Vorig jaar heeft de Nederlandse privacy toezichthouder (De Autoriteit Persoonsgegevens) 635 onderzoeken gedaan naar datalekken bij bedrijven en overheden. Dit naar aanleiding van 10.000 gedane meldingen over datalekken bij de toezichthouder. De verwachting is dat dit aantal meldingen vanaf 25 mei 2018 zal toenemen als de Algemene Verordening Gegevensbescherming (AVG) in werking treedt. De AVG regelt op Europees niveau de bescherming van persoonsgegevens. De invoering van de AVG heeft ook voor uw bedrijf gevolgen. Bij schending van de AVG kunnen hoge boetes worden opgelegd.
Verwerking identificeerbare persoonsgegevens
In het kader van de AVG zijn persoonsgegevens alle gegevens waar direct of indirect mensen mee kunnen worden geďdentificeerd. Dit gaat bijvoorbeeld om naam, adres, geslacht en geboortedatum. Ook telefoonnummers en e-mailadressen zijn persoonsgegevens indien zij direct te koppelen zijn aan een persoon.
Dit betekent dat er al snel sprake is van (het verwerken van) gegevens, waarop de AVG van toepassing is. Verwerken moet heel breed gezien worden. Het gaat in ieder geval om het (automatisch) opslaan, verzamelen, ordenen, structureren, of wijzigen van persoonsgegevens. Deze gegevens mogen alleen met een bepaald doel worden verwerkt. Vooraf dient bekeken te worden of het doel van verwerking voldoet aan de AVG.
Verplichtingen op basis van de AVG
De AVG bevat een aantal nieuwe verplichtingen. Hierna volgt een overzicht, het gaat om een zeer ruwe schets.
De verwerking van persoonsgegevens moet voldoen aan een aantal beginselen. Bij het ontwerpen van producten en diensten dient u de bescherming van de gegevens te waarborgen (privacy by design). U mag bijvoorbeeld niet meer gegevens verzamelen dan noodzakelijk voor het doel van de verwerking. Gegevens mogen niet langer bewaard worden dan nodig. Verder moet u technische en organisatorische maatregelen treffen om ervoor te zorgen dat u alleen gegevens verwerkt die noodzakelijk zijn voor het doel dat u wilt bereiken (privacy bij default). Op uw website mag bijvoorbeeld het vakje ‘ja, ik wil aanbiedingen ontvangen’ niet standaard aangevinkt zijn.
Ook heeft u de verplichting om met partijen, die voor u deze gegevens verwerken, een verwerkingsovereenkomst af te sluiten. Deze partijen dienen zich ook te houden aan de AVG. Verantwoordelijk is degene die het doel en de middelen van de verwerking vaststelt. De verwerker voert de verwerking uit voor de verantwoordelijke. Grote partijen zullen vaak in algemene voorwaarden bepalingen opnemen waarin staat dat zij zich zullen houden aan de AVG. Verder is het van belang om een verwerkingsregister bij te houden. In dit register houdt u onder andere bij welke persoonsgegevens u verwerkt. Ten slotte kan de verplichting bestaan een Data Protection Impact Assessment (DPIA) uit te voeren wanneer uw gegevensverwerking mogelijk een hoog privacyrisico oplevert. Of dat zo is, moet u zelf (laten) inschatten.
Rechten van betrokkenen
In de AVG zijn bestaande rechten van betrokkenen, zoals het recht om informatie in te zien en het recht om informatie te wijzigen, opnieuw opgenomen. Nieuw is het recht voor betrokkenen om gegevens te laten verwijderen.
Datalek
Verder bestaat nog steeds de verplichting om een datalek bij de Autoriteit Persoonsgegevens te melden. Het gaat om iedere inbreuk op de beveiliging die leidt tot bijvoorbeeld ongeoorloofde toegang tot gegevens. U dient een datalek binnen 72 uur na ontdekking te melden. In principe dient u dit ook te melden bij de betrokkenen. De meldplicht blijft grotendeels hetzelfde als voorheen. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich binnen uw organisatie hebben voorgedaan. Zo moet u alle datalekken documenteren.
De AVG maakt een aantal bestaande verplichtingen meer concreet. De impact van de AVG dient echter nog te worden bezien. Heeft u problemen bij de invoering van de AVG, over het bestaan van een meldplicht of wilt u meer informatie over de AVG, neem dan contact op met:
mr. Roland Reumkens
Gresnigt & Van Kippersluis advocaten
tel: 030 – 688 68 68
e-mail: ijsselstein@gvk-advocaten.nl
