Charco & Dique

GDPR

Vanaf 25 mei 2018 geldt in de Europese Unie dezelfde privacywetgeving: de General Data Protection Regulation (GDPR). In Nederland is deze wetgeving ook bekend onder de naam Algemene verordening gegevensbescherming (AVG). De AVG versterkt de rechten van personen van wie persoonsgegevens worden verwerkt. Organisaties die persoonsgegevens verwerken, krijgen meer verantwoordelijkheden. Zo moeten organisaties kunnen aantonen dat zij maatregelen hebben genomen om persoonsgegevens te beschermen en in control zijn. De boetes voor een overtreding van de AVG kunnen oplopen tot 20 miljoen euro of 4% van de jaaromzet.

Onderwerpen

Waarom wordt er nieuwe privacywetgeving ingevoerd?

De GDPR vervangt de Europese privacyrichtlijn uit 1995. Op basis van deze richtlijn heeft elke lidstaat van de Europese Unie nu nog een eigen privacywet. In Nederland is de privacyrichtlijn uitgewerkt in de Wet bescherming persoonsgegevens (Wbp). Vanaf de invoering van de GDPR zijn in alle lidstaten van de Europese Unie in beginsel dezelfde privacyregels van toepassing. Ook krijgen Europese toezichthouders dezelfde bevoegdheden. De GDPR is bovendien meer toegespitst op het digitale tijdperk dan de privacyrichtlijn uit 1995, die in werking trad toen internet nog in de kinderschoenen stond.

Wat zijn de belangrijkste wijzigingen onder de AVG?

Met de inwerkingtreding van de AVG op 25 mei 2018 vervalt de Wbp. Onder de AVG krijgen personen van wie gegevens worden verwerkt meer en uitgebreidere rechten, zoals het recht op dataportabiliteit en het recht om vergeten te worden. Organisaties die persoonsgegevens verwerken, krijgen meer verantwoordelijkheden en verplichtingen. Zo moeten organisaties in veel gevallen in een verwerkingsregister documenteren welke persoonsgegevens verwerkt worden en met welk doel, wat de herkomst is van de gegevens en met wie de gegevens worden gedeeld. Ook kunnen organisaties verplicht zijn een Data Protection Impact Assessment uit te voeren en een functionaris voor de gegevensbescherming aan te stellen. Daarnaast zijn privacy by design en privacy by default belangrijke uitgangspunten om persoonsgegevens te beschermen wanneer het gaat om ontwikkeling van nieuwe producten en diensten en de bijbehorende systemen en processen.

Wat zijn de nieuwe privacyrechten voor betrokkenen onder de AVG?

Onder de AVG worden de privacyrechten van personen van wie de persoonsgegevens worden verwerkt, versterkt en uitgebreid. Zo kan een betrokkene in een aantal gevallen van een organisatie eisen zijn of haar persoonsgegevens te verwijderen. Dit recht op ‘vergeten worden’ is breder dan het huidige recht op correctie en verwijdering onder de Wbp. Ook krijgen betrokkenen het recht op dataportabiliteit. Dit houdt in dat zij van een organisatie kunnen eisen om in een standaardformaat de persoonsgegevens te ontvangen die de organisatie van hen heeft. Deze gegevens kan de betrokkene vervolgens doorgeven aan een andere organisatie.

Wat is privacy by design en privacy by default?

Al tijdens het ontwikkelen van diensten en producten zijn organisaties verplicht rekening te houden met een goede bescherming van persoonsgegevens, bijvoorbeeld door het nemen van privacyverhogende maatregelen. Dit uitgangspunt wordt privacy by design genoemd. Daarnaast voorziet de AVG in het uitgangspunt privacy by default. Dit houdt in dat van organisaties wordt verwacht dat zij technische en organisatorische maatregelen nemen om ervoor te zorgen dat er in beginsel enkel persoonsgegevens verwerkt worden die benodigd zijn voor het specifieke doel van de verwerking. Denk bijvoorbeeld aan het inrichten van een formulier voor het opvragen van informatie of online bestellingen. In zo’n formulier mag alleen informatie worden opgenomen die relevant is voor het proces.

