U bent hier

Onderneming & Fiscus
Privacy en AVG1. Van WBP naar AVG1.3 Verschillen AVG en WBP

1.3 Verschillen AVG en WBP

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

De WBP is dus straks exit en maakt plaats voor de AVG. Bestaande privacyregels verdwijnen daarmee niet. Wel krijgt u met nieuwe en aangescherpte regels te maken.

Persoonsgegevens zijn de hoofdrolspelers in de AVG. In hoofdstuk 2 tot en met 4 leest u alles over persoonsgegevens en het verwerken hiervan.

 

1.3.1 Basisbeginselen verwerken persoonsgegevens

transparantie

juistheid

bewaarbeperking

De AVG kent een aantal basisbeginselen:

  • transparantie: de persoon van wie de gegevens verwerkt worden (ook wel de betrokkene) is ervan op de hoogte en kent zijn rechten;
  • doelbinding: de persoonsgegevens worden voor een bepaald doel verwerkt en mogen niet zomaar voor een ander doel worden verwerkt;
  • dataminimalisatie: alleen de gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld;
  • juistheid: de persoonsgegevens moeten correct zijn en kloppend blijven;
  • bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor het doel;
  • integriteit en vertrouwelijkheid: de persoonsgegevens moeten worden beschermd tegen inzage door onbevoegden, verlies of vernietiging;
  • verantwoording: de verantwoordelijke moet kunnen aantonen dat wordt voldaan aan de bepalingen uit de AVG.

1.3.2 Gevestigd in het buitenland

LinkedIn

Een grote verandering is dat de AVG ook geldt voor organisaties die persoonsgegevens verwerken van EU-burgers, maar zelf buiten de EU gevestigd zijn. Een mooi voorbeeld, dat de impact van deze maatregel verduidelijkt, is LinkedIn. Waarschijnlijk heeft u net als zo veel Nederlandse professionals een LinkedIn-account. U heeft dan persoonlijke gegevens afgestaan aan de Amerikaanse netwerksite. Onder de huidige wetgeving hoeft LinkedIn de Europese regels voor het verwerken van persoonsgegevens niet te volgen. Dat is per 25 mei wel het geval.

Vestigingen in de EU

leidende toezichthouder

Is uw organisatie in meerdere EU-landen actief, dan heeft dit als voordeel dat u onder de AVG in al deze verschillende landen te maken heeft met dezelfde privacyregels. Daarnaast heeft u straks nog maar te maken met één privacytoezichthouder (de zogeheten leidende toezichthouder). Dit is de toezichthouder van het EU-land waar de hoofdvestiging van uw organisatie gevestigd is. In Nederland is dat de Autoriteit Persoonsgegevens.

1.3.3 Registratieplicht

Ook nieuw is de registratieplicht. Vanaf 25 mei 2018 zijn organisaties met meer dan 250 werknemers verplicht om met documentatie aan te tonen dat zij correcte maatregelen hebben genomen om aan de AVG te voldoen. Voor kleinere organisaties geldt deze registratieplicht vaak ook, bijvoorbeeld als er sprake is van risicovolle of structurele verwerkingen dan wel verwerkingen met bijzondere personeelsgegevens (zie ook hoofdstuk 2), zoals gezondheidsgegevens.

Melding bij Autoriteit Persoonsgegevens

doel

FG

De registratieplicht schrijft voor dat u een overzicht moet opstellen waarin u alle verwerkingen van persoonsgegevens inzichtelijk maakt en bijhoudt (inclusief het doel, de grondslag en de beveiligingsmaatregelen). Positief bericht is dat tegenover deze registratieplicht staat dat u niet langer verplicht bent om verwerkingen van persoonsgegevens te melden bij de Autoriteit Persoonsgegevens. Ook als u bij een kleinere organisatie werkt, die wel regelmatig persoonsgegevens verwerkt, kan het verstandig zijn om een dergelijk register in te voeren en bij te houden.

1.3.4 Functionaris voor de gegevensbescherming

Controleer of het onder de AVG noodzakelijk is om een Functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is voor uw organisatie onder meer een verplichting als u op grootschalige wijze bijzondere persoonsgegevens verwerkt. Denk bijvoorbeeld aan een ziekenhuis dat veel patiëntgegevens verwerkt.

FG: een mens van vlees en bloed

ontslag

De FG moet een natuurlijk persoon zijn. Het is dus niet mogelijk om bijvoorbeeld een commissie of (compliance)afdeling aan te wijzen. Om de onafhankelijkheid van de functionaris te garanderen, mag hij ook geen instructies krijgen over de manier waarop hij zijn taak uitvoert. Daarnaast kunt u een functionaris niet ontslaan om een reden die samenhangt met de uitoefening van zijn functionaristaken. In hoofdstuk 9 leest u meer over de FG.

