Blog over recht en ICT

      rechtenict@juridict.nl

Privacyrecht

Vrijwel iedere dag komen we bewust of onbewust in aanraking met het rechtsgebied van de privacy. Iedere organisatie verwerkt persoonsgegevens van bijvoorbeeld burgers, leden, klanten of personeelsleden. Het privacyrecht stelt regels aan de verwerking van deze persoonsgegevens. De relatie tussen privacy en ICT is evident. ICT wordt ingezet om deze persoonsgegevens efficiënt te verwerken en beschikbaar te maken.

De Algemene verordening gegevensbescherming

De Algemene verordening gegevensbescherming (AVG) is een Europese wet die de bescherming van persoonsgegevens regelt. Een verordening is een Europese wet die rechtstreekse werking heeft in de hele EU, dus ook in Nederland. Deze verordening komt in de plaats van de Wet bescherming persoonsgegevens. In de AVG is een beperkte ruimte gelaten om lidstatelijk specifieke bepalingen op te nemen of uitzonderingen te maken. Het gaat hier onder meer om regels inzake de verwerking van bijzondere categorieën van persoonsgegevens en om de invulling van de rechten van betrokkenen. Deze specifieke bepalingen zijn vastgelegd in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) en in enkele sectorale wetten. Voor de toepassing van het privacyrecht betekent dit dat er veelal meerdere wetten geraadpleegd moeten worden.

Richtsnoeren

De Europese toezichthouders publiceren als “Artikel 29-werkgroep (wp29) guidelines en werkdocumenten waarin zij toelichten hoe zij bepaalde onderwerpen uit de AVG interpreteren. Daarmee bieden zij organisaties handreikingen voor het verbeteren van de naleving van de privacywet.

De Artikel 29-werkgroep is het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders. De werkgroep speelt een belangrijke rol in de totstandkoming van Europees beleid voor de bescherming van persoonsgegevens. De Artikel 29-werkgroep bestaat uit de nationale privacytoezichthouders van de lidstaten van de Europese Unie (EU) en de European Data Protection Supervisor (EDPS). De EDPS houdt toezicht op de verwerking van persoonsgegevens bij de instellingen en organen van de EU. De naam van de werkgroep is ontleend aan artikel 29 van de Europese Privacyrichtlijn 95/46/EG: “Article 29 Working Party”.

Persoonsgegevens

Wanneer je gegevens verwerkt, dan kan de AVG hierop van toepassing zijn. De Verordening is van toepassing wanneer er sprake is van een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Daarnaast is de Verordening van toepassing op de handmatige verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

De AVG heeft als uitgangspunt dat persoonsgegevens alleen mogen worden verwerkt voor zogenaamde gerechtvaardigde doeleinden. Dit houdt in dat de verwerking van persoonsgegevens noodzakelijk moet zijn met het oog op het bereiken van specifiek in de AVG genoemde doelen, dan wel dat er toestemming is verkregen van degene wiens gegevens wordt verwerkt. Wanneer het gerechtvaardigd is om persoonsgegevens te verwerken, dient de verwerking ervan correct en op een verantwoord manier te gebeuren. Persoonsgegevens mogen niet langer worden bewaard dan nodig is waarbij dit goed beveiligd dient te gebeuren zodat de gegevens ook vertrouwelijk blijven.

Binnen de AVG is het de zogenaamde verwerkingsverantwoordelijke die het doel en de middelen bepaalt voor de verwerking. Deze verwerkingsverantwoordelijke is de persoon die de verantwoordelijkheid heeft voor het naleven van de AVG. Veelal wordt een deel van de verwerking uitbesteed aan derden. Denk bijvoorbeeld aan een ICT-aanbieder of salarisverwerker. Deze verwerker handelt in opdracht van de verwerkingsverantwoordelijke. De verwerker heeft een verplichting om de instructies van de verwerkingsverantwoordelijke op te volgen. Daarnaast zijn er een aantal bepalingen uit de AVG ook direct van toepassing op de verwerker.

Technische en organisatorische maatregelen

Voor de ICT-praktijk speelt art. 32 AVG een belangrijke rol. Hierin stelt de AVG dat zowel de verwerkingsverantwoordelijke als de verwerker passende technische en organisatorische maatregelen moeten treffen waar het gaat om de beveiliging van persoonsgegevens.

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
a) de pseudonimisering en versleuteling van persoonsgegevens;
b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.