Alles over de nieuwe Europese privacy-wetgeving (AVG) op een rij



Privacy is en blijft altijd een belangrijk onderwerp bij software-ontwikkeling. Dat is de overheid met ons eens gelukkig. Daarom gaat Europa vanaf 25 mei 2018 met een nieuwe wet strengere eisen stellen aan bedrijven die op grote schaal persoonsgegevens en andere gevoelige data verzamelen. Wij proberen actief mee te denken met privacy-vraagstukken van onze klanten en te zorgen dat onze collega’s op de hoogte zijn van de laatste ontwikkelingen. Daarom dook collega Karin in de nieuwe regelgeving en zet ze de belangrijkste punten voor ons op een rij.


Vanaf 25 mei 2018 geldt de nieuwe Europese privacy-wetgeving: de Algemene Verordening Gegevensbescherming (AVG), in het Engels General Data Protection Regulation (GDPR). Om hoge boetes (tot 20 miljoen euro) en vervelende reputatieschade te voorkomen, is het nodig om tijdig over veranderingen in software en bedrijfsprocessen na te denken. Waar moet je dan rekening mee houden?



Grondslag

Persoonsgegevens mogen alleen bewaard worden als aan een van de volgende voorwaarden voldaan wordt:

  • de betrokkene heeft ondubbelzinnige toestemming gegeven voor verwerking van zijn persoonsgegevens voor een of meerdere doelen. Zodra dat doel wegvalt, vervalt ook deze grondslag: de gegevens moeten dan geanonimiseerd of verwijderd worden, tenzij er nog een andere grondslag voor bestaat
  • de gegevensverwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. Deze grondslag heeft echt betrekking op ernstige gezondheidsgevaren, zoals een eerste hulp arts die eerst behandelt en daarna pas om toestemming vraagt, of bij de bestrijding van epidemieën en humanitaire noodsituaties.
  • de gegevensverwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de verantwoordelijke, bijvoorbeeld het verzamelen van gegevens van personeelsleden ten behoeve van de belastingplicht, en bewaren van een kopie van een identiteitsbewijs ten behoeve van de identificatieplicht.
  • de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. Bijvoorbeeld adresgegevens opslaan bij een thuisbezorging. Deze overeenkomst kan in verschillende vormen bestaan: een hypotheekverstrekker heeft bijvoorbeeld het recht om financiële gegevens te verzamelen voor een hypotheekaanvraag, terwijl er nog geen daadwerkelijke overeenkomst is. De aanvraag zelf geldt dan als overeenkomst.
  • de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen, bijvoorbeeld de vastlegging van telefoongegevens door providers in het kader van terrorismebestrijding.


Zorgvuldige registratie

Een organisatie dient, indien het persoonsgegevens vast gaat liggen op basis van een bepaalde grondslag, zorgvuldig te werk te gaan. Hieraan zijn een aantal verplichtingen gekoppeld.

Voor overheidsinstanties en bij grootschalige verwerking van persoonsgegevens is het verplicht om een functionaris voor de gegevensbescherming aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.

Een organisatie dient er al tijdens de ontwikkeling van producten en diensten rekening mee te houden dat:

  • er aandacht besteed wordt aan privacy verhogende maatregelen (privacy enhancing technologies, PET)
  • alleen de minimaal benodigde persoonsgegevens vastgelegd worden, zogenaamde dataminimalisatie
  • persoonsgegevens alleen voor de minimale duur bewaard worden waarvoor ze benodigd zijn
  • de toestemming standaard minimaal is, een vinkje voor een nieuwsbrief mag bijvoorbeeld niet default aangevinkt zijn (opt-in i.p.v. opt-out)

Tevens kan het verplicht zijn om een Data protection impact assessment (DPIA) (in het Nederlands: gegevensbeschermingseffectbeoordeling) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.



Verplichtingen

Onder de AVG hebben organisaties een documentatie- en beveiligingsplicht. Deze plicht bestaat (onder bepaalde voorwaarden) uit:

  • een verwerkingsregister waarin het doel, bewaartermijn en de categorieën gegevens die bewaard worden vastgelegd ligt
  • een gegevensbeschermingsbeleid waarin de organisatie vastlegt hoe het voldoet aan de beginselen van de AVG, hoe betrokkenen hun rechten kunnen uitoefenen en een beschrijving van de categorieën persoonsgegevens en doelen die vastgelegd worden
  • een goed beveiligingsbeleid om de gegevens te beschermen tegen eventuele datalekken


Rechten van betrokkenen

Onder de AVG worden privacyrechten versterkt en uitgebreid. Betrokkenen hebben de volgende rechten:

  • Recht op inzage: de verwerkingsverantwoordelijke moet betrokkene een kopie verstrekken van de persoonsgegevens die worden verwerkt.
  • Recht op rectificatie: gegevens moeten zonder onredelijke vertraging gewijzigd kunnen worden op last van de betrokkene
  • Recht om te worden vergeten (vergetelheid), bijvoorbeeld als de gegevens niet meer nodig zijn in verband met de doelen waarvoor zij zijn verzameld, of als de betrokkene de gegeven toestemming intrekt waarmee de grondslag wegvalt
  • Recht op informatie: over bijvoorbeeld het doel van de gegevens, de opslagperiode en de ontvangers aan wie de gegevens worden verstrekt
  • Recht om gegevens over te dragen (dataportabiliteit), bijvoorbeeld als een betrokkene wil overstappen naar een andere partij. Organisaties zijn dan wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.

Hulp nodig?

De complexiteit die deze wetswijziging met zich meebrengt kan groot zijn. Wij kunnen helpen om software van jouw bedrijf aan de wettelijke verplichtingen te laten voldoen. Ook kan Karin of een andere collega meer tekst en uitleg geven bij vragen rondom dit privacy-onderwerp. Neem dus gerust contact met ons op, wanneer je hulp kunt gebruiken.

Autoriteit Persoonsgegevens is de bron van veel informatie in dit bericht. Zij bieden ook een overzichtelijke PDF, waarvan wij beelden hebben overgenomen.

Download hier de PDF