AVG

Waarom werd er nieuwe privacywetgeving ingevoerd?

De Algemene Verordening Gegevensbescherming verving de Europese privacyrichtlijn uit 1995. Sinds de invoering van de AVG zijn in alle lidstaten van de Europese Unie in beginsel dezelfde privacyregels van toepassing. Ook hebben Europese toezichthouders dezelfde bevoegdheden. De AVG is bovendien meer toegespitst op het digitale tijdperk dan de privacyrichtlijn uit 1995, die in werking trad toen internet nog in de kinderschoenen stond.

Wat zijn de belangrijkste punten uit de AVG?

Onder de AVG hebben personen van wie gegevens worden verwerkt uitgebreide rechten, zoals het recht op dataportabiliteit en het recht om vergeten te worden. Organisaties die persoonsgegevens verwerken, hebben veel verantwoordelijkheden en verplichtingen.

Zo moeten organisaties in veel gevallen in een verwerkingsregister documenteren welke persoonsgegevens verwerkt worden en met welk doel, wat de herkomst is van de gegevens en met wie de gegevens worden gedeeld. Ook kunnen organisaties verplicht zijn een Data Protection Impact Assessment uit te voeren en een functionaris voor de gegevensbescherming aan te stellen. Daarnaast zijn privacy by design en privacy by default belangrijke uitgangspunten om persoonsgegevens te beschermen wanneer het gaat om ontwikkeling van nieuwe producten en diensten en de bijbehorende systemen en processen.

Wat zijn de privacyrechten voor betrokkenen onder de AVG?

Onder de AVG zijn de privacyrechten van personen van wie de persoonsgegevens worden verwerkt, versterkt en uitgebreid. Zo kan een betrokkene in een aantal gevallen van een organisatie eisen zijn of haar persoonsgegevens te verwijderen. Ook hebben betrokkenen het recht op dataportabiliteit. Dit houdt in dat zij van een organisatie kunnen eisen om in een standaardformaat de persoonsgegevens te ontvangen die de organisatie van hen heeft. Deze gegevens kan de betrokkene vervolgens doorgeven aan een andere organisatie.

Wat is privacy by design en privacy by default?

Al tijdens het ontwikkelen van diensten en producten zijn organisaties verplicht rekening te houden met een goede bescherming van persoonsgegevens. Bijvoorbeeld door het nemen van privacyverhogende maatregelen. Dit uitgangspunt wordt privacy by design genoemd.

Daarnaast voorziet de AVG in het uitgangspunt privacy by default. Dit houdt in dat van organisaties wordt verwacht dat zij technische en organisatorische maatregelen nemen om ervoor te zorgen dat er in beginsel enkel persoonsgegevens verwerkt worden die benodigd zijn voor het specifieke doel van de verwerking. Denk bijvoorbeeld aan het inrichten van een formulier voor het opvragen van informatie of online bestellingen. In zo’n formulier mag alleen informatie worden opgenomen die relevant is voor het proces.

Wat is een functionaris voor de gegevensbescherming?

Sommige organisaties zijn onder de AVG verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. De verplichting om een FG aan te stellen geldt onder meer voor overheidsinstanties en publieke organisaties, maar ook voor organisaties die op grote schaal mensen volgen of bijzondere persoonsgegevens verwerken, zoals gegevens over geloofsovertuiging, ras of gezondheid. De FG is een interne toezichthouder die een organisatie adviseert en rapporteert over de naleving van de AVG. De FG moet onafhankelijk kunnen werken. Voor de professionaliteit en het takenpakket van de functionaris gelden specifieke regels. Zo moet een FG voldoende kennis hebben van de privacywetgeving en van de organisatie.

Wat is het verschil tussen een FG en een DPO?

Functionaris voor de gegevensbescherming (FG) is de Nederlandse vertaling van de Engelse term Data Protection Officer (DPO) uit de GDPR. Formeel is er dus geen verschil. In de praktijk kiezen organisaties die niet wettelijk verplicht zijn een FG aan te stellen, er soms toch voor om iemand aan te nemen die gespecialiseerd is in de bescherming van persoonsgegevens. Vaak krijgt deze persoon de functienaam DPO. Bedenk wel dat voor een vrijwillig aangestelde (en bij de Autoriteit Persoonsgegevens aangemelde) FG of DPO dezelfde regels gelden als voor een FG of DPO die verplicht wordt aangesteld.

Wat is een Data Protection Impact Assessment?

Een Data Protection Impact Assessment (DPIA) of gegevensbeschermingseffectbeoordeling is een instrument waarmee een organisatie vooraf de privacyrisico’s van een specifieke verwerking van gegevens (in een systeem of proces) inventariseert. Dit kan een nieuwe verwerking zijn of een aanpassing in een bestaande verwerking. Vervolgens kunnen maatregelen worden genomen om de risico’s te beperken. Een DPIA is verplicht als verwacht wordt dat een gegevensverwerking een hoog privacyrisico oplevert voor de personen van wie de gegevens worden verwerkt, bijvoorbeeld als een organisatie telefoongesprekken opneemt.

Wat is profiling?

Profiling of profilering is het automatisch indelen van personen in profielen op basis van hun persoonsgegevens. Deze indeling in profielen kan worden gebruikt om individuele besluiten te nemen, zoals het verlenen van een krediet door een bank. Betrokkenen hebben het recht om niet onderworpen te worden aan dergelijke individuele besluitvorming die enkel gebaseerd is op een geautomatiseerde verwerking van hun persoonsgegevens.

Wat zijn de sancties als niet wordt voldaan aan de AVG?

Onder de GDPR hebben alle Europese privacytoezichthouders dezelfde bevoegdheden, zoals het verrichten van onderzoek, het behandelen van het klachten van betrokkenen en het nemen van corrigerende maatregelen. In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving van de privacywetgeving. Bij overtredingen kan de toezichthouder een boete opleggen van maximaal 20 miljoen euro of 4% van de jaaromzet. Naast de boetebevoegdheid voorziet de AVG in de mogelijkheid om sancties op te leggen die erop gericht zijn een overtreding te beëindigen of de nadelige gevolgen ervan te herstellen. Zo heeft de AP de bevoegdheid om een last onder dwangsom op te leggen.

Ruler als compliance software

Het is van belang dat uw organisatie compliant is én blijft aan de normen van de AVG. Ruler helpt u hierbij. Ruler is de juiste keuze voor financiële organisaties die altijd en overal op de hoogte willen zijn van de actuele wet- en regelgeving.

Meer weten?

Wilt u meer weten over de AVG? Volg dan onze AVG Awareness training. Na afronding van de e-learning bent u bekend met de privacyregels en weet u in de praktijk om te gaan met persoonsgegevens, datalekken en de rechten van betrokkenen.

Heeft u hulp nodig met het bijhouden van het verwerkingsregister? Download dan gratis onze AVG checklist of het template verwerkingsregister. Onze specialisten adviseren u graag over de naleving van de AVG. Neem geheel vrijblijvend contact met ons op via onderstaande button.