Privacybescherming

Privacybescherming

 

Vanaf 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG). De reden voor de wijziging is om gelijke Europese wetgeving op het gebied van privacy te bewerkstelligen.

De AVG geldt voor álle organisaties, dus ook voor scholen, zorgaanbieders en ZZP-ers. De uitgangspunten voor het beschermen van persoonsgegevens (onder de Wbp) blijven gelijk, maar er zijn enkele belangrijke wijzigingen.

De verantwoordingsplicht

Iedere organisatie moet kunnen aantonen dat de getroffen technische en organisatorische maatregelen voor de verwerking van persoonsgegevens voldoen aan de beginselen van de AVG, indien de Autoriteit Persoonsgegevens hierom vraagt. De belangrijkste beginselen zijn:

  • de verwerking van persoonsgegevens mag enkel voor een bepaald specifiek omschreven doel plaatsvinden;Afbeeldingsresultaat voor Privacy
  • er moet een rechtmatige grondslag voor de gegevensverwerking zijn;
  • de informatie wordt beperkt tot wat noodzakelijk is voor het benoemde doel;
  • de gegevens moeten nauwkeurig en niet langer dan noodzakelijk worden opgeslagen.

 

Verplichte aanwijzing Functionaris voor de gegevensbescherming (FG)

Bedrijven waarvan de kernactiviteit bestaat uit het op grote schaal volgen van individuen, of het op grote schaal verwerken van persoonsgegevens zijn verplicht een FG aan te stellen. Overheidsinstanties en publieke organisaties zijn hiertoe altijd verplicht.

Meldplicht datalek

Sinds 1 januari 2016 dient een ernstig datalek zo spoedig mogelijk bij de Autoriteit Persoonsgegevens (AP) gemeld te worden. Als betrokkenen door het verlies, onrechtmatig gebruik of misbruik van deze persoonsgegevens in hun belangen kunnen worden geschaad, moeten ook de betrokkenen meteen op de hoogte worden gesteld. Onder de AVG is het verplicht alle datalekken te documenteren (dossieropbouw), ook datalekken die niet zijn gemeld bij de AP. Daarnaast moet worden vermeld welke maatregelen zijn getroffen nadat het datalek heeft plaatsgevonden.

Data Protection Impact Assessment (DPIA)

Het kan verplicht zijn een data protection impact assessment (DPIA) uit te voeren vóórdat de verwerking van persoonsgegevens plaatsvindt. Hiermee worden de privacy risico’s van de betrokkenen in kaart gebracht. Deze verplichting bestaat indien de verwerking van persoonsgegevens mogelijk een hoog risico oplevert.

Extra bescherming individu

De AVG geeft extra rechten aan individuen ter bescherming van hun privacy.

  • Het recht om vergeten te worden: op verzoek van de betrokkene moeten zijn/haar gegevens onmiddellijk worden verwijderd als de persoonsgegevens onrechtmatig zijn verwerkt of als de betrokkene de toestemming voor het verwerken intrekt. Dit geldt ook als het recht van verzet wordt uitgeoefend of als de gegevens niet langer nodig zijn voor het beoogde doel.
  • Het recht op gegevensoverdraagbaarheid (recht om eigen persoonsgegevens op te vragen en/of direct te laten doorsturen, bijvoorbeeld naar een andere leverancier).
  • De verwerkingsverantwoordelijke moet binnen één maand reageren op het verzoek van de betrokkene.

 

Boetes

Bij overtreding van de AVG kunnen hoge boetes worden opgelegd. Het risico van niet voldoen aan de regels is daarmee groter geworden.

  1. Niet voldaan aan verantwoordingsplicht? Dan kan een boete worden opgelegd van maximaal € 10 miljoen, of 2% van de wereldwijde omzet als dit meer is.
  2. Niet voldaan aan de beginselen van de AVG? Dan kan een boete worden opgelegd van maximaal € 20 miljoen, of 4% van de wereldwijde omzet als dit meer is.

Maak de organisatie AVG-proof

Check als organisatie of het huidige privacyreglement voldoet aan de eisen van de AVG. Wacht hiermee niet tot het laatste moment. Vanaf 25 mei 2018 moet de organisatie namelijk aan alle regels van de AVG voldoen, kunnen controles door de AP plaatsvinden en kunnen boetes worden opgelegd.

Rol Ondernemingsraad

Voor de ondernemingsraad is ook een rol weggelegd. De ondernemingsraad heeft instemmingsrecht over het voorgenomen besluit tot vaststelling of wijziging van een privacyregeling. Wanneer er belangrijke investeringen nodig zijn om de verwerking van persoonsgegevens te waarborgen, dan heeft de ondernemingsraad adviesrecht.

Zijn er nog geen acties door de ondernemer genomen ter voorbereiding van de organisatie op de inwerkingtreding van de AVG? Dan kan de ondernemingsraad de ondernemer hier via zijn initiatiefrecht op attenderen!