Audittrail over de gevolgen van de Europese Privacywet

Geplaatst door CorporatieMedia op
 

Op 14 april werd de Algemene Verordening Gegevensbescherming dan eindelijk goedgekeurd door het Europees Parlement. Vanaf 25 mei 2018 treedt deze nieuwe, Europese privacywet in werking. Om meer duidelijkheid te creëren over wat deze wet betekent voor organisaties, hebben wij opgezocht wat er nieuw is aan de Europese privacywetgeving ten opzichte van de regels die ons land al had met de Wet bescherming persoonsgegevens.

Zoals u ongetwijfeld weet, is op 1 januari 2016 de Wet bescherming persoonsgegevens vernieuwd. Zo werd de meldplicht datalekken toegevoegd en kreeg de privacywaakhond een boetebevoegdheid. Doordat onze Nederlandse privacywet voorloper was op de Europese privacywetgeving zijn wij al bekend met de meldplicht van datalekken en de boetebevoegdheid. Er zijn maar weinig nieuwe regels toegevoegd aan de Europese privacywetgeving waaraan we moeten voldoen. De boetes bij de Europese wetgeving liggen echter wel nog een stukje hoger, namelijk €20.000.000 of tot 4 % van de jaarlijkse wereldwijde omzet.

We bespreken de nieuwe toevoegingen aan de AVG ten opzichte van de Wbp per hoofdstuk.

Hoofdstuk 2: Beginselen

Art. 8          Extra bescherming voor kinderen onder de 16 jaar

Deze regel stond wel al verwerkt in de Wet bescherming persoonsgegevens, maar niet zeer expliciet. De AVG richt zich, veel meer dan de Wbp, op een strengere naleving en strakkere documentatieplicht.

Art. 9          Bijzondere persoonsgegevens (o.a. etniciteit, gezondheid, seksuele voorkeuren)

Deze regel was ook opgenomen in de Wbp, maar in de AVG staat dat ook de biometrische gegevens verboden zijn om te verwerken. Dit zijn gegevens waarmee het mogelijk is om de identiteit van een persoon vast te stellen. Voorbeelden zijn de vingerafdruk en de irisscan.

Hoofdstuk 3: Rechten van de betrokkene

Art. 7/15/16 /17/18/ 19          Beheer van toestemming en rechten van betrokkenen

Een nieuwe toevoeging aan deze regel, is het recht om vergeten te worden. Men heeft het recht om een toezegging op verwerking van gegevens op te heffen.

Art. 20          Dataportabiliteit

De betrokkene heeft het recht om een kopie te maken van zijn (persoons)gegevens en deze ook zonder hinder over te kunnen dragen aan een andere partij. Deze regel is compleet nieuw bij onze privacywetgeving. De organisatie moet deze informatie te allen tijden paraat hebben staan, indien de betrokkene het in een gestructureerde, gangbare en machineleesbare vorm wenst te verkrijgen.

Art. 22          Bezwaar tegen profilering

De organisatie is met ingang van de AVG verplicht om betrokkenen uiterst zichtbaar te informeren over de mogelijkheden om bezwaar te maken tegen de profilering van de organisatie.

Hoofdstuk 4: Verwerkingsverantwoordelijke en verwerker

Art. 24/32          Aannemen beleid, implementeren technische en organisatorische maatregelen

Organisaties moeten beleid opstellen en aantoonbaar technische en organisatorische maatregelen nemen om er voor te zorgen dat persoonsgegevens transparant en in overeenstemming met de regels worden verwerkt. Deze regel stond al opgenomen in de Wbp, maar in de AVG wordt veel de nadruk gelegd om aantoonbaarheid. Als organisatie moet je altijd aan kunnen tonen dat je op de hoogte bent van de risico’s en wat de organisatie moet doen om het risico te beperken.

Art. 24, 35         Risicoanalyses en PIA (DPIA/compliance review)

Voor nieuwe en bestaande diensten moet een risico analyse worden uitgevoerd. Bij diensten/systemen met een hoog risico moet vervolgens een Privacy Impact Assessment worden uitgevoerd. Dit is een totaal nieuwe regel in onze privacywetgeving.

Art. 25          Privacy relevant voor ontwikkeling van producten en diensten (privacy by design/default)

In de AVG staat opgenomen dat organisaties bij het ontwikkelen van nieuwe producten en diensten moeten nadenken over de privacyaspecten die het met zich meebrengt. Het is van belang dat de organisatie kan aantonen dat het hierbij stil heeft gestaan.

Art.37/38 /39          Functionaris voor de gegevensbescherming / data protection officer

Met een functionaris van gegevensbescherming in dienst, kunnen veel taken om de beveiliging te verbeteren worden opgepakt. In de Wbp stond deze functie vooral als aanbeveling, niet als harde eis. In de AVG is dat iets veranderd. Publieke instellingen/ autoriteiten, organisaties van wie het verwerken van gegevens hun primaire bezigheid is én organisaties grote hoeveelheden bijzondere gegevens verwerkt zijn verplicht om een functionaris van de gegevensbescherming aan te stellen.

Art. 42/43 /83          Certificering

Anders dan voorheen: de Europese privacywetgeving stimuleert organisaties om certificering op het gebied van privacy te halen.

Hoofdstuk 6: onafhankelijke toezichthoudende autoriteiten

Art. 56/60          Toezicht

Ieder lidstaat krijgt een toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens. Organisaties die in meerdere lidstaten opereren, krijgen één toezichthouder (ook wel one-stop-shop) toegewezen, om de communicatie en processen te vergemakkelijken.

Bron: Audittrail

Klik hier om de bedrijfsprofielpagina van Audittrail in de CorporatieGids 2016 te bekijken.