Van Wet bescherming persoonsgegevens naar Algemene verordening gegevensbescherming.

2018 is nog maar net begonnen en 25 mei duurt nog even en dat is maar goed ook! Dat geeft u namelijk voldoende tijd uw privacybeleid en privacyverklaring aan te passen of op te stellen. Waarom? Op 25 mei 2018 maakt de Wet bescherming persoonsgegevens (Wbp) plaats voor de Europese Algemene verordening gegevensbescherming (AVG). Dat betekent: veranderingen! Verwerkt uw organisatie persoonsgegevens? Zorg er dan voor dat uw organisatie vóór 25 mei 2018 voldoet aan de eisen die de AVG stelt. Anders riskeert u hoge boetes, die kunnen oplopen tot 
€ 20.000.000,00. In dit blog ga ik in op wat er in de AVG staat, wat er wijzigt en wat dit concreet betekent voor uw organisatie.

 

Wat zijn persoonsgegevens volgens de AVG?

De AVG gaat over de bescherming van persoonsgegevens. Maar wat zijn persoonsgegevens? Het gaat kort gezegd om informatie die direct over een persoon gaat, zoals:

  • de naam;
  • het adres met postcode;
  • de woonplaats;
  • telefoonnummer;
  • e-mailadres;
  • geboortedatum.

Maar ook indirecte persoonsgegevens, zoals e-mails, foto's en berichten op sociale media.

Kortom, het gaat om alles wat maar in enige zin naar een persoon verwijst en waarmee die persoon kan worden geïdentificeerd. Omdat de AVG over een “natuurlijke persoon” spreekt, kunnen organisaties geen persoonsgegevens hebben. Een telefoonnummer van een organisatie valt dus niet onder persoonsgegevens als bedoeld in de AVG. Werkt u met de hiervoor genoemde gegevens? Hieronder zal blijken dat u al snel onder de AVG valt en hieraan moet voldoen.
 

Verwerkt u persoonsgegevens?

Waarschijnlijk verwerkt uw organisatie persoonsgegevens. Wat is “verwerking”? In de AVG is ‘verwerking’ een ruim begrip: onder verwerken valt onder andere het verzamelen, ordenen, opslaan, raadplegen en gebruiken van persoonsgegevens, maar ook het wissen of vernietigen ervan. Als uw organisatie zich op enige wijze bezig houdt met persoonsgegevens, is de AVG van toepassing en dat is dus al snel het geval. Het bijhouden van een klantenbestand, van afspraken met klanten of van personeelsinformatie, zoals bij veel organisaties het geval is, valt allemaal onder het verwerken van persoonsgegevens. Op die organisaties is de AVG van toepassing. De AVG noemt de organisatie in dat geval een verwerkingsverantwoordelijke.

"Onder verwerken valt onder andere het verzamelen, ordenen, opslaan, raadplegen en gebruiken van persoonsgegevens, maar ook het wissen of vernietigen ervan”

Doe een Privacyscan bij Spectrum Advocaten

Welke rechten heeft de ‘betrokkene’?

Degenen van wie u persoonsgegevens verwerkt, de betrokkene, heeft bepaalde rechten. U zult ervoor moeten zorgen dat hij of zij van deze rechten gebruik kan maken. Het gaat om onder andere de volgende rechten:

  • recht op inzage
  • recht op rectificatie
  • recht op verwijdering
  • recht op beperking
  • recht op bezwaar tegen verwerking
  • recht op gegevensoverdraagbaarheid
     

Wat zijn de gevolgen van de belangrijkste wijzigingen van de rechten van de betrokkene?

Het voert te ver om in dit blog op al deze rechten in te gaan. Aangezien het recht op verwijdering en gegevensoverdraagbaarheid in de AVG zijn versterkt en uitgebreid en dit ook voor uw organisatie van belang is, zal ik hieronder op deze twee rechten ingaan, net als op de versterking en uitbreiding van het verkrijgen van toestemming. De drie belangrijkste wijzigingen zijn:

  • het vragen van toestemming
  • het recht op het verwijderen van gegevens (‘recht op vergetelheid’)
  • het recht op overdraagbaarheid van persoonsgegevens

Het vragen van toestemming

Om persoonsgegevens te mogen verwerken, moet uw organisatie een gegronde reden hebben. Een zogenoemde grondslag. Eén van deze grondslagen is het hebben van toestemming van de betrokkene. Onder de AVG moet het geven van toestemming gebeuren door een duidelijke, actieve handeling. Dit kan bijvoorbeeld doordat een betrokkene schriftelijk of digitaal toestemming geeft. Aangezien een actieve handeling vereist is, is het de vraag of een impliciet gegeven toestemming aan de vereisten van de AVG voldoet.

“Onder de AVG moet het geven van toestemming gebeuren door een duidelijke, actieve handeling”

 

Omdat de AVG een duidelijke actieve handeling voor het geven van toestemming vereist, voldoet het moeten klikken op een vakje op een website aan de AVG. Stilzwijgen of zelfs het gebruiken van al aangekruiste vakjes op een website geldt daarentegen niet als toestemming. Zorg er dus voor dat uw website op de juiste wijze is ingericht en dat personen zelf een handeling moeten verrichten waarmee zij toestemming geven om hun persoonsgegevens te verwerken. Denk bijvoorbeeld aan een inschrijfformulier, waarbij door de inschrijver een apart vakje met toestemming voor de verwerking aangevinkt moet worden, voordat het formulier verzonden kan worden.

Je moet onder de AVG kunnen aantonen dat je toestemming hebt gekregen van de betrokkene om persoonsgegevens te verwerken. Leg dus het bewijs van deze toestemming vast.

Interessant in dit verband is dat de betrokkene ook expliciet toestemming moet geven indien u bijvoorbeeld digitaal nieuwsbrieven wilt versturen. Toestemming hiervoor opnemen in algemene voorwaarden, geldt niet als expliciete toestemming. Het aanmelden moet een duidelijke en bevestigende actie zijn, bijvoorbeeld doordat de betrokkene een vakje moet aanklikken op de website waarmee toestemming wordt gegeven om nieuwsbrieven te versturen. Dat vakje mag dus niet al vooraf zijn ingevuld! En: voor elk doeleinde moet apart toestemming gegeven worden. Als iemand toestemming geeft voor een nieuwsbrief over onderwerp A, mogen er geen nieuwsbrieven verstuurd worden over onderwerp B, tenzij voor die nieuwsbrief ook expliciet toestemming is gegeven. Is dit in uw organisatie al geregeld?

“Je moet onder de AVG kunnen aantonen dat je toestemming hebt gekregen van de betrokkene om persoonsgegevens te verwerken, dus het is van belang dat u bewijs van de toestemming vastlegt”

 

Recht op verwijdering van gegevens (‘recht van vergetelheid’)

Het recht op verwijdering bestond al onder de Wpb, maar zag alleen toe op het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens. In de AVG is dit recht uitgebreid. De betrokkene kan uw organisatie verzoeken de persoonsgegevens te verwijderen. Indien een organisatie de persoonsgegevens op grond van de AVG moet verwijderen, moet deze organisatie ook andere organisaties, die de persoonsgegevens hebben gekregen, informeren dat de persoonsgegevens zijn verwijderd en verzoeken dat ook zij de persoonsgegevens verwijderen. Dit betekent dat u op verzoek van betrokkene in bepaalde gevallen verplicht bent de persoonsgegevens te verwijderen en ook andere organisaties daarop dient te wijzen.

“De betrokkene kan uw organisatie verzoeken de persoonsgegevens te verwijderen”

 

Recht op overdraagbaarheid van gegevens

Nieuw in de AVG is het recht van de betrokkene om de persoonsgegevens over te dragen (“dataportibiliteit”). Dit recht houdt in dat de betrokkene zijn of haar persoonsgegevens van de organisatie moet kunnen krijgen en deze ongehinderd moet kunnen overdragen aan een andere organisatie. Ook heeft de betrokkene het recht dat de persoonsgegevens rechtstreeks van de ene naar de andere organisatie wordt overgedragen als dit technisch gezien mogelijk is.

Zorg er daarom voor dat u de persoonsgegevens van betrokkenen aan hen en aan eventuele andere organisaties kunt overdragen.

De wijzigingen van de rechten van betrokkenen verwachten van u de nodige actie!
 

Verplichtingen voor u als verwerkingsverantwoordelijke

Hiervoor zijn een aantal rechten van de betrokkene toegelicht en is aangegeven welke gevolgen deze rechten voor uw organisatie hebben. De AVG legt ook direct aan organisaties verplichtingen op. De belangrijkste hiervan zijn:

  • de verantwoordingsplicht;
  • geen melding van verwerking van persoonsgegevens bij Autoriteit Persoonsgegevens;
  • mogelijke verplichting van uitvoering van een Data protection impact assessment (DPIA);
  • mogelijke verplichting tot aanstelling van een Functionaris voor gegevensbescherming (FG)

“De AVG legt ook direct aan organisaties verplichtingen op”

 

Verantwoordingsplicht

Je moet als organisatie kunnen bewijzen dat je aan de AVG voldoet: je moet je kunnen verantwoorden. De AVG legt een aantal verplichtingen op. Komt u deze na, dan voldoet u daarmee aan de verantwoordingsplicht. Zo noemt de AVG onder andere:

  • het kunnen bewijzen van ontvangen toestemming van de betrokkene;
  • het hebben van een register met alle verwerkingen;
  • het hebben van een register met alle datalekken;

In een volgende blog zal nader worden ingegaan op de verantwoordingsplicht.

