Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. Deze is in de plaats gekomen van de Wet Bescherming Persoonsgegevens. Zorg ervoor dat je als organisatie voldoet aan de AVG, anders riskeer je boetes tot € 20 miljoen.
Verwerk je persoonsgegevens, dan moet je een privacyverklaring (privacybeleid) hebben. Een goede privacyverklaring laat de gebruiker of klant onder meer weten:
welke privacygevoelige gegevens je verzamelt en waarom
welke wettelijke rechten de betrokkenen hebben
hoe ze deze rechten op eenvoudige wijze kunnen uitoefenen
welke cookies je gebruikt en waarom
Op verzoek van de Autoriteit Persoonsgegevens (AP) moet je je kunnen verantwoorden over je privacybeleid. Dit heet de verantwoordingsplicht. Regel je zaken daarom goed en leg alles schriftelijk vast. Denk goed na over onderwerpen als:
welke gegevens je verzamelt
waar je de gegevens voor gebruikt
of de gegevens noodzakelijk zijn voor je doel
of je van tevoren op de juiste wijze toestemming hebt gevraagd en gekregen voor de verwerking
hoe je de gegevens (technisch) beschermt
hoe de betrokkenen hun rechten kunnen uitoefenen
Iedereen van wie je persoonsgegevens verzamelt, moet zijn rechten eenvoudig kunnen uitoefenen. Verwijs hen hiervoor duidelijk op je website naar de juiste contactpersoon. Binnen 1 maand na hun verzoek, moet hun verzoek beantwoord zijn. Alleen als het verzoek erg ingewikkeld is, kun je nog 2 maanden extra krijgen. Behalve administratieve kosten mag je daar geen kosten voor in rekening brengen.
Sinds 25 mei 2018 hebben je leerlingen, patiënten, personeel, bezoekers, klanten of leden:
recht op inzage van persoonsgegevens
recht op rectificatie van persoonsgegevens
recht van bezwaar tegen verwerking van persoonsgegevens
recht op beperking van de hen betreffende verwerking
recht op verwijdering van de gegevens
recht op gegevensoverdraagbaarheid (de gegevens gaan op verzoek naar een andere instantie)
De AVG stelt strengere eisen aan toestemming om persoonsgegevens te verwerken. Je moet kunnen aantonen dat je geldige en bewuste toestemming hebt gekregen. Het moet voor een betrokkene ook net zo makkelijk zijn om de toestemming weer in te trekken als het was om die te geven. Je moet de toestemming en de wijze waarop je die hebt gekregen bovendien vastleggen.
Bepaalde organisaties worden verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze functionaris houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. Een FG is voor 3 soorten organisaties verplicht:
overheden en publieke organisaties, zoals gemeenten, zorg- en onderwijsinstellingen
organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen
organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dat als kernactiviteit hebben
Als je een bedrijf de persoonsgegevens voor jou laat beheren of verwerken, dan heb je ook een verwerkersovereenkomst nodig. In deze overeenkomst moeten afspraken staan over zaken als verantwoordelijkheden, geheimhouding, beveiligingsmaatregelen en de locatie van de opslag van de gegevens.
Een gegevensbeschermingseffectbeoordeling of Data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en maatregelen te treffen om deze risico’s te verkleinen. Deze is verplicht in de volgende situaties:
je evalueert systematisch en uitvoerig persoonlijke aspecten (bijvoorbeeld voor profiling)
je verwerkt op grote schaal bijzondere persoonsgegevens
je volgt systematisch en op grote schaal mensen in een voor het publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht
Je moet kunnen aantonen dat je al bij het ontwerpen van diensten of producten ervoor gezorgd hebt dat de persoonsgegevens goed beschermd worden. Een voorbeeld hiervan is dat je een beschermde https website hebt gebouwd toen je met je webshop begon.
Daarnaast moet je technische en organisatorische maatregelen nemen waardoor je alleen noodzakelijke gegevens verwerkt, bijvoorbeeld door niet van tevoren het vakje ‘Ja ik wil aanbiedingen ontvangen’ aan te vinken bij een klantregistratie. Zorg ook voor een goede cookieverklaring.
Je moet kunnen aantonen dat je procedure voor het melden van datalekken in orde is. Hiervoor heb je een protocol melding datalekken nodig. Je moet ervoor zorgen dat de gegevens niet gemakkelijk in de verkeerde handen kunnen vallen. Als dat toch gebeurt of de gegevens zoekraken, dan moet je dat melden aan de AP. Doe dat zo snel mogelijk en liefst binnen 72 uur. Tevens moet je alle datalekken registreren en betrokkenen waarschuwen als het lek gevolgen voor hun privacy kan hebben.
Een verantwoordelijke (of verwerkingsverantwoordelijke) is degene die bepaalt waarom en op welke manier persoonsgegevens worden verzameld. Dit kan een particulier, stichting, vereniging, onderneming, overheidsinstantie of andere organisatie zijn. Kortom, iedereen die persoonsgegevens verzamelt met een door hen bepaald doel en middel is een verwerkingsverantwoordelijke.
De verwerker is een externe partij die van de verantwoordelijke de opdracht krijgt om de persoonsgegevens te verwerken. De verwerker mag niets anders doen met de persoonsgegeven buiten deze opdracht om. Doet hij dat wel, dan wordt hij zelf ook verantwoordelijke.
Je kunt overigens zowel verantwoordelijke als verwerker zijn. Een hostingprovider bijvoorbeeld is verwerker, omdat het bedrijf persoonsgegevens verwerkt voor websites die verwerkingsverantwoordelijke zijn. Ten aanzien van het personeel van de provider zelf, is het bedrijf zelf de verwerkingsverantwoordelijke.
Een subverwerker ten slotte is een partij die in opdracht van een verwerker persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke.