14 dec Nieuwe privacywet – Wijzigingen voor organisaties
Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking.
Door de AVG krijgen organisaties meer verplichtingen bij de verwerking van persoonsgegevens. De AVG legt meer nadruk op de verantwoordelijkheid van organisaties om aan te tonen dat zij zich aan de wet houden, de zogenaamde verantwoordingsplicht. Dit betekent dat organisaties moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.
Per 25 mei 2018 geldt onder meer het volgende:
I. u hoeft verwerkingen van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens;
II. u moet een register van datalekken die zijn opgetreden bijhouden;
III. u kunt verplicht zijn een Data protection impact assessment uit te voeren;
IV. u kunt verplicht zijn een functionaris voor gegevensbescherming aan te stellen;
V. u kunt verplicht zijn een gegevensbeschermingsbeleid op te stellen;
VI. u kunt verplicht zijn een register van verwerkingsactiviteiten bij te houden;
VII. indien toestemming van de betrokkene vereist is voor de gegevensverwerking, dient u te kunnen aantonen dat de betrokkene daadwerkelijk toestemming heeft gegeven.
I. Persoonsgegevens niet meer melden
Sinds 6 november 2017 hoeven organisaties geen melding meer te doen als zij persoonsgegevens verwerken. Vanaf deze datum handhaaft de Autoriteit Persoonsgegevens niet op naleving van de meldplicht. Organisaties moeten een verwerking van persoonsgegevens met een bepaald risico (artikel 31 Wbp) nog wel melden bij de Autoriteit Persoonsgegevens.
II. Register van datalekken
Elk datalek moet worden gemeld, tenzij het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De termijn voor het melden van een datalek blijft 72 uur. Deze termijn start op het moment dat de verantwoordelijke op de hoogte is van het datalek. Een organisatie moet alle datalekken intern vastleggen. Ook datalekken die niet bij de Autoriteit Persoonsgegevens worden gemeld. Als een datalek niet wordt gemeld, moet worden vastgelegd waarom dit niet nodig was. Zo kan de Autoriteit Persoonsgegevens controleren of aan de meldplicht is voldaan.
III. Data protection impact assessment (DPIA)
Een DPIA is alleen verplicht als gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Dit is bijvoorbeeld het geval als een organisatie systematisch en uitvoerig persoonlijke aspecten evalueert, op grote schaal bijzondere persoonsgegevens verwerkt of op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht). Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging en strafrechtelijke verleden.
Organisaties moeten zelf bepalen of de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Als vuistregel geldt dat een DPIA moet worden uitgevoerd als de organisatie aan twee of meer van de onderstaande criteria voldoet.
- Beoordelen van mensen op basis van persoonskenmerken.
- Geautomatiseerde beslissingen.
- Stelselmatige en grootschalige monitoring.
- Gevoelige informatie.
- Grootschalige gegevensverwerking.
- Gekoppelde databases.
- Gegevens over kwetsbare personen.
- Gebruik van nieuwe technologieën.
- Blokkering van een recht, dienst of contract.
Een DPIA moet in ieder geval het volgende bevatten:
- Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan.
- Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen.
- Een beoordeling van de privacyrisico’s voor de betrokkenen.
- De beoogde maatregelen om de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en aan te tonen dat u aan de AVG voldoet.
Als de organisatie een verplichte functionaris voor gegevensbescherming heeft, moet deze om advies worden gevraagd.
Klik hier voor de Nederlandse vertaling van de guidelines DPIA van de Europese privacytoezichthouders die meer uitleg geven over de DPIA.
IV. Functionaris voor gegevensbescherming
De functionaris voor gegevensbescherming is in elk geval verplicht voor overheidsorganisaties en voor organisaties die hoofdzakelijk zijn belast met verwerkingen op grote schaal en verwerkingen van bijzondere persoonsgegevens. Organisaties in de gezondheidszorg en het onderwijs zullen bijvoorbeeld een functionaris voor gegevensbescherming moeten hebben.
Een organisatie moet zelf beoordelen of zij verplicht is om een functionaris voor gegevensbescherming aan te stellen. De functionaris voor gegevensbescherming kan een werknemer van de organisatie of een externe zijn. De functionaris moet veel weten over gegevensverwerkingen in de organisatie, de privacywetgeving en de mogelijke technische en organisatorische mogelijkheden voor (digitale) beveiliging. De functionaris voor gegevensbescherming informeert en adviseert, houdt toezicht en is aanspreekpunt voor de Autoriteit Persoonsgegevens en voor betrokkenen. De functionaris rapporteert aan de hoogste leidinggevende en mag geen instructies krijgen met betrekking tot de uitoefening van zijn taken. Daarnaast mag de functionaris niet worden ontslagen of benadeeld als gevolg van de uitoefening van zijn taken.
V. Gegevensbeschermingsbeleid
Een organisatie is enkel verplicht om een gegevensbeschermingsbeleid (privacybeleid) op te stellen als dat in verhouding staat tot haar verwerkingsactiviteiten. Ziekenhuizen, gemeenten, social mediabedrijven en handelsinformatiebedrijven zullen vaak verplicht zijn om een privacybeleid op te stellen.
In de AVG staat niet precies wat in het privacybeleid moeten staan. Uit het privacybeleid moet blijken hoe wordt voldaan aan de AVG. Bijvoorbeeld kunnen de volgende gegevens worden opgenomen in het privacybeleid.
- een omschrijving van de categorieën persoonsgegevens die worden verwerkt;
- een beschrijving van de doeleinden waarvoor persoonsgegevens worden verwerkt en wat de juridische grondslag daarvan is;
- hoe wordt voldaan aan de beginselen van verwerking van persoonsgegevens. Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk;
- welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens;
- welke organisatorische en technische maatregelen zijn genomen om de persoonsgegevens te beveiligen;
- hoe lang de persoonsgegevens worden bewaard.
VI. Register van verwerkingsactiviteiten
Of u een register van verwerkingsactiviteiten moet opstellen is afhankelijk van de omvang van de organisatie en het type gegevens dat wordt verwerkt. Een organisatie met meer dan 250 werknemers is verplicht om een verwerkingsregister bij te houden. Een organisatie met minder dan 250 werknemers moet een verwerkingsregister bijhouden als zij persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van personen van wie zij de persoonsgegevens verwerkt en/of waarvan de verwerking niet incidenteel is en/of die vallen onder de categorie bijzondere persoonsgegevens.
VII. Aantonen van toestemming
Wanneer de verwerking berust op toestemming van de betrokkenen, moet de organisatie kunnen aantonen dat zij geldige toestemming heeft gekregen. De organisatie moet een verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal doen. Toestemming dient geïnformeerd en specifiek te worden gegeven.
Hierbij geldt dat in een arbeidsverhouding, waarin werknemer financieel afhankelijk is van werkgever, niet snel sprake is van vrije toestemming.
Als een werkgever foto’s van werknemers wil gebruiken (bijvoorbeeld op zijn website), moet hij daarvoor toestemming van de werknemers vragen. Hierbij moet een specifiek doel worden vermeld. Foto’s mogen niet voor een ander doel worden gebruikt zonder dat daar apart toestemming voor is gevraagd.
Meer weten?
Klik hier voor onze nieuwsbrief over de AVG of neem contact op met één van de arbeidsrechtadvocaten van Sørensen Advocaten. Bel: 010-2492444