De AVG (Algemene Verordening Gegevensbescherming) is de EU privacywetgeving die vanaf 25 mei 2018 in de gehele EU van toepassing is. Privacybescherming wordt hiermee verder uitgebreid en organisatie die persoonsgegevens verwerken krijgen meer verplichtingen. In dit artikel lopen we kort de grootste wijzigingen langs.

Uitbreiding van de rechten van betrokkenen
De mensen waarvan u persoonsgegevens verwerkt krijgen meer rechten dan op dit moment. Naast de bestaande rechten van inzage, correctie en verwijdering ontstaat het nieuwe recht op ‘dataportabiliteit’. Dataportabiliteit is kort gezegd het recht om verzamelde gegevens door te kunnen geven aan een andere organisatie.

Uitbreiding van uw plichten
Organisaties die persoonsgegevens verwerken krijgen te maken met een uitbreiding van de plichten die op hen rusten. Zo moet u overzicht hebben in de persoonsgegevens die u verwerkt en met welk doel u dat doet. Deze activiteiten moet u vastleggen in een zogenoemd ‘register van verwerkingsactiviteiten’.
Als de gegevens die u verwerkt een hoog privacyrisico hebben dan bent u verplicht een zogenoemde ‘data protection impact assessment’ (DPIA) uit te voeren. De DPIA moet uitgevoerd worden als sprake is van: “systematisch en uitvoerig persoonlijke aspecten evalueren, waaronder profiling; op grote schaal bijzondere persoonsgegevens verwerken; op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).”

Uitgangspunten van de AVG
In de AVG bestaan twee belangrijke uitgangspunten; de eerste is ‘Privacy by design’ en de tweede is ‘Privacy by default’.

Privacy by design is het uitgangspunt dat al bij het ontwerpen van producten en diensten rekening wordt gehouden met het beschermen van persoonsgegevens.

Privacy by default is het uitgangspunt dat de persoonsgegevens die worden verzameld op een technische of organisatorische wijze alleen toegepast kunnen worden voor het specifieke doel dat moet worden bereikt. Als voorbeelden worden dan genoemd dat in een app standaard het registreren van de locatie van de gebruiker niet wordt geactiveerd of dat het ‘vinkje’ over het automatisch ontvangen van informatie uitstaat.

Het aanstellen van een ‘functionaris voor de gegevensbescherming’ (FG) kan van toepassing zijn op uw organisatie. Op dit moment zijn er drie situaties waarin het aanstellen van een FG noodzakelijk kan zijn; als eerste voor de overheid en publieke instellingen, als tweede voor organisaties waarvan de kernactiviteit het grootschalig volgen (profilen) van mensen is en tot slot als derde bij organisaties die bijzondere persoonsgegevens verwerken (denk aan zaken als gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden). Overigens mogen organisaties ook vrijwillig een FG aanstellen.

De huidige meldplicht datalekken blijft bestaan, wel komt er een uitbreiding in die zin dat er een registratie van alle datalekken binnen uw organisatie moet bestaan.

Maakt u gebruik van een externe organisatie voor bijvoorbeeld uw ICT voorzieningen waarmee persoonsgegevens worden verwerkt? Dan is het uw verplichting om na te gaan of die verwerker wel volgens de bepalingen van de AVG werkt. Stel daarom tijdig een ‘verwerkersovereenkomst’ op of pas deze aan in lijn met de AVG.

Voor het verwerken van persoonsgegevens heeft u toestemming nodig van de betrokkene. Zorg ervoor dat u op de juiste wijze die toestemming krijgt. Het is aan uw organisatie om de toestemming aan te tonen. Voor de persoon van wie de gegevens worden verwerkt moet het even eenvoudig zijn om de toestemming te geven als in te trekken.

De AVG in uw organisatie? Wees u bewust van de verplichtingen en kijk (tijdig) naar het inzetten van noodzakelijke maatregelen. De activiteiten van uw organisatie vallen waarschijnlijk sneller onder de AVG dan u denkt, onderneem daarom tijdig (ruim vóór 25 mei 2018) actie. De advocaten van Vallei Advocaten & Mediators kunnen u daarbij adviseren.

« Terug naar het overzicht

© 2018 - Alle rechten voorbehouden - Vallei Advocaten