Per 25 mei a.s. treedt de Algemene verordening gegevensbescherming (“AVG”) in werking. Vanaf die datum geldt binnen de hele Europese Unie dezelfde privacywetgeving. De AVG vervangt de Wet bescherming persoonsgegevens (“Wbp”) en het daarop gebaseerde Uitvoeringsbesluit die beide per 25 mei 2018 komen te vervallen. De nieuwe privacywetgeving geldt voor alle ondernemers, instellingen en overheden die persoonsgegevens verwerken.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle informatie over een natuurlijk persoon, ongeacht de vorm. Digitale gegevens, op papier of als foto’s kunnen allemaal persoonsgegevens bevatten. Het gaat om informatie die direct over iemand gaat, of naar een persoon te herleiden is. Gegevens zijn alleen persoonsgegevens wanneer deze betrekking hebben op een natuurlijk persoon: gegevens van overleden personen of van organisaties zijn geen persoonsgegevens. Het begrip “verwerking” dekt de hele “levenscyclus” van persoonsgegevens: onder meer het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens valt eronder.
Waarvoor mogen persoonsgegevens worden verwerkt?
Uitgangspunt van de AVG is dat ondernemers, instellingen en overheden alleen persoonsgegevens mogen verwerken voor bepaalde, (vooraf) uitdrukkelijk beschreven en gerechtvaardigde doeleinden (“doelbinding”). Een ander uitgangspunt is dat u geen gegevens mag verwerken of verzamelen die niet nodig of relevant (meer) zijn voor het doel waarvoor u de gegevens oorspronkelijk heeft verwerkt of verzameld. Ook moet u persoonsgegevens vernietigen zodra ze niet meer nodig zijn voor het doel waarvoor ze werden verwerkt.
Alle persoonsgegevens verwerken?
U mag niet alle persoonsgegevens verwerken: zo is het verwerken van bijzondere persoonsgegevens (bijvoorbeeld over gezondheid, vakbondslidmaatschap of politieke kleur) verboden. Dit mag wel als zich een van de uitzonderingen in de AVG voordoet, bijvoorbeeld: de uitvoering is noodzakelijk met het oog op specifieke rechten en plichten. Ook de verwerking van strafrechtelijke gegevens is in beginsel verboden.
Uitbreiding van de rechten
Met de AVG worden de rechten van betrokkenen (degenen over wie persoonsgegevens worden verwerkt) uitgebreid. Naast de bestaande rechten op inzage, aanvulling/verbetering en verwijdering van persoonsgegevens, komen daar het recht van vergetelheid (het recht om te worden vergeten) en het recht op dataportabiliteit (het recht op overdraagbaarheid van digitale gegevens) bij.
Wat betekent dit voor u?
Nieuw in de AVG is dat als u persoonsgegevens verwerkt, u zich niet alleen aan de AVG moet houden, maar ook moet kunnen aantonen dat u zich aan de privacywetgeving houdt. Dat kunt u onder meer doen door gebruik te maken van privacyprotocollen. Daarin neemt u op wat het doel van de gegevensverwerking is, hoe lang gegevens worden bewaard, wie toegang heeft tot de persoonsgegevens en wat de rechten zijn van de betrokkenen (degenen over wie persoonsgegevens worden verwerkt). U kunt ook een register van verwerkingsactiviteiten (“verwerkingsregister”) aanleggen, waarin u opneemt welke (soort) gegevens worden verwerkt en (ook hier) met welk doel, wat de bewaartermijn is, enz. Ondernemingen met meer dan 250 werknemers zijn verplicht tot het bijhouden van zo’n verwerkingsregister. Andere ondernemingen zijn daartoe verplicht wanneer persoonsgegevens worden verwerkt met een hoog privacyrisico, als het gaat om bijzondere persoonsgegevens of wanneer de verwerking daarvan niet incidenteel is. Verwerkingen zijn in de praktijk overigens zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van werknemers die worden verwerkt, maar ook aan gegevens van inwoners of klanten.
Verder moet u onderzoeken of u een Functionaris voor de gegevensbescherming moet aanstellen. Dat is verplicht voor overheden en publieke organisaties, maar ook voor ondernemingen die – als kernactiviteit – op grote schaal personeelsgegevens verwerken en voor ondernemingen die bijzondere persoonsgegevens verwerken.
Toezicht door de Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (“AP”) ziet toe op de naleving van de AVG. De AP kan sancties opleggen indien u de AVG overtreedt. Deze boetes kunnen variëren van bijvoorbeeld een waarschuwing, een last tot naleving (eventueel onder dwangsom) of een boete tot € 20 miljoen of 4% van de (wereldwijde) jaaromzet. Belangrijk is verder dat sancties publiek kunnen worden gemaakt (“naming and shaming”).
Stappenplan
Tot slot nog het volgende. Iedere organisatie moet zich vanaf 25 mei 2018 houden aan de AVG. De AP heeft op zijn website een 10-stappenplan gepubliceerd met tips ter voorbereiding op de AVG. Mocht uw onderneming nog niet (of pas net) zijn begonnen met de implementatie van de AVG, begint u dan met het raadplegen van het stappenplan!
Meer informatie
Wilt u advies over de AVG of de implementatie daarvan neem dan contact op met Astrid Baremans, advocaat en arbeidsrechtspecialist, E: astrid.baremans@nysingh.nl | T: 055 – 527 13 50.