AVG: Vanaf 25 mei 2018 in een notendop!
Onze gegevens worden (bijna) overal verwerkt en in heel veel gevallen zijn wij daarvan niet op de hoogte. Vanaf a.s. vrijdag 25 mei 2018 zal daar mede verandering in moeten komen, want de Algemene verordening gegevensbescherming (hierna: AVG) zal dan van toepassing zijn. Daarmee wordt de Richtlijn uit 1995 (Richtlijn 95/46/EG) en de Wet bescherming persoonsgegevens (Wbp) volledig vervangen. Deze verordening is bedoeld om de persoonsgegevens van personen waarvan gegevens worden die in EU verblijven te beschermen.
Bedrijven en overheidsinstanties (hierna: verwerkingsverantwoordelijke) die met ingang van 25 mei gegevens van personen verwerken, dienen aan de AVG-vereisten te voldoen. Daarbij staat transparantie van de verwerking van de gegevens centraal.[1]Hieronder worden een aantal belangrijke punten kort toegelicht. Verder zal worden ingegaan op de naleving van vereisten en de handhaving bij overtredingen door de verwerkingsverantwoordelijke.
- Verstrekking van informatie
De AVG verplicht de organisaties en overheidsinstanties de personen, waarvan zij persoonsgegevens hebben verwerkt, hieromtrent te informeren. Daarnaast dienen zij aanvullende informatie te verschaffen over bijvoorbeeld de duur van de opslag, de rechten die personen hebben, bezwaar mogelijkheden tegen de verwerking en een aantal andere zaken. De verwerkingsverantwoordelijke is ook verplicht om de personen op de hoogte stellen, wanneer zij de persoonsgegevens voor een andere doel gebruiken, dan aan de personen is medegedeeld bij verzameling van de gegevens.
- Recht op inzage
Personen hebben recht op inzage met betrekking tot hun persoonsgegevens die door de verwerkingsverantwoordelijke is verwerkt. Dit recht geeft hun de mogelijkheid om hun gegevens in te zien en eventueel te wijzigen. Verder kunnen de betrokkenen informatie krijgen over de periode van de opslag van de gegevens en over de ontvangers aan wie de gegevens verstrekt zullen worden.
- Recht op het wissen van gegevens (vergetelheid)
De AVG bepaalt tevens dat personen het recht hebben om vergeten te worden. Dat wil zeggen dat personen de verwerkingsverantwoordelijke kunnen verzoeken om de gegevens die de verwerkingsverantwoordelijke van hun heeft verwerkt te verwijderen. De verwerkingsverantwoordelijke is dan verplicht om aan de wensen van de betrokkene gehoor te geven, mits het behouden van de persoonsgegevens voor het doel waarvoor deze zijn verwerkt, noodzakelijk is.
- Recht op dataportabiliteit
Het recht op dataportabiliteit is niets anders dan het feit dat personen hun dossier of verzamelde persoonsgegevens bij een verwerkingsverantwoordelijke op kunnen vragen, om deze vervolgens aan een andere verwerkingsverantwoordelijke te kunnen overdragen. De organisaties dienen de gevraagde persoonsgegevens van de betrokkenen op een manier aan de betrokkenen aan te leveren, die in de praktijk gangbaar is en door andere organisaties gelezen en bewerkt kan worden.
Aandacht aan ‘naleving’
AVG streeft niet alleen de juiste verwerking en gebruik van de persoonsgegevens door verwerkingsverantwoordelijken na, maar wil dat deze handelingen aantoonbaar zijn. De verwerkingsverantwoordelijke dienen een privacydossier op te stellen, waarin het verloop van processen en omgang met persoonsgegevens worden bijgehouden.
De verwerkingsverantwoordelijke moet op een duidelijke wijze met personen communiceren. Tevens is de verwerkingsverantwoordelijke verplicht de personen over hun rechten te informeren. Ook wordt van de verwerkingsverantwoordelijke verlangt om een privacyvriendelijk systeem te gebruiken, waarin persoonsgegevens veilig verwerkt kunnen worden. Hierdoor zullen met name risico’s met betrekking tot de schending van de rechten en vrijheden van de betrokkenen worden geminimaliseerd.
Daarnaast dient de verwerkingsverantwoordelijke een register van de verwerkingsactiviteiten bij te houden. Het register hoort een lijst met gegevens te bevatten, zoals de naam en contactgegevens van de verwerkingsverantwoordelijke en van de functionaris, de verwerkingsdoeleinden, de beschrijving van de categorieën van betrokkenen en van persoonsgegevens et cetera.
Bovendien zijn grote verwerkingsverantwoordelijken die persoonsgegevens verwerken, een functionaris gegevensbescherming (hierna: FG) aan te wijzen. De taken van de FG zijn o.a. het verstrekken van informatie en advies aan de verwerkingsverantwoordelijken met betrekking tot hun verplichtingen. Deze verplichtingen kunnen voortvloeien uit AVG of andere Europese- of Nationale privacyregelingen. Tevens zal de FG samenwerken met de toezichthoudende autoriteit en toezien of deze regels op een correcte wijze worden nageleefd.
Met betrekking tot de handhaving bij overtredingen hebben de toezichthoudende autoriteiten behoorlijk grote tanden gekregen. Met van toepassing wording van AVG, hoopt EU de bescherming van persoonsgegevens doeltreffender te maken. Daarom hebben toezichthoudende autoriteiten o.a. de bevoegdheid gekregen om hogere bestuurlijke geldboetes op te leggen. De sancties dienen volgens AVG doeltreffend, evenredig en afschrikkendte zijn. Bij het niet naleven van de verplichtingen uit AVG kunnen de verwerkingsverantwoordelijken een boete van maximaal €20.000.000,- verwachten.
Vanaf 25 mei 2018 zal er veel meer van de verwerkingsverantwoordelijken worden verwacht dan zij tot op heden gewend zijn. Het is om die reden van belang om als organisatie de persoonsgegevens van de uw cliënten op een zorgzame wijze te verwerken en voor een veiligere verwerking voldoende maatregelen te treffen.
[1]Europese Commissie, Memorie van Toelichting, 25 januari 2012.