verwerkingen:
- Verwerking waarbij systematisch en uitgebreid persoonlijke aspecten worden geëvalueerd op basis van geautomatiseerde verwerking, zoals bijvoorbeeld profiling;
- Grootschalige verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens;
- Verwerking waarbij op grote schaal en op systematische wijze mensen worden gevolgd in een publiek toegankelijk gebied, zoals bijvoorbeeld cameratoezicht.
4. Wanneer moet een organisatie een Functionaris Gegevensbescherming (FG) aanstellen?
Een Functionaris Gegevensbescherming (FG), ook wel Data Protection Officer (DPO) genoemd, is een persoon die binnen een organisatie toezicht houdt op de naleving van de AVG. De kerntaken van een FG zijn het informeren en adviseren van de organisatie en werknemers over de AVG, het toezicht houden op de naleving van de AVG, het helpen bij DPIA’s en optreden als aanspreekpunt voor de Autoriteit Persoonsgegevens (AP). Het aanstellen van een FG is verplicht in de volgende gevallen:
- Wanneer het gaat om een overheidsinstantie of publieke organisatie. Overheden en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken;
- Wanneer er sprake is van verwerkingen die grootschalige, regelmatige en systematische observatie van betrokkenen vereisen;
- Wanneer er bijzondere en/of strafrechtelijke persoonsgegevens worden verwerkt.
In dit rapport vind je alle richtlijnen voor de Functionaris van Gegevensbescherming.
5. Welke plichten hebben organisaties bij een datalek?
De AVG stelt dat organisaties in bepaalde gevallen verplicht zijn om binnen 72 uur (weekenden meegeteld) een datalek te melden bij de toezichthoudende autoriteit, de Autoriteit Persoonsgegevens (AP). Het melden van een datalek mag alleen achterwege worden gelaten wanneer het niet waarschijnlijk is dat het datalek leidt tot risico’s voor de rechten en vrijheden van de betrokkene. Zorgt een datalek voor een hoog risico voor de rechten en vrijheden van de betrokkene? Dan is een organisatie verplicht om het datalek ook bij de betrokkene zelf te melden. Ongeacht of het datalek wel of niet moet worden gemeld aan de AP, de verwerkingsverantwoordelijke moet altijd voldoen aan de registratieplicht. Datalekken moeten altijd worden gedocumenteerd.
AVAQ is specialist op het gebied van privacy. Onze privacy adviseurs ondersteunen organisaties bij het hanteren van goed privacy management en het voldoen aan de geldende privacywetgeving. Daarnaast beschikken wij over een deskundig en betrokken Functionaris Gegevensbescherming die jouw organisatie graag verder helpt.
Neem vrijblijvend contact met ons op voor een kennismakingsgesprek of meer informatie over privacy management.
