AVG & Privacy

Privacy: In de afgelopen jaren is er veel over gezegd en geschreven. En dat is ook niet zo vreemd, gezien de technologische ontwikkelingen en digitaliseringsslag van de laatste decennia. Waar privacy vroeger vaak ging over de fysieke privacy van personen, gaat het tegenwoordig steeds meer over de bescherming van de (veelal digitaal opgeslagen) persoonsgegevens. En met de enorme bulk aan data die de gemiddelde organisatie verzamelt van haar klanten, medewerkers en zakelijke relaties kan dat al snel een omvangrijke en ingrijpende klus zijn!

Ontzorging op maat.

Waar bent u als organisatie zijnde nu wettelijk toe verplicht? En belangrijker nog, hoe pakt u dit aan? Om antwoord te kunnen geven op deze vragen is het van belang om terug te gaan naar 25 mei 2018. Op deze datum trad immers de Algemene Verordening Gegevensbescherming in werking. Dé verordening waarmee de bescherming van persoonsgegevens door organisaties op Europees niveau geregeld werd. Met de komst van deze Europese verordening hebben organisaties er diverse wettelijke verplichtingen bijgekregen. Op hoofdlijnen zijn de belangrijkste verplichtingen waaraan organisaties op grond van de AVG dienen te voldoen als volgt:

De AVG is complex, wij helpen u bij de volgende wettelijke verplichtingen

1 - In kaart brengen van alle verwerkingen van persoonsgegevens en dataminimalisatie:

Organisaties mogen enkel persoonsgegevens verwerken die écht nodig zijn en waarvoor een rechtmatige grondslag is. Organisaties dienen zodoende in kaart te brengen welke verwerkingen van persoonsgegevens er plaatsvinden binnen haar werkprocessen, of deze verwerkingen allen noodzakelijk zijn en met welke grondslag(en) ze de betreffende verwerkingen rechtvaardigt. 

2 - Verantwoordingsplicht:

In het verlengde van voorgaande verplichting, hebben organisaties sinds de inwerkingtreding van de AVG de verplichting om vooraf aantoonbaar te maken dat zij voldoen aan de geldende privacyregels. Een up-to-date verwerkingsregister en een op de organisatie toegesneden gegevensbeschermingsbeleid zijn hier belangrijke en omvangrijke onderdelen van. 

3 - Creëren en borgen bewustwording onder medewerkers:

Het creëren van een intern privacy bewustzijn en een actieve inzet van medewerkers is essentieel bij het op orde hebben en houden van de bescherming van persoonsgegevens. Uit de ‘Jaarrapportage datalekken 2019’ van de Autoriteit Persoonsgegevens blijkt immers dat maar liefst 80% van de datalekken die ontstaan binnen een organisatie wordt veroorzaakt door een menselijke fout!

4 - Ondernemen van technische en organisatorische beveiligingsmaatregelen:

Organisaties dienen op grond van de AVG voldoende passende technische en organisatorische beveiligingsmaatregelen te treffen, onder andere afgestemd op de risico’s die de betreffende verwerkingen van persoonsgegevens met zich meebrengen en de huidige stand van de techniek. Enkele mogelijkheden hierbij zijn het aanscherpen van en een regelmatige controle op het wachtwoord- en autorisatiebeleid, het instellen van tweefactorauthenticatie, het anonimiseren van persoonsgegevens en het versleutelen van data (encryptie).

5 - Faciliteren van rechten van betrokkenen:

Betrokkenen hebben onder de AVG diverse rechten die organisaties dienen te respecteren en faciliteren. Onder voornoemde rechten vallen onder andere het recht op inzage, correctie, vergetelheid en het recht op dataportabiliteit. Daarnaast geldt er een informatieverplichting, die in de praktijk veelal wordt vormgegeven door middel van een privacyverklaring.

6 - Samenwerkingsafspraken en verwerkersovereenkomsten aangaan:

Organisaties dienen afspraken te maken met hun externe partners over de wijze waarop de persoonsgegevens (over en weer) beschermd dienen te worden. Voorafgaand aan het maken van deze afspraken dient bepaald te worden of de betreffende externe partij het doel en de middelen van de verwerkingen zélf kan bepalen of niet. Dit is van belang doordat deze afweging invloed heeft op de wijze waarop de afspraken juridisch vastgelegd dienen te worden.

