Op 25 mei 2018 wordt de General Data Protection Regulation (GDPR) van kracht. Deze nieuwe privacy verordening, in Nederland beter bekend onder de naam Algemene Verordening Gegevensbescherming (AVG), regelt de bescherming van natuurlijke personen op het gebied van verwerking- en vrij verkeer van persoonsgegevens in Europa. De AVG vervangt in Nederland de Wet bescherming persoonsgegevens (Wbp). Organisaties die op dit moment voldoen aan de eisen van de Wbp, zullen moeten nagaan wat de gevolgen van de AVG zijn en of zij na invoering compliant zijn en blijven.
Uitgangspunten en rechten betrokkene
De uitgangspunten voor het verwerken van persoonsgegevens zijn onder de AVG nagenoeg gelijk aan die van de Wbp. Het moet voor ieder natuurlijk persoon duidelijk zijn, waarom en waarvoor zijn persoonsgegevens worden verzameld, gebruikt, geraadpleegd of op een andere manier worden verwerkt. De rechten van de betrokkene worden onder de AVG wel zwaarder aangezet. Het recht om gegevens te (laten) verwijderen (het recht op vergetelheid) is nu expliciet opgenomen en het recht om gegevens mee te nemen (het recht op dataportabiliteit) is nieuw. Daarnaast is het recht om zich te verzetten tegen het gebruik van de persoonsgegevens voor geautomatiseerde individuele besluitvorming (profilering) aangescherpt. Dit laatste is vooral vanwege de opkomst en mogelijkheden van big data een belangrijk uitgangspunt.
Plichten verwerkingsverantwoordelijke
Het transparantieprincipe is in de AVG als nieuw uitgangspunt voor gegevensverwerking gedefinieerd. De verwerkingsverantwoordelijke is verplicht om in een beknopte en begrijpelijke vorm, open en duidelijk met de betrokkene over de gegevensverwerking te communiceren. Deze verplichting geldt zowel proactief bij het verzamelen van gegevens als reactief wanneer de betrokkene om er om vraagt.
Als er sprake is van een (derde) partij die de persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke verwerkt, stelt de AVG een verwerkersovereenkomst of data processing agreement (DPA) verplicht en voegt daar, in tegenstelling tot de Wbp, een aantal inhoudelijke eisen aan toe.
De verplichting om gegevensverwerkingen vooraf bij de toezichthouder te melden verdwijnt, maar hiervoor in de plaats wordt een tweetal nieuwe begrippen geïntroduceerd: privacy by design en privacy by default. Organisaties moeten privacyaspecten niet alleen bij de ‘fysieke’ verwerking toepassen, maar ook bij het opstellen van beleid en het ontwerpen van processen en (geautomatiseerde) systemen.
Onder de AVG wordt het in veel gevallen verplicht om een Privacy Impact Assessment (PIA) uit te voeren. Het doel van een PIA is om te bepalen wáár, waarom, op welke manier en hoelang persoonsgegevens verwerkt worden. De privacy risico’s die hierbij optreden worden in kaart gebracht en beoordeeld. Als de resultaten hier aanleiding toe geven, kunnen risico’s worden gemitigeerd door het verwerkingsproces aan te passen. Daarnaast moet er een register van verwerkingsactiviteiten worden bijgehouden, waarin beschreven wordt welke gegevens op welke manier worden verwerkt.
Functionaris gegevensbescherming
Het aanstellen van een Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) wordt onder de AVG in een aantal gevallen verplicht. In tegenstelling tot de Wbp, waar de FG ook al werd genoemd, geeft de AVG duidelijke spelregels over de taak en positie van een FG binnen een organisatie.
Datalekken
Het melden van datalekken is in Nederland in de Beleidslijn Meldplicht Datalekken per 1 januari 2016 geïnstitutionaliseerd. Datalekken moeten onder voorwaarden worden gemeld aan de toezichthouder en aan de betrokkene. In de AVG is hierbij een nieuwe uitzondering opgenomen: een datalek hoeft niet aan de toezichthouder te worden gemeld als het geen risico voor de betrokkene inhoudt. Daarnaast hoeft een melding van het lek slechts te worden gedaan als het lek ook daadwerkelijk heeft plaatsgevonden.
Toezichthoudende autoriteit
In Nederland is het toezicht op naleving van de Wbp belegd bij het College bescherming persoonsgegevens (Cbp), in het maatschappelijk verkeer beter bekend de Autoriteit Persoonsgegevens (AP). Bij de invoering van de AVG wordt dit niet veranderd. De AP blijft verantwoordelijk voor het toezicht op naleving van de AVG.
Een belangrijke nieuwe bevoegdheid van de AP is het opleggen van administratieve geldboetes. In Nederland had de AP m.i.v. 1 januari 2016 al een boetebevoegdheid, maar deze bevoegdheid is nu naar Europees niveau getrokken. De boetebedragen zijn aanzienlijk en kunnen oplopen tot €20.000.000,- of maximaal 4% van de wereldwijde jaaromzet. Deze bedragen betekenen een behoorlijk financieel risico bij het niet voldoen aan de eisen van de AVG.
De AVG laat ruimte aan de toezichthouder om op lokaal- of sectoraal niveau modelbepalingen of gedragscodes te implementeren. Bijbehorende certificeringsmechanismen kunnen dan worden gebruikt als bewijs dat organisaties aan de eisen van de wet voldoen.
En nu… actie!
Wat betekent de invoering van de AVG voor organisaties in Nederland? Het verwerken van persoonsgegevens is vaak een van de primaire activiteiten. Organisaties hebben daarom een grote verantwoordelijkheid als het gaat om privacy en de bescherming van persoonsgegevens. Puntsgewijs vraagt de AVG nu al om actie op de volgende punten:
- Beoordelen en eventueel aanpassen van het huidig privacybeleid op aanvullingen vanuit de AVG;
- Beoordelen en eventueel aanpassen van de huidige processen rondom toestemming van betrokkene voor het verwerken van persoonsgegevens;
- Beoordelen of kan worden voldaan aan alle (bestaande én nieuwe) rechten van betrokkene en zo nodig aanvullende procedures ontwikkelen;
- Beoordelen en eventueel aanpassen van de huidige procedures rond het melden van datalekken;
- Beoordelen en besluiten of een functionaris gegevensbeveiliging moet worden aangesteld;
- Inbedden van privacy by default en privacy by design in bestaande ontwerp processen;
- Uitvoeren van Privacy Impact Assessments voor alle processen waarbij persoonsgegevens betrokken zijn en adequaat gevolg geven aan de uitkomsten van deze scans;
- Opstellen van een register van alle verwerkingen waarbij persoonsgegevens betrokken zijn.
De effecten van de AVG op het privacybeleid zal per organisatie verschillen, maar dát er gevolgen zijn staat vast. Niets doen is dus geen optie! Het is daarom belangrijk om op tijd te beginnen en de noodzakelijke veranderingen in beleid en uitvoering door te voeren. In het digitale tijdperk moet privacy een topprioriteit zijn!