Algemene verordening gegevensbescherming

Algemene verordening gegevensbescherming

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing in de Europese Unie (EU). Hierdoor gelden in de lidstaten van de EU dezelfde regels met betrekking tot privacy en de verwerking van persoonsgegevens. De Wet bescherming persoonsgegevens (Wbp) zal worden ingetrokken bij inwerkingtreding van de AVG op 25 mei.

Doel, reikwijdte en verplichtingen
De bescherming die door de AVG wordt geboden heeft betrekking op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de geautomatiseerde verwerking van hun persoonsgegevens. Het vrije verkeer van persoonsgegevens in de EU wordt hierdoor niet beperkt of verboden. Iedere verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor de betrokkene dient het transparant en duidelijk te zijn dat zijn of haar persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt. De betrokkenen dienen geïnformeerd te worden over de doeleinden van de verwerking en de identiteit van de verwerkingsverantwoordelijke. Ook moeten natuurlijke personen bewust worden gemaakt van de risico’s, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens. Daarnaast moeten zij worden geïnformeerd over de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Zoals het recht op inzage, rectificatie of vergetelheid.

De verwerking van persoonsgegevens dient beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Deze doeleinden dienen expliciet te worden vastgelegd, moeten gerechtvaardigd zijn en is alleen toegestaan indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt.

Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van de gegevens. Onjuiste persoonsgegevens moeten worden gerectificeerd of gewist. Verder moeten persoonsgegevens worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt. Dit is ook ter voorkoming van ongeoorloofde toegang tot of gebruik van persoonsgegevens en dit geldt ook voor de apparatuur die voor de verwerking wordt gebruikt.

Als er geen sprake is van een algemeen belang, uitvoering van een overeenkomst en ook de wet niet voorziet in een gerechtvaardigde grondslag om persoonsgegevens te verwerken, is de uitdrukkelijke toestemming van de betrokkene vereist.

Verwerkersovereenkomst en register
Het is mogelijk dat een verwerkingsverantwoordelijke verwerkingsactiviteiten uitbesteedt aan een verwerker. Hiervoor mogen alleen verwerkers worden ingeschakeld die de voorschriften uit de AVG in acht nemen. De verwerkingsverantwoordelijke en de verwerker dienen een ‘verwerkersovereenkomst’ te sluiten. In deze overeenkomst staan onder andere de aard, duur, doeleinden, rechten, verplichtingen en risico’s van de verwerking.

Om aan te kunnen tonen dat een verwerker dan wel een verwerkingsverantwoordelijke in overeenstemming met de AVG heeft gehandeld, dienen zowel verwerker als verwerkingsverantwoordelijke een register bij te houden van de verwerkingsactiviteiten die onder haar verantwoordelijkheid hebben plaatsgevonden en die als risicovol kunnen worden aangemerkt of die niet incidenteel zijn. Indien een organisatie meer dan 250 medewerkers in dienst heeft, moet in ieder geval een register worden bijgehouden.

Autoriteit Persoonsgegevens (AP) en inbreuk
De instantie die in Nederland toezicht houdt op de naleving van de rechten en verplichtingen uit de AVG, is de Autoriteit Persoonsgegevens (AP). De AP heeft de bevoegdheid om boetes op te leggen van ten hoogste 20 miljoen euro of 4% van de (wereldwijde) omzet. De AP heeft inmiddels toegezegd na 25 mei a.s. kleine organisaties niet direct te zullen beboeten.

Zodra de verwerkingsverantwoordelijke weet dat een inbreuk op persoonsgegevens heeft plaatsgevonden en dit een risico inhoudt voor de rechten van natuurlijke personen, dient dit binnen 72 uur bij de AP te zijn gemeld. Iedere inbreuk dient voorts door de verwerkingsverantwoordelijke gedocumenteerd te worden. Als de inbreuk een hoog risico voor de rechten en vrijheden van de betrokkene met zich meebrengt dient de verwerkingsverantwoordelijke de betrokkene zonder onredelijke vertraging in kennis te stellen van de inbreuk. Zo kan hij de nodige voorzorgsmaatregelen kan treffen. De verwerkingsverantwoordelijke en/of de verwerker moeten alle schade vergoeden die de betrokkene kan lijden ten gevolge van een verwerking die inbreuk maakt op de bepalingen van de AVG.

Meer informatie over de rechten en verplichtingen op basis van de AVG en de te nemen stappen kunt u vinden op de website van de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving.