Is uw organisatie klaar voor de AVG? Vijf belangrijke aandachtspunten op een rij.

Op dit moment wordt de verwerking van persoonsgegevens voornamelijk gereguleerd door de Wet bescherming persoonsgegevens (Wbp). Per 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in de plaats van de Wbp. In dit artikel zal worden stil gestaan bij vijf belangrijke wijzigingen die de inwerkingtreding van de AVG met zich mee zal brengen.

1. Verantwoordingsplicht/ verwerkingsregister

Organisaties zullen op grond van de AVG verplicht zijn verantwoording af te leggen over de gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt. De AVG schrijft voor dat organisaties zelf moeten kunnen aantonen dat de verwerkingen van persoonsgegevens aan de regels van de AVG voldoen. Denk hierbij bijvoorbeeld aan belangrijke beginselen van verwerking zoals rechtmatigheid (mag ik persoonsgegevens verwerken?) en doelbinding (worden de persoonsgegevens verwerkt voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel?).  Ook moeten bedrijven kunnen laten zien dat de juiste technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beschermen.

Organisaties dienen iedere verwerkingsactiviteit schriftelijk te registreren in een verwerkingsregister. Een elektronische registratie valt in dit kader ook onder de term schriftelijk. Een uitzondering op deze registratieverplichting geldt  voor bedrijven die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking ziet op bijzondere persoonsgegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feite.

2. Toestemming betrokkene
De Wbp en de AVG geven verschillende grondslagen om persoonsgegevens te verwerken, de toestemming van de betrokkene is één van die grondslagen. De regels die de AVG stelt ten aanzien van de toestemming zijn strenger dan de Wbp, de toestemming moet worden gegeven door het verrichten van een duidelijke actieve handeling en de verwerkingsverantwoordelijke moet in staat zijn aan te tonen dat betrokkene duidelijk en actief zijn toestemming heeft verleend. Van een rechtsgeldige toestemming is bijvoorbeeld geen sprake in het geval van een standaard aangevinkte toestemming (pre-ticked box) omdat er in dat geval geen actieve handeling van de betrokkene wordt verricht.

Daarnaast schrijft de AVG voor dat de betrokkene, voordat hij zijn toestemming geeft, in kennis dient te worden gesteld van de mogelijkheid om de toestemming in te trekken. Het intrekken van de toestemming moet daarbij net zo eenvoudig te zijn als het geven van de toestemming.
 
3. Aanstellen functionaris voor gegevensbescherming

Indien er sprake is van een overheidsorganisatie (rechtbanken zijn uitgesloten), van stelselmatige observatie of van het op grote schaal verwerken van bijzondere persoonsgegevens, dan schrijft de AVG voor dat er een functionaris voor de gegevensbescherming (FG) aangesteld dient te worden. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. Van stelselmatige observatie is sprake  indien organisaties  vanuit hun kernactiviteiten en op grote schaal natuurlijke personen volgen. Daarvan is bijvoorbeeld sprake als een bedrijf zich bezig houdt met het verzamelen, analyseren en combineren van (persoons)gegevens met als doel iemand in te delen in een bepaalde categorie (profilering). Voor de vraag of er sprake is van het op grote schaal verwerken van bijzondere persoonsgegevens (gegevens over bijvoorbeeld iemand zijn gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden) is van belang hoeveel mensen een organisatie volgt, hoeveel gegevens deze organisatie verwerkt en hoe lang de organisatie mensen volgt.

4. Verplicht Data Privacy Impact Assessment (DPIA)

De AVG verplicht organisaties om in bepaalde gevallen een DPIA te (laten) verrichten. De DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Daarvan is in ieder geval sprake als een organisatie: systematisch en uitvoerig persoonlijke aspecten evalueert, op grote schaal bijzondere persoonsgegevens verwerkt, of op grote schaal en systematisch mensen volgt in publiek toegankelijk gebied (bijv. cameratoezicht). Buiten de drie hiervoor genoemde verwerkingen geeft de AVG geen overzicht van verwerkingen met een hoog risico. De werkgroep van Europese privacytoezichthouders (WP 29) heeft wel een aantal criteria opgesteld om het risico te bepalen. Daarnaast zal de Autoriteit Persoonsgegevens (AP) nog een lijst van verwerkingen publiceren waarvoor een DPIA verplicht is.

5. Uitbreiding rechten betrokkenen

Met de inwerkingtreding van de AVG zullen de rechten van betrokkenen (degenen wiens persoonsgegevens worden verwerkt)  worden uitgebreid met de volgende rechten:

–    Het recht op vergetelheid houdt in dat een betrokkene het recht heeft dat zijn gegevens worden gewist als deze gegevens niet meer relevant zijn en/of onrechtmatig worden verwerkt.
–    Het gegevensoverdraagbaarheidsrecht (dataportabiliteit) geeft de betrokkene het recht om in bepaalde gevallen de informatie die hij heeft verstrekt aan de éne verwerkingsverantwoordelijke te doen overdragen naar een andere verwerkingsverantwoordelijke.
–    Op grond van het recht van gegevensbeperking kan de betrokkene, die stelt dat gegevens onjuist zijn of onrechtmatig worden verwerkt, de verwerking daarvan laten opschorten zolang het onderzoek naar de onjuistheid of onrechtmatigheid nog loopt.
–    Het recht om niet te worden onderworpen aan profilering houdt in dat er geen geautomatiseerde besluitvorming op basis van profilering mag plaatsvinden, als daaraan rechtsgevolgen voor de betrokkene zijn verbonden of het besluit hem in aanmerkelijke mate treft. Profilering is elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd. Van profilering is bijvoorbeeld sprake bij het automatisch verwerken van sollicitaties via internet zonder dat er sprake is van menselijke tussenkomst. Een uitzondering op het verbod geldt voor situaties waarbij geautomatiseerde besluitvorming op basis van profilering noodzakelijk is voor het aangaan of uitvoeren van een overeenkomst met de betrokkene, op grond van de Nederlands wet is toegestaan of berust op uitdrukkelijke toestemming van de betrokkene.

mr. Sanne Kleerebezem, oktober 2017

Share on facebook
Share on google
Share on twitter
Share on linkedin

Okkerse & Schop Advocaten maakt voor deze website gebruik van cookies en daarmee vergelijkbare technieken. Cookies zijn kleine digitale tekstbestanden die in de browser worden geplaatst bij het bezoek aan een website. Okkerse & Schop Advocaten gebruikt functionele cookies om de website naar behoren te laten functioneren. Analytische cookies worden gebruikt om het websitegebruik te analyseren en de website te verbeteren. Met het gebruik van functionele cookies en analytische cookies worden geen persoonsgegevens verwerkt. U kunt uw cookievoorkeuren op ieder moment aanpassen door de instellingen van de browser te wijzigen. Raadpleeg ons privacy- en cookie statement voor meer informatie.