De nieuwe privacywetgeving van 2018. Wat gaat er gebeuren?

Per 25 mei 2018 gaat de nieuwe wet aangaande de bescherming van persoonsgegevens in, namelijk de Algemene Verordening Gegevensbescherming (in het Engels General Data Protection Regulation; GDPR). De Wet bescherming persoonsgegevens vervalt daarmee. Het doel van de Algemene Verordening Gegevensbescherming (AVG) is met name het verzekeren van een nog betere bescherming van persoonsgegevens en het waarborgen van het vrije verkeer van persoonsgegevens binnen de Europese Unie. In de Algemene Verordening Gegevensbescherming wordt het recht van de betrokken persoon op hoog niveau beschermd. Dit niveau lag voorheen met de Wet bescherming persoonsgegevens lager.

Het wordt er voor de meeste organisaties niet makkelijker op als de nieuwe wet (de Algemene Verordening Gegevensbescherming) in werking treedt. De wetgeving brengt verschillende wijzigingen met zich mee in vergelijking tot de Wet bescherming persoonsgegevens. Hieronder lees je in vraag & antwoord de belangrijkste wijzigingen.

Code-programming-tech-79290

Wat moet behandeld worden als ‘persoonsgegeven’ of ‘privacygevoelig’?

De activiteiten die jij als organisatie uitvoert, vallen veel sneller onder de Algemene Verordening Gegevensbescherming dan voorheen het geval was met de Wet bescherming persoonsgegevens. Het centrale begrip ‘persoonsgegevens’ verandert namelijk. Naast bestanden met namen, adressen en dergelijke, vallen nu ook andere gegevens onder de wet zoals IP-adressen, MAC-adressen en cookies. Ook als je niet weet hoe de persoon achter een cookie heet, moet dat behandeld worden als privacygevoelig.

Moet ik persoonlijke gegevens documenteren? En wat zijn de eisen daarvoor?

Ja, je moet alle verwerkingen van persoonlijke gegevens documenteren, ook de alledaagse zoals je personeelsadministratie of de nieuwsbrief. In dit register (documentatie van persoonlijke gegevens) moet onder andere staan welke persoonsgegevens er verwerkt worden, voor welke doeleinden, en hoe deze gegevens beveiligd worden. Wil je meer informatie over het verwerken van persoonsgegevens? Bekijk de factsheet van ICT Recht over het register van verwerkingen van persoonsgegevens.

Hoe werk ik met privacygevoelige informatie?

Je mag zo min mogelijk privacygevoelige informatie verzamelen. Er wordt van je verwacht de verzamelde informatie zo snel mogelijk weg te gooien. Vanuit de gedachte van risicobeheersing vereist de AVG dat je organisatie het minimale aan persoonsgegevens onder zich heeft. Het is dus belangrijk om actief informatie weg te gooien wanneer deze niet meer relevant is. Tevens moet je over beleid beschikken dat uitwerkt wanneer iets wel of niet relevant is, en hoe het weggooien dan veilig wordt gerealiseerd.

Hoe ga ik om met beveiliging van persoonlijke gegevens?

Je beveiliging moet op orde zijn, en op orde blijven. Beveiliging van persoonlijke gegevens is cruciaal. Zonder encryptie (versleutelen van gegevens), tweefactorauthenticatie (dubbele beveiliging bij een inlogproces) en het kunnen scheiden en veilig wissen van persoonlijke informatie neem je een risico. Verder zullen je ICT-systemen regelmatig moeten worden onderzocht op risico’s.

Hoe ga ik om met interesseprofielen of risicoanalyses die ik maak van klanten en bezoekers?

Als je interesseprofielen of risicoanalyses van klanten, bezoekers et cetera maakt, moet je hen op verzoek kunnen uitleggen hoe dat gebeurt en wat je daarmee doet. Dit speelt al bij het gebruik van cookies voor advertentiedoeleinden.

Verandert per 25 mei 2018 de privacyverklaring?

Ja, de privacyverklaring moet nóg transparanter dan nu onder de Wet bescherming persoonsgegevens. In eenvoudige taal moet je precies en volledig uitleggen wat je doet met persoonlijke gegevens. Ook moet je mensen wijzen op hun rechten. Wijs bezoekers er bijvoorbeeld op dat men gegevens mag (laten) aanpassen, het dossier mag inzien of zelfs laten vernietigen. Als je interesseprofielen opbouwt, dan moeten die op verzoek kunnen worden verwijderd. Bovendien moet je bezoekers wijzen op de mogelijkheid een klacht in te dienen bij de toezichthouder, namelijk de Autoriteit Persoonsgegevens.

Hoe zit het met boetebedragen?

De boetes worden, vergeleken met nu, veel hoger. De maximale boete per overtreding van de Wet bescherming persoonsgegevens is nu 900.000 euro. Dit verandert met de komst van de Algemene Verordening Gegevensbescherming naar 20 miljoen euro of 4% van de wereldwijde jaaromzet. Bovendien komt er een Europees Comité dat toeziet op de juiste toepassing van de AVG.

Hoe ga ik om met datalekken?

Alle datalekken moeten intern worden gedocumenteerd. Volgens de Wet bescherming persoonsgegevens hoef je alleen datalekken bij te houden wanneer je ze ook moet melden aan de toezichthouder, de Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming stelt het verplicht om alle datalekken intern te documenteren, óók datalekken die niet te hoeven worden gemeld. Als je privacygevoelige data verwerkt voor opdrachtgevers, ben je vanaf 25 mei 2018 verplicht datalekken aan hen te melden, zodat opdrachtgevers dit aan de Autoriteit Persoonsgegevens kunnen melden. Meer weten over datalekken en het registreren hiervan? Bekijk de factsheet.

Verandert de bewerkersovereenkomst?

Ja, met de Algemene Verordening Gegevens bescherming moet je met al je leveranciers en afnemers een zogeheten verwerkersovereenkomst sluiten. In de tijd van de Wet bescherming persoonsgegevens moest een bewerkersovereenkomst gesloten worden. In deze verwerkersovereenkomst maak je specifieke afspraken over de omgang met persoonlijke gegevens. Een belangrijk aandachtspunt daarbij is dat wanneer je diensten uitbesteedt waarbij persoonsgegevens van een klant zijn betrokken, je hiervoor dan ook toestemming nodig hebt van de betreffende klant.

Hoe ga ik om met mogelijke risico’s die aan een verwerking zitten?

Zitten er risico’s aan een verwerking, dan moet er een complete Privacy Impact Assessment (PIA) uitgevoerd worden. Dit is een uitgebreid onderzoek om privacyrisico’s in kaart te brengen en deze zo veel mogelijk weg te nemen. Pas nadat de PIA is uitgevoerd en de resultaten zijn geïmplementeerd, mag je die risicovolle verwerking uitvoeren. Meer informatie over de Privacy Impact Assessment vind je in deze checklist over de PIA van ICT Recht.

Ik wil een nieuwe dienst opzetten. Hoe ga ik dan om met de Algemene Verordening Gegevensbescherming?

Je software en diensten moeten van het eerste begin af rekening houden met privacy. Dit wordt ook wel ‘Privacy by design’ en ‘Privacy by default’ genoemd. Kort gezegd moeten de privacyaspecten worden benoemd en meegenomen in de uitwerkingen, bij elke stap in de ontwikkeling. Standaardinstellingen van een nieuwe dienst moeten daarnaast zo privacyvriendelijk mogelijk zijn.

Ik werk met buitenlandse partijen. Hoe ga ik daarmee om?

Controleer of zij binnen of buiten de EU persoonlijke informatie voor jou opslaan. Dat laatste is alleen toegestaan als er wordt voldaan aan strikte regelgeving, bijvoorbeeld als het land in kwestie door de Europese Commissie gecertificeerd is. De VS is dat. Het zogeheten Privacy Shield biedt de nodige waarborgen voor gebruik van Amerikaanse partijen. Maar let op: klanten kunnen eisen dat data in het geheel niet de EU verlaat.

Hoe ga ik om met persoonsgegevens en mijn medewerkers?

Je dient intern privacybeleid te publiceren waarin staat wie welke rol heeft bij de omgang met persoonsgegevens. Het is belangrijk dat medewerkers hiervan op de hoogte zijn. Zij moeten dus worden getraind, en dit moet regelmatig worden herhaald.

Moet ik iemand aanstellen voor naleving van de Algemene Verordening Gegevensbescherming?

Mogelijk heeft jouw organisatie een privacy officer nodig. Een privacy officer, oftewel functionaris voor gegevensbescherming (FG), is een onafhankelijke persoon binnen de organisatie die adviseert en rapporteert over naleving van de Algemene Verordening Gegevensbescherming. Deze is verplicht wanneer je op grote schaal gevoelige persoonsgegevens zoals gezondheidsgegevens verwerkt, of als je structureel mensen observeert (fysiek of digitaal). Een functionaris gegevensbescherming kan iemand zijn die intern aangesteld wordt, maar mag ook iemand zijn die extern aangesteld wordt, zoals een (virtuele) privacy officer.

Waarmee moet ik nog meer rekening houden als de Algemene Verordening Gegevensbescherming ingaat op 25 mei 2018?

Je moet kunnen omgaan met verzoeken van personen, zoals een verzoek om inzage of correctie in gegevens. Beschik je over verouderde gegevens? Dan moeten deze worden gewist op verzoek. Een verzoek van een betrokkene over zijn persoonsgegevens moet normaal binnen een maand inhoudelijk afgehandeld zijn.

Meer informatie?

Wil je meer informatie ontvangen of heb je vragen over de Algemene Verordening Gegevensbescherming? Mail ons via info@impres.nl.

We hebben een aantal artikelen verzameld die je mogelijk verder op weg kunnen helpen over de nieuwe wetgeving per 25 mei 2018 omtrent persoonsgegevens en privacy: