Afgelopen voorjaar is de Europese Algemene Verordening Gegevensbescherming in werking getreden (EU 2016/679). De AVGB heeft directe werking in de Lidstaten met als gevolg dat zij in Nederland de Wet bescherming persoonsgegevens zal vervangen. Organisaties hebben gedurende de implementatietermijn van de AVGB de (beperkte) tijd om aantoonbaar ‘compliant’ te worden. Vanaf 25 mei 2018 is de AVGB van toepassing.
Het is voor organisaties verstandig om tijdig te beginnen met de implementatie van de Algemene Verordening Gegevensbescherming (AVGB). Het niet naleven van de AVGB kan voor organisaties verstrekkende gevolgen hebben. Boetes kunnen oplopen tot EUR 20.000.000 of – wanneer dit hoger is – 4% van hun wereldwijde jaaromzet. Gelet op de nadruk op ‘accountability’ zal de implementatie van de AVGB naar verwachting een grote impact hebben op de huidige inrichting van organisaties.
Accountability
De verwerking van persoonsgegevens hoeft onder de AVGB niet langer gemeld te worden bij de Autoriteit Persoonsgegevens (AP). In plaats daarvan komen op organisaties zelf grotere verantwoordelijkheden te liggen. In de AVGB ligt sterk de nadruk op ‘accountability’. Dit principe vereist dat organisaties de passende technische en organisatorische maatregelen nemen om te voldoen aan de beginselen en verplichtingen uit de AVGB, en dit ook kunnen aantonen. Organisaties zullen daartoe onder meer een gedetailleerd register van verwerkingen moeten bijhouden.
Informatieplicht
De AVGB leidt verder tot een uitbreiding en detaillering van de informatieplicht van de verwerkingsverantwoordelijke (de nieuwe benaming van de ‘verantwoordelijke’) richting de betrokkenen (degenen van wie de persoonsgegevens worden verwerkt). De informatieplicht heeft tot doel dat betrokkenen (bijvoorbeeld klanten en werknemers) kennis krijgen van het feit dat hun gegevens worden verwerkt, door wie dit gebeurt en voor welke doeleinden dit geschiedt. In zijn schriftelijke/elektronische communicatie naar de betrokkene dient de verwerkingsverantwoordelijke beknopt en transparant te zijn. De informatie moet in duidelijke en eenvoudige taal zijn en in een begrijpelijke en toegankelijke vorm verschaft worden.
De uitbreiding van de informatieplicht zal van invloed zijn op de huidige privacy statements van organisaties. Onder de AVGB dient de betrokkene voortaan ook geïnformeerd te worden over onder meer:
- de wettelijke grondslag waarop de verwerking is gebaseerd;
- wanneer de verwerking van persoonsgegevens op de grondslag ‘behartiging van de gerechtvaardigde belangen van verantwoordelijke of van een derde’ plaatsvindt, wat deze gerechtvaardigde belangen zijn;
- de contactgegevens van de functionaris voor gegevensbescherming (indien deze is aangesteld);
- eventuele ontvangers of categorieën van ontvangers van de verwerkte persoonsgegevens;
- de rechten van de betrokkene met betrekking tot de verwerking van persoonsgegevens door de verwerkingsverantwoordelijke.
Rechten betrokkenen
Onder de AVGB krijgen de betrokkenen meer rechten. Eén daarvan is ‘the right to be forgotten’ (in goed Nederlands ‘het recht op vergetelheid’). De betrokkene kan onder omstandigheden vergen dat zijn gegevens worden gewist, bijvoorbeeld op het moment dat de persoonsgegevens niet langer relevant zijn voor het doel waarvoor zij werden verworven of onrechtmatig worden verwerkt. Indien de verwerkingsverantwoordelijke de gegevens openbaar heeft gemaakt of aan derden heeft verstrekt, moet hij ervoor zorgen dat diegenen die (inmiddels) over de gegevens beschikken eveneens op de hoogte raken van het verwijderingsverzoek.
Het recht op overdraagbaarheid van gegevens dwingt organisaties hun systemen zo in te richten dat persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm aan de betrokkene kunnen worden verstrekt, zodat deze zijn gegevens naar een andere verwerkingsverantwoordelijke kan overbrengen.
Verwerkers
Ook voor verwerkers (de nieuwe benaming van ‘bewerkers’ onder de AVGB) verandert er veel. De Wbp richt zich slechts in beperkte mate tot de bewerker. De AVGB bevat echter een aanzienlijk aantal bepalingen dat zich rechtstreeks richt tot verwerkers en verplichtingen voor deze groep creëert.
De inhoud van de verwerkersovereenkomst is in de AVGB vrij specifiek omschreven. Organisaties zullen hun huidige bewerkersovereenkomsten naast de vereisten vanuit de AVGB dienen te houden. Vaak zal aanpassing vereist zijn. In de verwerkersovereenkomst dient onder andere te worden opgenomen dat:
- persoonsgegevens uitsluitend verwerkt mogen worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke;
- is gewaarborgd dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen;
- de verwerker zonder schriftelijke toestemming geen andere verwerker inschakelt;
- de verwerker de verwerkingsverantwoordelijke bijstand verleent als betrokkenen hun rechten uitoefenen of indien sprake is van een ‘datalek’; en
- de verwerker aan de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om nakoming van de verplichtingen aan te tonen en het uitvoeren van audits door verwerkingsverantwoordelijke mogelijk maakt.
25 mei 2018 lijkt nog ver weg, maar de impact van de AVGB op de interne processen binnen organisaties is vaak groot. Accountability is de kern van de AVGB en bewustwording binnen organisaties over de verwerking van persoonsgegevens is van wezenlijk belang. Niet alleen bij Legal, maar ook bij de Marketing, HR en IT afdelingen. Breng tijdig in kaart welke verwerkingen van persoonsgegevens binnen uw organisatie plaatsvinden en wat de gevolgen van de AVGB zijn voor deze verwerkingen, zodat uw organisatie niet voor verrassingen komt te staan.
Van januari 2017 tot en met mei 2018 zal het Privacy team van Boekel in maandelijkse nieuwsbrieven de AVGB per onderwerp bespreken. Klik hier om u aan te melden voor deze nieuwsbrief.