Nogmaals: Algemene verordening gegevensbescherming
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (afgekort: AVG) in werking. Deze verordening vervangt de Privacyrichtlijn die in Nederland in nationale wetgeving is omgezet door middel van de Wet bescherming persoonsgegevens (WBP). De nieuwe verordening beoogt verdere harmonisatie van bescherming van persoonsgegevens binnen de Europese Unie. Ook wordt een Europese toezichthouder geïntroduceerd naast de nationale toezichthouders.
Wat is het doel van de AVG?
Bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht dat is vastgelegd in Europese wetgeving. De AVG zorgt voor harmonisatie van de bescherming van persoonsgegevens binnen de Europese Unie. Door de AVG krijgen personen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens (mits aan de gestelde voorwaarden is voldaan). De privacyrechten worden namelijk versterkt en uitgebreid, zij krijgen het recht op:
- inzage van gegevens (inzagerecht);
- dataportabiliteit (recht op overdraagbaarheid van gegevens);
- rectificatie van gegevens (rectificatierecht); en
- wissen van gegevens (recht op vergetelheid).
Wat betekent de AVG voor uw organisatie
De AVG legt meer (namelijk) de verantwoordelijkheid bij u, als organisatie, om aan te tonen dat u aan de privacyregels voldoet. U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, en dat u passende technische en organisatorische maatregelen hebt genomen om de persoonsgegevens voldoende te beschermen. De AVG kent hiervoor een aantal, deels, verplichte maatregelen:
- het bijhouden van een register van verwerkingsactiviteiten (verplicht bij ondernemingen die meer dan 250 medewerkers in loondienst hebben en bij organisaties waarvan sprake is van structurele verwerking van persoonsgegevens. In dat laatste geval is het aantal medewerkers niet relevant);
- het bijhouden van een register van datalekken die zijn opgetreden;
De AVG geeft concrete invulling aan de term passende technische en organisatorische maatregelen, maar hanteert de stelregel dat het beveiligingsniveau passend moet zijn bij de verwerkingsrisico’s (het verlies, de wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) die zijn geïdentificeerd.
Een speciale categorie in de AVG zijn organisaties die massaal persoonsgegevens verwerken of bijzondere persoonsgegevens van individuen verwerken. In dat geval bent u volgens de AVG verplicht om een DPIA (data protection impact assessment) uit te voeren alsmede om een functionaris voor gegevensbescherming (FG) aan te stellen die verantwoordelijk is voor de naleving van de AVG door uw organisatie. Wanneer het onduidelijk is of u verplicht bent om een functionaris voor gegevensbescherming aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om al dan niet een FG aan te stellen.
Wat betekent dit concreet?
Het aanstellen van een functionaris voor gegevensbescherming is, volgens art. 37 van de Verordening, verplicht in drie situaties:
- de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; overheidsinstanties dus (rechtbanken zijn kort gezegd vrijgesteld van toezicht wegens de rechterlijke onafhankelijkheid).
- een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; Het moet dus gaan om het uitvoeren van regelmatige en stelselmatige observatie op grote schaal van betrokkenen. Te denken valt aan recherchebureaus, maar ook aan internetbedrijven die diensten aanbieden om websitebezoek zeer gedetailleerd te monitoren (analytics);
- de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van [bijzondere en strafrechtelijke persoonsgegevens]; dit zijn bijvoorbeeld persoonsgegevens over ras, seksuele voorkeur of politieke gezindheid.
Toestemming van betrokkenen
De AVG verplicht u een rechtvaardigingsgrondslag te bepalen (art. 6). Er zijn zes verschillende grondslagen die niet zo veel verschillen van de grondslagen die we al kenden uit de WBP. Ze houden op hoofdlijnen in dat de verwerking:
- akkoord is vanuit uw klant door toestemming voor een of meer specifieke doeleinden;
- noodzakelijk is voor de uitvoering van een overeenkomst waarbij uw klant partij is, of om maatregelen te nemen op verzoek van de klant vóór de sluiting van een overeenkomst;
- noodzakelijk is om te voldoen aan een wettelijke verplichting die op uw organisatie rust;
- noodzakelijk is om de vitale belangen van uw klant of van een andere natuurlijke persoon te beschermen;
- noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan uw organisatie is opgedragen;
- noodzakelijk is voor de gerechtvaardigde belangen van uw organisatie of van een derde, behalve wanneer de belangen of de rechten en vrijheden op het gebied van gegevensbescherming van uw klant, zwaarder wegen (met name bij een kind).
Om persoonsgegevens te mogen verwerken moet u altijd een van bovenstaande opties kunnen aanwijzen. De toestemmingsgrondslag is dus slechts één van de mogelijkheden. In de praktijk betekent dit voor u dat u helemaal niet om toestemming hoeft te vragen. U kunt ook met uw klanten een overeenkomst (grondslag 2) sluiten voor de koop of verkoop van een product of dienst. Om te leveren moet u dan persoonsgegevens verwerken. Let hierbij op dat u dan geen persoonsgegevens verwerkt die niet noodzakelijk zijn voor de uitvoering daarvan.
Verwerkt u persoonsgegevens waarvoor u toestemming hebt gekregen van de betrokken (grondslag 1), dan bent u onder de AVG verplicht om aan de Autoriteit Persoonsgegevens te kunnen laten zien dat u die toestemming daadwerkelijk heeft en deze voldoet aan de eisen van de AVG.
Sancties
In de AVG zijn twee categorieën overtredingen gedefinieerd:
- Komt u als verantwoordelijke verplichtingen van de AVG niet na kan de AP een boete opleggen van maximaal € 10 miljoen. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
- Overtreedt u de beginselen of grondslagen van de AVG of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)? Dan kan de AP een boete opleggen van maximaal € 20 miljoen. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.