Wat is een functionaris voor de gegevensbescherming?

Sommige organisaties zijn onder de AVG verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. De verplichting om een FG aan te stellen geldt onder meer voor overheidsinstanties en publieke organisaties, maar ook voor organisaties die op grote schaal mensen volgen of bijzondere persoonsgegevens verwerken, zoals gegevens over geloofsovertuiging, ras of gezondheid. De FG is een interne toezichthouder die een organisatie adviseert en rapporteert over de naleving van de AVG. De FG moet onafhankelijk kunnen werken. Voor de professionaliteit en het takenpakket van de functionaris gelden specifieke regels. Zo moet een FG voldoende kennis hebben van de privacywetgeving en van de organisatie.

Wat is het verschil tussen een FG en een DPO?

Functionaris voor de gegevensbescherming (FG) is de Nederlandse vertaling van de Engelse term Data Protection Officer (DPO) uit de GDPR. Formeel is er dus geen verschil. In de praktijk kiezen organisaties die niet wettelijk verplicht zijn een FG aan te stellen, er soms toch voor om iemand aan te nemen die gespecialiseerd is in de bescherming van persoonsgegevens. Vaak krijgt deze persoon de functienaam DPO. Bedenk wel dat voor een vrijwillig aangestelde (en bij de Autoriteit Persoonsgegevens aangemelde) FG of DPO dezelfde regels gelden als voor een FG of DPO die verplicht wordt aangesteld.

Wat is een Data Protection Impact Assessment?

Een Data Protection Impact Assessment (DPIA) of gegevensbeschermingseffectbeoordeling is een instrument waarmee een organisatie vooraf de privacyrisico’s van een specifieke verwerking van gegevens (in een systeem of proces) inventariseert. Dit kan een nieuwe verwerking zijn of een aanpassing in een bestaande verwerking. Vervolgens kunnen maatregelen worden genomen om de risico’s te beperken. Een DPIA is verplicht als verwacht wordt dat een gegevensverwerking een hoog privacyrisico oplevert voor de personen van wie de gegevens worden verwerkt, bijvoorbeeld als een organisatie telefoongesprekken opneemt.

Wat is profiling?

Profiling of profilering is het automatisch indelen van personen in profielen op basis van hun persoonsgegevens. Deze indeling in profielen kan worden gebruikt om individuele besluiten te nemen, zoals het verlenen van een krediet door een bank. Betrokkenen hebben het recht om niet onderworpen te worden aan dergelijke individuele besluitvorming die enkel gebaseerd is op een geautomatiseerde verwerking van hun persoonsgegevens. Check ook de site van de AP over het gebruik van big data voor profiling.

Wat zijn de sancties als niet wordt voldaan aan de AVG?

Onder de GDPR krijgen alle Europese privacytoezichthouders dezelfde bevoegdheden, zoals het verrichten van onderzoek, het behandelen van het klachten van betrokkenen en het nemen van corrigerende maatregelen. In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving van de privacywetgeving. Bij overtredingen kan de toezichthouder een boete opleggen van maximaal 20 miljoen euro of 4% van de jaaromzet. Naast de boetebevoegdheid voorziet de AVG in de mogelijkheid om sancties op te leggen die erop gericht zijn een overtreding te beëindigen of de nadelige gevolgen ervan te herstellen. Zo heeft de AP de bevoegdheid om een last onder dwangsom op te leggen.

Meer weten?

Bij Charco & Dique beschikken we niet alleen over gedetailleerde kennis van de steeds veranderende financiële wet-en regelgeving, maar hebben we als geen ander de ervaring in huis om onze klanten te ondersteunen bij de toepassing ervan. Soms strategisch, soms pragmatisch maar altijd duurzaam en met vooruitziende blik. Wilt u meer weten over de mogelijkheden? Neem dan contact met ons op.

Contact