In een eerdere blog zijn we ingegaan op het recht op privacy. Niet gelezen? U kunt de blog hier terugvinden! Hierbij is duidelijk geworden dat hét recht op privacy eigenlijk niet bestaat, maar dat het een bundeling is van diverse wetten uit de grondwet.
Kortweg heeft het recht op privacy betrekking op de volgende soorten privacy:
In deze blog gaan we dieper in op de eerste vorm van privacy: het recht op informationele privacy. Wat houdt dit recht nu precies in? En welke rol speelt de AVG wegeving hierin? Het komt in deze blog allemaal aan bod!
Om helder te krijgen wát het recht op informationele privacy nu werkelijk inhoudt, moeten we beginnen bij de Grondwet. Of heel specifiek, bij artikel 10 van de Grondwet.
In dit artikel worden een aantal zaken direct duidelijk.
Het eerste is dat het recht op informationele privacy eigenlijk het recht op de bescherming van informatie en persoonsgegevens omvat. Ofwel, wij als Nederlandse burgers hebben er récht op dat onze persoonsgegevens en persoonlijke informatie beschermd worden.
Dit kan de overheid uiteraard niet alleen. Hierdoor wordt direct een tweede punt duidelijk wanneer we kijken naar art. 10 Gw. Er staat namelijk óók dat de ‘wet regels stelt’ om het recht op informationele privacy verder uit te werken. Andere wet- en regelgeving dus!
Vanaf 2001 was de Wet bescherming persoonsgegevens (Wbp) dé wet waarin deze regels omtrent het recht op informationele privacy stonden.
Op 25 mei 2018 is deze nationale wet echter vervangen door de Europese privacywet, oftewel de Algemene Verordening Gegevensbescherming (AVG).
Een belangrijk verschil tussen de AVG en de Wbp is dat de AVG direct geldt voor álle Europese lidstaten. Dit was dan ook precies het doel van de komst van deze wet. Doordat de AVG geldt voor alle lidstaten, is het privacyrecht binnen de EU veel meer op één lijn komen te liggen.
De AVG wetgeving geldt dan ook voor álle organisaties binnen de EU die persoonsgegevens verwerken.
Nu kan ‘verwerken’ wat cryptisch klinken, dus we lichten het even toe. De AVG geeft aan dat de volgende handelingen allemaal onder ‘verwerken’ vallen:
Hieruit volgt dus dat een organisatie al snel aan het ‘verwerken’ is indien zij ook maar ‘iets’ doet met persoonsgegevens!
Hierdoor had de komst van de AVG dan ook aanzienlijke gevolgen, zowel voor de organisaties als haar medewerkers. Dit komt doordat er diverse nieuwe rechten en plichten zijn bijgekomen. Ook zijn een aantal verplichtingen die we al kenden verder uitgebreid.
Om u een eerste indruk te geven van de wijze waarop het recht op informationele privacy wordt geborgd door de AVG wetgeving, volgt hieronder een samenvatting van de belangrijkste onderdelen ervan:
Een van de uitgangspunten van de AVG wetgeving is dat een verwerking van persoonsgegevens alléén mag plaatsvinden indien daar een rechtmatige grondslag voor is.
De AVG wetgeving noemt de volgende rechtmatige grondslagen:
Dit betekent zodoende dat altijd één van deze grondslagen aanwezig moet zijn. Is die grondslag er niet? Dan mag u de betreffende verwerking van persoonsgegevens niet uitvoeren!
Een andere belangrijk punt is de introductie van de verantwoordingsplicht.
De verantwoordingsplicht houdt in dat de AVG de verantwoordelijkheid legt bij alle organisaties zélf om vooraf aan te tonen dat zij voldoen aan de privacywetgeving én dus aan de AVG.
Dit is zodoende een groot verschil met de situatie onder de Wbp. Hierin hadden organisaties géén verplichting om vooraf aan te tonen dat zij voldeden aan de privacyregels.
Organisaties zijn onder de AVG wetgeving verplicht om een register van verwerkingsactiviteiten bij te houden.
In dit register moeten alle processen waarbij persoonsgegevens verwerkt worden in kaart worden gebracht. Een organisatie moet hiermee als het ware verantwoording afleggen over de verwerkingen die er plaatsvinden.
De verplichting tot het inrichten én bijhouden van een register van verwerkingsactiviteiten valt zodoende óók onder de verantwoordingsplicht van organisaties.
Ook ná de implementatie van de AVG speelt de wet nog een belangrijke rol. Dit geldt bijvoorbeeld voor het ontwerpen en inrichten van nieuwe processen.
Bent u voornemens om bestaande werkwijzen aan te passen of nieuwe processen in te richten? En worden daarbij óók persoonsgegevens verwerkt? Ga dan na of deze toekomstige verwerkingen een hoog risico opleveren.