7 - Borgen Privacy by design en uitvoeren DPIA:

Organisaties die denken na de implementatie van de AVG klaar te zijn met deze verordening komen helaas van een koude kermis thuis, onder andere vanwege het ‘privacy by design’ principe. Deze verplichting houdt immers in dat een organisatie ook tijdens de toekomstige ontwikkeling van een product of dienst dient na te denken over de inbedding van de AVG, de toepassing van dataminimalisatie en de te nemen beveiligingsmaatregelen. Daarnaast is het bij toekomstige verwerkingen die vanwege de aard, omvang, context en doel een hoog risico opleveren voor de rechten en vrijheden van eventuele betrokkenen verplicht om een DPIA (Data Data protection impact assessment) uit te voeren. Dit houdt in dat er bij nieuwe processen en/of systemen allereerst beoordeeld dient te worden of de toekomstige verwerkingen een hoog risico met zich meebrengen. Indien dit het geval is, dan zal er eerst een DPIA uitgevoerd moeten worden alvorens het nieuwe proces in werking kan treden.

8 - Functionaris Gegevensbescherming of Privacy Officer aanstellen:

Sinds de inwerkingtreding van de AVG is het voor een organisatie in een drietal situaties wettelijk verplicht om een Functionaris Gegevensbescherming aan te stellen. Dit is allereerst het geval indien de organisatie een overheids- of publieke organisatie is. De tweede situatie waarin een Functionaris Gegevensbescherming wettelijk verplicht is, betreft de situatie waarin de organisatie vanuit haar kernactiviteiten op grote schaal individuen volgt of diens activiteiten in kaart brengt. Volgens de Autoriteit Persoonsgegevens is hier onder meer sprake van indien een organisatie personen profileert (bijvoorbeeld door het maken van risico-inschattingen), cameratoezicht houdt of gebruikmaakt van een personeelsvolgsysteem. Ten slotte is een Functionaris Gegevensbescherming verplicht indien het verwerken van bijzondere persoonsgegevens een kernactiviteit is van de organisatie. Hieronder vallen bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden. In de overige situaties is het niet verplicht om een Functionaris Gegevensbescherming aan te stellen, maar wordt het wél aangeraden door de Autoriteit Persoonsgegevens.

Privacy

Sectorspecifieke wet- en regelgeving

Naast de regelingen op algemeen niveau, zoals de AVG die van toepassing is op alle organisaties die persoonsgegevens verwerken, is er ook sectorspecifieke wet- en regelgeving op het gebied van privacy en de bescherming van persoonsgegevens. Uiteraard dienen organisaties die persoonsgegevens verwerken aan beide typen regelgeving te voldoen. 

Voorbeeld specifieke wet- en regelgeving Privacy

Als voorbeeld nemen we de zorgsector. Net als voor alle andere sectoren geldt dat de AVG de bescherming van persoonsgegevens, en de wijze waarop dit dient te gebeuren in een organisatie, op algemeen niveau regelt. Aanvullend hierop gelden echter nog diverse andere sectorspecifieke regelingen en verplichtingen. Een van de bekendste verplichtingen op dit gebied is bijvoorbeeld het medisch beroepsgeheim. Deze sectorspecifieke regelingen en verplichtingen bevestigen de regels uit de AVG en vullen bepaalde onderdelen verder in. Te denken valt hierbij bijvoorbeeld aan de volgende sectorspecifieke regelgeving:

  • Wet op de geneeskundige behandelingsovereenkomst (WGBO). De geheimhoudingsplicht is hierbij veelal de bekendste verplichting;
  • Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
  • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
  • Wet marktordening gezondheidszorg (Wmg);
  • Wet aanvullende bepaling verwerking persoonsgegevens in de zorg, waaronder ook de bepalingen uit de Wet cliëntenrechten bij elektronische verwerking van gegevens;
  • Zorgverzekeringswet (Zvw);
  • NEN 7510, NEN 7512 en NEN 7513.

Privacy in uw sector

Voor iedere sector geldt er andere sectorspecifieke privacywetgeving. Heeft u advies of ondersteuning nodig op het gebied van privacy of het implementeren van de wet- en regelgeving? MvK Consultancy kan u hierbij helpen. Ongeacht de sector waarin u werkzaam bent. Door onze ruime ervaring in diverse sectoren staan wij u graag met raad en daad terzijde!

Vraag vrijblijvend informatie op!

Bent u benieuwd wat MvK consultancy op het gebied van privacy voor uw organisatie kan betekenen? Aarzel dan niet en neem vrijblijvend contact op! Wij helpen u graag verder.

Email: info@marjoleinvankooij.nl