De nieuwe privacywet wordt van toepassing over ongeveer een half jaar. De betreffende wet is de Algemene Verordening Gegevensbescherming, afgekort tot AVG. Deze wetgeving gaat een hoop verandering teweegbrengen als het gaat om de bescherming van persoonsgegevens binnen uw bedrijf.
Privacy by design & dataminimalisatie
De nieuwe wet gaat uit van privacy by design. Dat houdt in dat al uw processen ingericht moeten worden met privacy in het achterhoofd en dat u daarbij ook rekening houdt met een leidend principe binnen de AVG: dataminimalisatie. U dient vanaf 25 mei 2018 alleen nog maar de persoonsgegevens te verwerken die naar evenredigheid nodig zijn voor het doel dat u heeft voor de verwerking. Kort gezegd: u moet niet meer gegevens verzamelen dan nodig zijn voor het adequaat uitvoeren van uw dienstverlening.
Data Protection Officer en Privacy Impact Assessment
In sommige gevallen dient u een Data Protection Officer (DPO) of Functionaris Gegevensbescherming (FG) aan te stellen. Een DPO of FG is verplicht indien men, kort gezegd: een overheidsinstantie is, er regelmatige en stelselmatige observatie uitvoert of indien men op grote schaal bijzondere persoonsgegevens verwerkt, zoals gegevens omtrent ras, politieke voorkeur etc.
Daarnaast kunt u verplicht zijn om een Privacy Impact Assessment (PIA) of Gegevensbeschermingsbeoordeling uit te voeren. U bent daartoe verplicht indien u, middels nieuwe technologieën, gegevens gaat verwerken waarbij er een groot risico bestaat voor de rechten en vrijheden van een natuurlijk persoon.
Dit is nogal een lastige formulering en de vraag wanneer men nu wel of geen PIA moet uitvoeren is dus ook lastig om in het algemeen te beantwoorden. Wel noemt de AVG in artikel 35 lid 3 een aantal gevallen waarin een PIA verplicht is, zoals het op stelselmatige en grootschalige wijze monitoren van openbaar toegankelijke ruimtes. In het geval dat u dus gebruik maakt van cameratoezicht kan een PIA een handig instrument zijn en in sommige gevallen dus een verplichting.
Recht van inzage en verwijdering en dataportabiliteit
Onder de huidige privacywet bestaat er al een recht van inzage voor de betrokkene. Ook heeft men het recht om de verwijdering van persoonsgegevens te vragen. Deze rechten blijven gehandhaafd onder de AVG, maar worden uitgebreid met het recht op dataportabiliteit. Dit is simpelweg het recht om gegevens van de ene organisatie mee te nemen naar een andere organisatie. De eerste verwerker dient de over een betrokkene verzamelde persoonsgegevens toegankelijk te maken voor de overdracht naar een derde. Naast de juridische implicaties heeft dit voor u als ondernemer vooral gevolg voor uw software. De gegevens moeten namelijk makkelijk uit te wisselen zijn tussen de verschillende partijen. De Autoriteit Persoonsgegevens stelt hierover in een richtlijn:
‘Ze moeten garanderen dat persoonsgegevens in een gestructureerde, gangbare en machine leesbare vorm worden overgedragen en moeten aangemoedigd worden erop toe te zien dat de gebruikte gegevensvorm interoperabel is.’
Verwerkingsregister
Indien u meer dan 250 werknemer heeft of verplicht bent een PIA uit te voeren, bent u verplicht een verwerkingsregister bij te houden. Via dit register geeft u verantwoording voor de door u gekozen verwerking van persoonsgegevens. Zo geeft u het doel van de verwerking aan, maar ook de bewaartermijn van verschillende categorieën persoonsgegevens.
Tot slot
De nieuw privacywetgeving brengt veel verandering mee, teveel om in één artikel te bespreken. De hierboven aangehaalde onderwerpen zijn echter de meest in het oog springende onderdelen, maar dus zeker niet alle onderwerpen en eisen. Wij adviseren u om deze nieuwe wetgeving zéér serieus te nemen en indien nodig een jurist of advocaat in te schakelen. Zoals wij hier eerder schreven, zijn de boetes die de toezichthouders gaan opleggen zeer hoog en zal de handhaving serieus genomen worden. Vragen over deze nieuwe wetgeving kunt u als abonnee op het juridische abonnement natuurlijk altijd aan onze advocaten voorleggen. Uiteraard adviseren wij u waar nodig over de te nemen maatregelen.