Algemene Verordening Gegevensbescherming

Eén Europese wetgeving om de privacy te beschermen

Op 25 mei 2018 geldt er één Europese wet, die bedoeld is om de privacy te beschermen. Ook in Nederland is deze wet vertaald in de Algemene Verordening Gegevensbescherming, kortweg de AVG. Daarmee komt de Wet Bescherming Persoonsgegevens te vervallen. De nieuwe wetgeving heeft ingrijpende gevolgen voor vrijwel alle organisaties die data beheren, zeker als het verwerking van data met een hoog risico betreft. Voldoet uw onderneming niet aan de nieuwe wetgeving, dan kunnen er hoge boetes worden uitgedeeld.

Privacy begint natuurlijk met het veilig omgaan met privacygevoelige gegevens. De nieuwe wetgeving vraagt om een goed uitgewerkt privacybeleid en informatie over hoe wordt omgegaan met vertrouwelijke informatie die wordt gedeeld. Medewerkers in uw organisatie dienen goed op de hoogte te zijn van de afspraken die hierover zijn gemaakt. Uw organisatie dient aantoonbaar privacy bewustzijn bij de medewerkers te stimuleren.

Noodzaak

Privacy gevoelige gegevens mogen alleen worden bewaard als deze noodzakelijk zijn voor een goede bedrijfsvoering. De wijze waarop dat gedaan wordt, is beschreven in het privacybeleid. Ook de technische en organisatorische beveiligingsmaatregelen dienen te zijn beschreven. U moet kunnen aantonen dat u er alles aan hebt gedaan om ongeautoriseerde toegang tot privacy gevoelige informatie te voorkomen.

Expliciete toestemming

Een van de grootste wijzigingen is wellicht dat de gegevens van derden alleen gebruikt mogen worden voor het doel waarvoor ze door derden zijn verstrekt. Derden dienen expliciet toestemming te geven voor het opnemen van gegevens in de administratie. Het zomaar toesturen van nieuwsbrieven is niet toegestaan en het vinkje bij de vraag ‘wilt u onze nieuwsbrief ontvangen?’ mag bijvoorbeeld niet automatisch ‘aan’ staan. Ook teksten in de trant van ‘als u zich aanmeldt, stemt u automatisch in met het toesturen van een nieuwsbrief’, zijn niet toegestaan.

Register bijhouden

De AVG schrijft voor dat organisaties met meer dan 250 medewerkers over een Register Gegevensverwerking moeten beschikken. Voor organisaties met minder dan 250 medewerkers geldt deze verplichting alleen als de verwerking van gegevens een hoog risico inhoudt. In dit register dient onder andere te worden bijgehouden wat het doel is van de verwerking van gegevens en welk type/soort data hierin worden verwerkt. Bij het verwerken van gegevens buitenshuis, of als gegevens daar worden opgeslagen, dient er een zogenaamde Verwerkersovereenkomst te worden opgesteld, waarin onder andere de vereiste beveiligingsmaatregelen staan en de aansprakelijkheid is geregeld in gevallen het toch misgaat.

Recht om in te zien

In de nieuwe wetgeving is geregeld dat derden het recht hebben om gegevens in te zien, te laten corrigeren en in voorkomende gevallen zelfs te laten verwijderen. Ook hiervoor dienen organisaties een heldere procedure te hebben.

Functionaris verplicht

Bij grootschalige verwerking van privacy gevoelige informatie dient volgens de nieuwe wetgeving een Functionaris voor de Gegevensbescherming (FG) te worden aangesteld. Daarnaast zijn sommige organisaties sowieso verplicht een FG aan te stellen, zoals de rijksoverheid, gemeenten, provincies, zorg- en onderwijsinstellingen. Ook voor organisaties die op grote schaal gegevens van individuen volgen of waar met bijzondere persoonsgegevens (over gezondheid, politieke overtuiging) wordt gewerkt is aanstelling van een functionaris verplicht.

Beoordeling

Organisaties die gegevens verwerken met een hoog privacyrisico kunnen ook verplicht zijn een zogenaamde gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment, of kortweg DPIA) uit te voeren. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te nemen om de risico’s te verkleinen. Dat is in elk geval zo als een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld cameratoezicht).

