Algemene Verordening Gegevensbescherming (AVG)
Per 25 mei 2018 dienen we te voldoen aan de eisen die gesteld worden door de AVG. De AVG moet worden gezien als een aanscherping van de thans al geldende regels (Wet Bescherming Persoonsgegevens). De AVG kent dezelfde begrippen en de wijze waarop de bescherming van de persoonsgegevens wordt geregeld is ook gelijk.
De AVG introduceert wel enkele nieuwe eisen en scherpt andere eisen aan. Verder vereist de AVG een betere documentatie. Onder de AVG hoeven er vooraf geen meldingen, inzake gegevensverwerkingen, aan een toezichthouder te worden gedaan. De verantwoordelijke dient achteraf aan te tonen dat is voldaan aan de verplichtingen inzake de AVG. Kortom: documentatie en registratie wordt belangrijker.
Het kan niemand zijn ontgaan dat de AVG hogere boetes introduceert. Het is mogelijk boetes op te leggen van € 20 miljoen tot 4% van de totale wereldwijde jaaromzet.
Functionaris Gegevensbescherming (FG)
De AVG kent een verplichting om een Functionaris voor de Gegevensbescherming (FG) ook wel Data Protection Officer (DPO) genoemd, aan te stellen. Deze functionaris heeft een adviserende en toezichthoudende rol en treedt op als contactpunt voor de toezichthouder.
Het register van verwerkingen
Onder het beheer van de FG bevindt zich een register van alle verwerkingen van persoonsgegevens. Hierin staat onder meer een omschrijving van de verwerkingen, het doel, de rechtmatigheid, de noodzakelijkheid, de risico’s van de verwerking en de controls.
Privacy Impact Assessment (PIA)
Van de verwerkingen met een hoog risico en grootschalige verwerkingen van bijzondere persoonsgegevens moet een PIA worden opgesteld, die voldoet aan de eisen van de Algemene Verordening Gegevensbescherming. Deze verplichting geldt voor nieuwe verwerkingen, waarmee vanaf mei 2018 wordt begonnen. Met name de verwerking profilering komt voor een PIA in aanmerking. Het wordt aanbevolen om de PIA om de 3 jaar te herhalen.
Beveiliging van Persoonsgegevens
De AVG verplicht de verantwoordelijke om passende technische of organisatorische maatregelen te nemen zodat de persoonsgegevens passend beveiligd zijn, zoals bijvoorbeeld een informatiebeveiligingsbeleid cf. ISO 27001/27002.
Verwerkersovereenkomsten
Jaarlijks wordt de actualiteit en volledigheid van de bewerkersovereenkomsten vastgesteld. De verwerkersovereenkomsten moeten voldoen aan de eisen van de AVG. Belangrijk nieuw punt is de zogenaamde dataportabiliteit. Een eenvoudige overgang naar een andere verwerker moet in de verwerkersovereenkomst zijn geregeld.
Rechten van betrokkenen
Onder de AVG krijgen de betrokkenen meer rechten en de verantwoordelijke dient meer informatie aan de betrokkenen te verstrekken. De rechten van betrokkenen zijn: het recht op transparante informatie over de verwerking, recht op inzage, recht op rectificatie, recht op gegevenswissing, recht op beperking van de verwerking, recht op overdraagbaarheid van gegevens (dataportabiliteit) en het recht van bezwaar. Hierover moeten de betrokkenen worden geïnformeerd (Privacy Policy) en de organisatie moet weten hoe te handelen (protocol / werkinstructie).
Datalekken
Ten aanzien van het melden van datalekken verandert er niets onder de AVG.
Archivering
Persoonsgegeven mogen enkel worden verwerkt, zolang hiervoor een deugdelijke grondslag is. Ontbreekt de grondslag, dan dienen de gegevens verwijderd of geanonimiseerd te worden. Dit vereist een archiveringsbeleid. Dit beleid hangt samen met de informatiebeveiliging en kan hierin worden meegenomen.
Privacy by Design en by Default
Een nieuw aspect van de AVG is dat er bij iedere ontwikkeling van producten en diensten aandacht dient te zijn voor de bescherming van de persoonsgegevens. Dit moet bij de ontwikkeling worden meegewogen in het maken van keuzes. Voorts moet de standaardinstelling zo weinig belastend mogelijk zijn. Denk hierbij ook aan webapplicaties.
Arbeidsrechtelijke aspecten
De AVG heeft ook betrekking op de gegevens die worden verwerkt van werknemers. Er kan dan sprake zijn van bijzondere persoonsgegevens, zoals verzuimgegevens.