Wat verandert er met de nieuwe Privacy-wetgeving (AVG)?

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. Dit is een Europese regeling en vervangt alle nationale wetten. Er zijn een paar nieuwe stappen die een onderneming met de nieuwe Privacywetgeving moet nemen. Onder de nieuwe wetgeving krijgen de mensen van wie de persoonsgegevens worden verwerkt (de betrokkenen) meer en verbeterde rechten. Naast het recht op inzage, correctie van de gegevens en verwijdering hebben ze ook het recht alle persoonsgegevens die een organisatie van hen heeft te krijgen. Betrokkenen kunnen op die manier hun gegevens makkelijk kunnen doorgeven naar een andere organisatie. Ook kunnen betrokkenen bij de Autoriteit Persoonsgegevens klachten indienen over de manier waarop een organisatie met hun gegevens omgaat. Wanneer betrokkenen vragen om hun gegevens te corrigeren of te verwijderen, moet dit ook aan de organisatie waarmee hun gegevens zijn gedeeld, worden doorgegeven.

Een onderneming moet onder de nieuwe privacywetgeving alle gegevensverwerkingen in kaart brengen. Dit houdt in dat een onderneming vast legt welke persoonsgegevens worden verwerkt en met welk doel dit gebeurt, waar deze gegevens vandaan komen en met wie deze worden gedeeld.

Om aan te kunnen tonen dat een organisatie in overeenstemming met de nieuwe wetgeving handelt moet een register van verwerkingsactiviteiten worden bijgehouden. Een organisatie die in opdracht van een andere organisatie persoonsgegevens verwerkt (bijvoorbeeld als administratiekantoor of een online dienst voor gegevensopslag) moet de volgende informatie in een verwerkingsregister opnemen:

• De naam en contactgegevens van;

1. de organisatie, of de vertegenwoordiger van de organisatie, of de verwerkingsverantwoordelijke;
2. een functionaris voor de gegevensbescherming (FG) als die is aangesteld;
3. een beschrijving van de categorieën van verwerkingen die in opdracht van iedere verantwoordelijke worden uitgevoerd;
4. eventuele andere internationale organisaties met wie de  persoonsgegevens worden gedeeld.
5. of de gegevens met een land of internationale organisatie buiten de EU worden gedeeld;

• Een algemene beschrijving van de technische en organisatorische maatregelen die er zijn genomen om persoonsgegevens die worden verwerkt te beveiligen.

Van persoonsgegevens waar een hoog verwerkingsrisico geldt (zoals verwerking van strafrechtelijke, medische of genetische gegevens) dient een DPIA te worden uitgevoerd. Een DPIA is een onderzoek naar de risico’s van deze gegevensverwerking en de maatregelen die er moeten worden genomen om deze risico’s te beperken.

Verder is het belangrijk dat er voor wordt gezorgd dat persoonsgegevens goed worden beschermd maar ook dat er niet meer gegevens worden verzameld dan strikt noodzakelijk voor het leveren van de dienst. Daarnaast mogen de gegevens niet langer worden bewaard dan nodig is voor het leveren van de dienst en het voldoen aan andere wetgeving (zoals bijvoorbeeld het bewaren van financiële administratie voor de belastingdienst).

Onder de nieuwe wetgeving worden organisaties wiens kernactiviteit het is om persoonsgegevens te verwerken (en een aantal andere gevallen zoals overheden) verplicht om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dit is iemand die het aanspreekpunt vormt voor de Autoriteit Persoonsgegevens en voor mensen die hun rechten ten aanzien van hun persoonsgegevens willen uitoefenen.