 

Voorkom onnodige boete

Veel organisaties zijn nog niet gestart met de voorbereidende werkzaamheden om tijdig te voldoen aan de nieuwe wetgeving. Als niet voldaan wordt aan de nieuwe regels, dan kunnen de boetes oplopen tot € 20 miljoen (of 4% van de wereldwijde omzet, indien dit hoger is). Voorkomen is beter dan genezen.

Pragmatics helpt!

Wilt u deskundige hulp bij de implementatie van deze nieuwe wetgeving in uw organisatie, dan bent u bij Pragmatics aan het juiste adres. Het is nu de tijd om hierop in te zetten. Onze consultants zijn voorbereid op de noodzakelijke veranderingen, voeren graag een quick scan uit en helpen u op weg. Voor meer informatie kunt u contact opnemen met Ralph van Wersch, telefonisch via +31 (0)6 25 028 824of per e-mail r.vanwersch@pragmatics.nl.

 

De Europese privacytoezichthouders hebben een negental criteria uitgewerkt. Organisaties die aan twee van deze negen criteria voldoen, zijn verplicht een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren. Deze criteria zijn een handreiking om in te schatten of u een DPIA moet uitvoeren. Ook als u aan slechts één of geen van deze criteria voldoet, moet u goed kunnen onderbouwen waarom u ervoor kiest om geen DPIA uit te voeren. Dit maakt onderdeel uit van de verantwoordingsplicht.  

  1. Beoordelen van mensen op basis van persoonskenmerken

Het gaat hierbij onder meer om profiling en het maken van prognoses, met name op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen.

Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring), een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.

  1. Geautomatiseerde beslissingen

Het gaat hierbij om beslissingen die voor de betrokkenen rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd.

Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium. In de aankomende WP29-guidelines over profiling volgt hierover meer uitleg.

  1. Stelselmatige en grootschalige monitoring

Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.

  1. Gevoelige gegevens

Het gaat hierbij om bijzondere categorieën van persoonsgegevens (zie artikel 9 van de AVG), zoals informatie over iemands politieke voorkeuren. Ook strafrechtelijke gegevens vallen hieronder. Tot slot gaat het hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

  1. Grootschalige gegevensverwerkingen

De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. WP29 adviseert om met de volgende criteria te bepalen of hiervan sprake is:

  • de hoeveelheid mensen van wie gegevens worden verwerkt;
  • de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
  • de tijdsduur van de gegevensverwerking;
  • de geografische reikwijdte van de gegevensverwerking.
  1. Gekoppelde databases

Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld zijn of met elkaar gecombineerd worden. Bijvoorbeeld databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.

  1. Gegevens over kwetsbare personen

Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft tot gevolg dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Het kan hierbij om bijvoorbeeld werknemers, kinderen en patiënten gaan.

  1. Gebruik van nieuwe technologieën

De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s.

De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog onbekend zijn. Een DPIA helpt de verantwoordelijke dan om de risico’s te begrijpen en te verhelpen. Sommige ‘Internet of Things’-toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de privacy van mensen, waardoor hierbij een DPIA nodig is.

  1. Blokkering van een recht, dienst of contract

Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen:

  • een recht niet kunnen uitoefenen of;
  • een dienst niet kunnen gebruiken of;
  • een contract niet kunnen afsluiten.

Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken.

__________________________________________________

Drs. Richard Hijlkema werkt als Consultant bij Pragmatics. Hij heeft diverse AVG-onderzoeken uitgevoerd en ervaring opgedaan als auditor en controller bij grote organisaties in de zorg, de landbouw, lokale overheid en de bankwereld. Momenteel werkt hij vanuit Pragmatics als integrated risk manager bij Obvion. Hij studeerde Auditing en Accountancy aan de Universiteit van Nijenrode. Momenteel volgt hij de opleiding Executive Master of Finance & Control, Registercontroller aan de Universiteit Maastricht.

No Comments Yet.

Laat een reactie achter