Blog over recht en ICT

      rechtenict@juridict.nl

Algemene verordening gegevensbescherming

Europese wetgeving inzake bescherming van persoonsgegevens

De Europese privacyrichtlijn is de afgelopen jaren herzien en geactualiseerd. Het resultaat hiervan is de “algemene verordening gegevensbescherming” en een aparte richtlijn voor gegevensbescherming bij opsporing en vervolging. Deze richtlijn is alleen bedoeld voor politie en justitie.

Op 4 mei 2016 is de algemene verordening gegevensbescherming (AVG) gepubliceerd in het Publicatieblad van de Europese Unie. Deze verordening geldt vanaf 25 mei 2016. Organisaties in de publieke en private sector worden geacht om vanaf die datum hun bedrijfsvoering met de AVG in overeenstemming te brengen en krijgen daarvoor tot 25 mei 2018 de tijd. Er geldt vanaf 25 mei 2018 op deze manier nog maar één privacywet in de hele EU. Vanaf deze datum hebben organisaties die persoonsgegevens verwerken meer verplichtingen dan nu het geval is.

Er wordt in de verordening meer nadruk gelegd op de verantwoordelijkheid van de persoonsgegevens verwerkende organisaties zelf om de wet na te leven en om te kunnen aantonen dat zij zich aan de wet houden. De verordening biedt deze organisaties instrumenten die hen helpen om de wet op een correcte manier na te leven. Bijvoorbeeld door middel van een aantal modelbepalingen.

Documentatieplicht in plaats van een meldplicht

Organisaties die persoonsgegevens verwerkenen en voor wie de AVG van toepassing is, krijgen een documentatieplicht. Deze organisaties dienen met documenten te kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de verordening te voldoen. Hierbij komt de huidige meldingsplicht voor gegevensverwerking te vervallen. De meldplicht in het geval van datalekken blijft gewoon bestaan.

Privacy Impact Assessment (PIA)

Een Privacy Impact Assessment (PIA) wordt ook wel Data Protection Impact Assessment (DPIA) genoemd. Zodra de algemene verordening gegevensbescherming van toepassing is, is er voor bepaalde organisaties een verplichting om een privacy impact assessment (PIA) uit te voeren. Dit is het geval indien een organisatie persoonsgegevens verwerkt en dit een groot privacy risico oplevert voor de betrokkenen. De Autoriteit Persoonsgegevens zal samen met de andere Europese privacytoezichthouders een lijst opstellen van alle soorten verwerkingen waarbij een organisatie verplicht wordt om een PIA uit te voeren. Er is in elk geval een verplichting voor organisaties die:

  • systematisch en uitvoerig persoonlijke aspecten evalueren, waaronder profilering;

  • op grote schaal bijzondere persoonsgegevens verwerken;

  • op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht)..

De verplichting om een functionaris voor de gegevensbescherming (FG) aan te stellen

Zodra de AVG van toepassing is, ontstaat er voor bepaalde organisaties de verplichting om een functionaris voor de gegevensbescherming aan te stellen. Het gaat hier om:

  • overheidsinstanties of overheidsorganen, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;

  • organisaties die op grote schaal bijzondere persoonsgegevens verwerken en bij wie dit een kernactiviteit is (bijvoorbeeld bij zorgverleners);

  • organisaties die op grote schaal mensen “volgen” en voor wie dit een kernactiviteit van de organisatie is.

Deze functionaris voor de gegevensbescherming wordt ook Data Protecion Officer (DPO) genoemd. Deze functionaris is een onafhankelijke en deskundige persoon binnen de organisatie van de verwerker. Deze heeft als taak de organisatie te informeren en te adviseren over de omgang met persoonsgegevens. De functionaris mag een eigen werknemer zijn of een extern ingehuurde kracht.

Een Data Protection Officer aanstellen of de functie outsourcen?

Het feit dat de Autoriteit Persoonsgegevens meer bevoegdheden gaat krijgen en hogere boetes kan gaan uitdelen, heeft naar verwachting tot gevolg dat ook organisaties die niet wettelijk verplicht worden gesteld, een Data Protection Officer aan gaan stellen of gaan inhuren. Het outsourcen van deze functie geeft wellicht een betere waarborg voor de onafhankelijkheid van de Data Protection Officer.