Privacy

Mede door de Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei 2018 van toepassing is, staat privacy en de bescherming daarvan volop in de belangstelling. De Wet Bescherming Persoonsgegevens (WBP) komt dan te vervallen. De AVG, die in heel Europa (en in bepaalde gevallen daarbuiten) geldt, legt extra verplichtingen op aan degene die persoonsgegevens verzamelt (de verantwoordelijke) en creëert meer rechten voor de betrokkene.

Persoonsgegevens

Het begrip ‘persoonsgegeven’ is heel ruim. Elke informatie aan de hand waarvan een specifiek persoon zonder al te veel moeite geïdentificeerd kan worden, is een persoonsgegeven. Dus niet alleen NAW-gegevens, telefoonnummers, IP-adressen, maar bijvoorbeeld ook beeld- en geluidmateriaal.

Verwerkingsbeginselen

Gegevens mogen niet zomaar verwerkt worden, daar zijn allerlei voorwaarden aan verbonden.

Eén van de belangrijkste is dat gegevensverwerking alleen maar is toegestaan wanneer dat gebeurt op basis van één van de in de wet genoemde gronden (toestemming, overeenkomst, wettelijke plicht, vitale belangen betrokkene, overheidstaak, eigen dringend belang).

Daarnaast mogen er niet meer gegevens verwerkt worden dan noodzakelijk en die gegevens mogen ook niet langer bewaard worden dan nodig is. Natuurlijk dienen de gegevens ook correct en actueel te zijn en zullen er passende beveiligingsmaatregelen getroffen moeten worden.

Documentatieplicht

Op basis van de WBP is het meestal verplicht gegevensverwerkingen van tevoren te melden bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens houdt op basis daarvan een openbaar register bij, zodat in te zien is welke persoonsgegevens voor welk doel worden verwerkt.

Zodra de AVG van toepassing is, wordt de meldplicht vervangen door een documentatieplicht. Dit houdt in dat elke organisatie waarop de AVG van toepassing is, in staat moet zijn op elk moment aan te tonen dat er gehandeld is in overeenstemming met de bepalingen van de AVG. Er zal dus een zogenaamde privacy-administratie bijgehouden moeten worden:

  • Wie heeft met welke informatiesystemen welke persoonsgegevens verwerkt?
  • Welke beveiligingsmaatregelen zijn er genomen om de gegevens te beschermen?
  • Kan aangetoond worden dat deze maatregelen doeltreffend en effectief zijn geweest?

Bewerkers-/verwerkersovereenkomst

Er moet met iedere bewerker van persoonsgegevens (dat is iemand / een organisatie die in opdracht van de verantwoordelijke gegevens verwerkt) een zogenaamde bewerkersovereenkomst worden gesloten. Hierin moeten de afspraken staan met betrekking tot de bescherming van persoonsgegevens, de beveiligingsmaatregelen en de naleving van de meldplicht datalekken.

Per 25 mei 2018 hebben we het niet meer over ‘bewerker’ en ‘bewerkersovereenkomsten’ maar over ‘verwerker’ en ‘verwerkersovereenkomsten’. Inhoudelijk wijzigt de verplichting (ook) niet wezenlijk, de lijst met onderwerpen die geregeld moeten worden, wordt uitgebreid. In de overeenkomst moeten de volgende punten in de overeenkomst zijn opgenomen:

  • Doeleinden van de gegevensverwerking;
  • Soort persoonsgegevens dat verwerkt wordt;
  • Categorieën van betrokkenen op wie de gegevens zien;
  • Passend beveiligen van de gegevens;
  • Uitvoeren van audits;
  • Vernietigen of terugleveren van de gegevens aan de verantwoordelijke.

Rechten betrokkenen

De betrokkene heeft (of krijgt) een aantal rechten om het recht op privacy te kunnen waarborgen. Dit zijn onder meer:

  • Het recht op informatieverstrekking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal;
  • Het recht op rectificatie;
  • Het recht op vergetelheid (‘right to be forgotten’);
  • Het recht om zich te verzetten tegen profilering; en
  • Het recht op dataportabiliteit.

Privacy officer en privacy impact analyse

In sommige gevallen wordt het verplicht een privacy officer (functionaris voor gegevensbescherming) aan te stellen. Dat is bijvoorbeeld het geval bij een overheidsinstantie of -orgaan, maar ook bij bedrijven die zich hoofdzakelijk bezig houden met stelselmatige observatie (profilering en tracking) of grootschalige verwerking van bijzondere persoonsgegevens (ras, geloof, politieke voorkeur, medische gegevens, etc).

Een zogenaamde privacy impact analyse (gegevensbeschermingseffectbeoordeling) is noodzakelijk wanneer er gegevensverwerkingen plaatsvinden met een waarschijnlijk hoog risico voor de rechten en vrijheden van natuurlijke personen. Dit is bijvoorbeeld zo bij profilering, grootschalige verwerking van bijzondere persoonsgegevens en stelselmatige en grootschalige monitoring van openbare ruimtes.

Meldplicht datalekken

De meldplicht datalekken bestaat al en verandert nauwelijks. Het houdt in dat er een melding gedaan moet worden aan de Autoriteit Persoonsgegevens (en soms aan de betrokkene) wanneer er data gelekt is en dat aanzienlijke negatieve gevolgen kan hebben voor de bescherming van persoonsgegevens. Onder ‘datalek’ wordt verstaan het onbedoeld vrijkomen, wijzigen, vernietigen of toegankelijk worden van persoonsgegevens, bijvoorbeeld door een computerhack of verlies van een USB-stick of laptop.

Handhaving

Het niet naleven van de AVG kan een dure aangelegenheid worden. De Autoriteit Persoonsgegevens is namelijk bevoegd om (o.a.) boetes op te leggen van maximaal € 20 miljoen of 4 procent van de wereldwijde jaaromzet (als dat meer is). Daarnaast lopen de bestuurders van organisaties die zich niet aan de regels houden, het risico persoonlijk aansprakelijk gesteld te worden wanneer er iets mis gaat. Reden genoeg om privacy hoog op de agenda te zetten!

Meer informatie

Wij hebben ruime ervaring met al het bovenstaande: ons arbeidsrechtteam is u graag van dienst.