Geen melding van verwerking van persoonsgegevens

Met inwerkingtreding van de AVG komt de meldplicht van organisaties dat zij persoonsgegevens verwerken, deels te vervallen. Dat is een wijziging ten opzichte van de Wbp, waarin wel voor alle gevallen een meldplicht was opgenomen. De meldplicht blijft nu alleen nog bestaan als er sprake is van gegevensverwerking met een hoog privacyrisico, bijvoorbeeld als er sprake is van grootschalige verwerking van persoonsgegeven op regionaal of nationaal niveau of als er een nieuwe technologie wordt gebruikt om persoonsgegevens te verwerken. In geval van een hoog privacyrisico, zal een “data protection impact assessment” (DPIA) uitgevoerd moeten worden. Hieronder licht ik dit nader toe.

Mogelijke verplichting uitvoering DPIA

Onder de AVG kunnen sommige organisaties verplicht zijn een “data protection impact assessment” (DPIA) uit te voeren. In het Nederlands wordt dit “gegevensbeschermingseffectbeoordeling” genoemd. Wat houdt dit nu precies in? Organisaties die persoonsgegevens verwerken met een hoog privacyrisico moeten, voordat zij persoonsgegevens verwerken, eerst de privacyrisico’s in beeld brengen. Daarna moeten deze organisaties maatregelen treffen waarbij de privacyrisico’s worden verkleind. De AVG noemt drie gevallen waarin in ieder geval een DPIA uitgevoerd moet worden, namelijk wanneer uw organisatie:

  • systematisch en uitvoerig persoonlijke aspecten beoordeelt, waaronder profiling;
  • grootschalig bijzondere persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen/strafbare feiten verwerkt;
  • systematisch en grootschalig personen volgt in openbaar toegankelijke ruimten (denk aan cameratoezicht).

Valt u onder een van deze drie categorieën en moet u een DIPA uitvoeren? Inmiddels zijn er richtsnoeren opgesteld die handvatten geven voor het uitvoeren van een DPIA.

Als blijkt dat de verwerking een hoog risico oplevert en een organisatie geen maatregelen kan nemen om dit risico te beperken, dan moet de organisatie de voorgenomen verwerking eerst voorleggen aan de Autoriteit Persoonsgegevens.

Als een organisatie niet onder een van deze drie categorieën valt, moet de organisatie zelf, aan de hand van negen opgestelde criteria, bepalen of zij al dan niet een DPIA moeten uitvoeren. Deze negen criteria kunt u terugvinden op de website van de Autoriteit Persoonsgegevens.

Mogelijke verplichting tot aanstelling Functionaris voor gegevensbescherming

Tot slot kunnen sommige organisaties verplicht zijn om een functionaris voor gegevensbescherming (FG) aan te stellen. De AVG noemt drie gevallen waarin dit verplicht is, namelijk voor:

  • overheidsinstanties en overheidsorganen;
  • organisaties die als kerntaak hebben het uitvoeren van verwerkingsactiviteiten, waarbij betrokkenen worden geobserveerd;
  • organisaties die als kerntaak het verwerken van bijzondere persoonsgegeven hebben.

Ook voor de functionarissen voor gegevensbescherming zijn richtlijnen opgesteld.
 

Boetes

Indien u de AVG overtreedt, heeft de Autoriteit Persoonsgegevens de bevoegdheid om (hoge) boetes op te leggen. Als uw organisatie verplichtingen uit de AVG niet nakomt, dan kunnen boetes opgelegd worden (tot maximaal € 10.000.000,00 of 2% van de wereldwijde jaaromzet). Bij schending van de beginselen of grondslagen van de AVG of de privacyrechten van betrokkenen, kunnen boetes (tot maximaal € 20.000.000,00 of 4% van de wereldwijde jaaromzet) worden opgelegd. Het belang om aan de AVG te voldoen, is dus aanzienlijk.

“Indien u de AVG overtreedt, heeft de Autoriteit Persoonsgegevens de bevoegdheid om (hoge) boetes op te leggen”

 

Wat wordt nu van u verwacht?

Tijd om in actie te komen! Weet u al of uw organisatie aan de eisen van de AVG voldoet? Zo niet, ga dat na! Wij kunnen dat voor u doen door een quick scan te verrichten. Informeert uw organisatie de betrokkene over zijn of haar rechten en over haar privacybeleid? Dat kan eenvoudig door middel van een privacyverklaring. Heeft u al een privacyverklaring? Dan moet deze vóór 25 mei 2018 volledig zijn aangepast op de AVG. Mocht u nog niet over een privacyverklaring beschikken, dan is dit dus hét moment om deze te laten opstellen!

Heeft u een vraag over dit blog, wilt u dat wij een quick scan verrichten of worden geadviseerd over uw privacybeleid of dat wij een privacyverklaring opstellen, neem dan contact met ons op. Dit kan via de contactbutton op deze pagina of u kunt een e-mail sturen naar info@spectrumadvocaten.nl. Wij zijn u graag van dienst!

Contractenrecht & aansprakelijkheid