Indien dit het geval is, is de organisatie verplicht om éérst een DPIA uit te voeren. Uiteraard voordat het nieuwe proces in werking kan treden. Het betrekken van de Functionaris Gegevensbescherming (indien aangesteld) is hierbij overigens verplicht.
Een andere belangrijke verplichting uit de AVG is dat organisaties de (verwerkingen van) persoonsgegevens goed moeten beveiligen. Of om in AVG termen te blijven: u moet voldoende technische en organisatorische beheersmaatregelen treffen.
Wélke maatregelingen dit zijn, hangt af van het risico van de betreffende verwerking. Hoe gevoeliger de gegevens zijn, hoe zwaarder u ze moet beveiligen dus.
Onder de noemer ‘technische beheersmaatregelen’ kunt u bijvoorbeeld denken aan:
Daarmee bent u er nog niet. Het is minstens zo belangrijk dat u en al uw collega’s in de praktijk ook écht ‘privacybewust’ werken!
Een organisatie dient namelijk niet alleen bewust te zijn van de bescherming van persoonsgegevens, maar dient hier ook actief naar te handelen. En door wie worden de handelingen over het algemeen uitgevoerd binnen een organisatie? Juist, de medewerkers!
Om deze reden is het verplicht dat een organisatie een passend gegevensbeschermingsbeleid opstelt én deze actief en regelmatig uitdraagt naar haar medewerkers.
Ook de rechten van betrokkenen zijn verder uitgebreid. Betrokkenen zijn alle personen waarvan een organisatie persoonsgegevens verwerkt.
In de AVG wetgeving hebben betrokkenen onder andere het recht op inzage, correctie, vergetelheid en het recht op dataportabiliteit. Ook geldt er een informatieverplichting.
Organisaties moeten deze rechten zodoende faciliteren. Dit doet u bijvoorbeeld door het opstellen en beschikbaar maken van een privacyverklaring. Daarnaast moeten er ook processen worden ingericht, bijvoorbeeld om het recht op inzage te kunnen faciliteren.
Zorg er zodoende óók voor dat al uw medewerkers op de hoogte zijn van deze rechten én processen!
Het aanstellen van een Functionaris Gegevensbescherming (FG) is verplicht indien een organisatie:
Met name die laatste behoeft misschien iets meer uitleg. Onder de noemer ‘bijzondere persoonsgegevens’ vallen gegevens over iemands:
Ook indien er geen sprake is van één van de drie bovengenoemde situaties is het verstandig om een FG aan te stellen. Dit hoeft niet, maar wordt wél aangeraden door de Autoriteit Persoonsgegevens.
Door het aanstellen van een FG zorgt u er namelijk voor dat er één centraal aanspreekpunt is binnen de organisatie voor alle privacy gerelateerde zaken.
Een FG mag overigens zowel op interne als externe basis werkzaam zijn voor de organisatie. De AVG wetgeving stelt echter wél een aantal eisen aan de FG.
Zo moet hij of zij onder andere bovengemiddelde vakkennis hebben van privacywetgeving. Ook dient hij of zij voldoende ofhankelijk te kunnen werken binnen de organisatie. Een directielid mag bijvoorbeeld géén FG zijn voor diezelfde organisatie.
Bent u op zoek naar een bekwame externe FG die uw organisatie volledig ontzorgt op het gebied van de bescherming van persoonsgegevens? MvK Consultancy biedt hiertoe diverse pakketten voor aantrekkelijke prijzen. Meer informatie over deze diensten kunt u hier vinden.
Een andere eis vanuit de AVG is dat een organisatie verwerkersovereenkomsten moet afsluiten met haar verwerkers. Heel kort door de bocht zijn dit de partijen die in opdracht van uw organisatie werken. Én daarbij persoonsgegevens verwerken.
Daarnaast moet een organisatie privacy afspraken maken met samenwerkende partijen die zelf óók verwerkingsverantwoordelijke zijn.
Dit houdt zodoende in dat een organisatie moet nagaan met welke partijen zij allemaal samenwerkt én of deze betreffende partijen ‘verwerkers’ of ‘verwerkingsverantwoordelijken’ zijn.
Hiervoor is het van belang dat u de afweging maakt wie het doel en de middelen van de betreffende verwerkingen vaststelt. De blog van de Autoriteit Persoonsgegevens inclusief een voorbeeldlijst van verwerkers en verwerkingsverantwoordelijken, kan u hier wellicht bij ondersteunen. Via deze link komt u direct op de betreffende pagina van de Autoriteit Persoonsgegevens terecht.
Ten slotte is ook de verplichting om datalekken te melden een prominent onderdeel van de AVG. Deze verplichting is ook niet nieuw, aangezien hij ook onder de Wbp al van kracht was.
Met ingang van de AVG is de meldplicht datalekken echter wél gewijzigd.
Zo bent u bijvoorbeeld niet altijd verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. U bent echter wél verplicht om alle datalekken te registeren en bij te houden in een intern overzicht.