1.3.5 Privacy by design

Met de intrede van de AVG moet alle software die uw organisatie gebruikt om persoonsgegevens te verwerken voldoen aan het ‘privacy by design’-vereiste. Dit betekent dat er bij het ontwerpen van een informatiesysteem al rekening wordt

gehouden met privacy en het zo min mogelijk verwerken van persoonsgegevens.

Rechtspraak

alternatieven

Het doel van ‘privacy by design’ is dat de beveiliging van persoonsgegevens wordt geoptimaliseerd. Het advies is dus om alle software die in uw organisatie wordt gebruikt om persoonsgegevens op te slaan en te verwerken tegen het licht te houden. Als u bijvoorbeeld persoonsgegevens opslaat in Excel, Word of andere software die hiervoor niet is bedoeld, zult u mogelijk naar alternatieven moeten kijken.

Het is nog de vraag of het beveiligen van een Excel- of Word-document met een wachtwoord afdoende is om aan het privacyvereiste te voldoen. De rechtspraak zal dit in de toekomst moeten uitkristalliseren.

1.3.6 Recht van betrokkenen

dataportabiliteit

De AVG introduceert een aantal rechten voor burgers, die de WBP nog niet kende of die aangepast zijn (zie ook hoofdstuk 3 en 4):

  • het recht op vergetelheid;
  • het recht op dataportabiliteit;
  • het recht om de verwerking te beperken;
  • het recht om bezwaar te maken tegen verwerkingen.

1.3.7 Meldplicht datalekken

hacker

Net als de WBP kent de AVG een meldingsplicht bij datalekken. Van een datalek is volgens de AVG sprake bij iedere inbreuk op de beveiliging van persoonsgegevens die leidt tot ongeoorloofde verwerking (zoals verlies en vernietiging) daarvan. Als de systemen van uw organisatie bijvoorbeeld zijn gehackt, waardoor de hacker toegang heeft gekregen tot gevoelige persoonsgegevens, zult u hiervan binnen 72 uur melding moeten doen bij de Autoriteit Persoonsgegevens.

Melden aan betrokkenen

Afhankelijk van de omstandigheden, moet u het datalek ook melden aan de personen van wie de persoonsgegevens zijn gelekt. Zorg dat uw organisatie een procedure opstelt waarin zij duidelijk in kaart brengt welke stappen zij moet nemen als er een mogelijk datalek ontstaat. In hoofdstuk 10 komt de meldplicht datalekken nader aan bod.

1.3.8 Profilering

wet

De AVG geeft iedereen het recht om niet te worden onderworpen aan profilering. De wet definieert profilering als volgt: elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van die gegevens bepaalde data worden verzameld.

Het gaat bij profilering met name om inzicht in beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen.

Bewerker transformeert naar verwerker

categorieën

In de AVG wordt de bewerker voortaan de verwerker genoemd. De wet stelt dat de volgende onderwerpen moeten terugkomen in een verwerkersovereenkomst ( zie ook hoofdstuk 11):

  • de aard en het doel van de verwerking;
  • het onderwerp en de duur van de verwerking;
  • het soort persoonsgegevens dat wordt verwerkt;
  • de categorieën van betrokkenen;
  • wat de rechten en verplichtingen zijn van de verantwoordelijke.

1.3.9 Privacy Impact Assessment

risicoanalyse

Een ‘gegevensbeschermingseffectbeoordeling’, in het Engels een Privacy Impact Assessment (zie ook hoofdstuk 8) is een risicoanalyse om het effect van een toekomstige verwerking van persoonsgegevens op de bescherming van die gegevens in kaart te brengen.

Reeks verwerkingen

PIA

Wanneer een verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, waarschijnlijk een hoog risico heeft voor de rechten en vrijheden van de personen om wie het gaat, voert de organisatie vóór de verwerking een PIA uit. Eén PIA kan een reeks vergelijkbare verwerkingen bestrijken die ongeveer even hoge risico’s inhouden.

Inbreuk flinke aanval op de portemonnee

jaaromzet

Inbreuken op de verplichtingen uit de AVG hebben administratieve geldboetes tot gevolg. In sommige gevallen gaat het om bedragen tot € 10 miljoen of tot 2% van de totale wereldwijde jaaromzet. Dit kan gebeuren bij inbreuk op bepalingen rond het register van verwerkingsactiviteiten en beveiliging van de verwerking. In andere gevallen kunnen de boetes oplopen tot € 20 miljoen of tot 4% van de totale wereldwijde jaaromzet. Hierbij moet u denken aan het in strijd handelen met de beginselen van de AVG, zoals de regels rond toestemming vragen en de rechten van betrokkenen.