“Kom tot Mij, allen die vermoeid en belast zijn, en Ik zal u rust geven.
Neem Mijn juk op u en leer van Mij, want Ik ben zachtmoedig en nederig van hart.
En u zult rust vinden voor uw zielen, want Mijn juk is zacht en mijn last is licht”
– Mattheus 11:28-30

Waarom is er nieuwe privacy wetgeving? (AVG)

In de EU heeft nu nog elke lidstaat een eigen privacywet. Deze nationale wetten zijn wel allemaal gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is de nationale uitvoering van deze richtlijn de Wet bescherming persoonsgegevens (Wbp).

De Europese privacyrichtlijn werd vastgesteld toen internet nog in de kinderschoenen stond. Daarom is de Europese privacywetgeving de afgelopen jaren herzien.

Wat merken mensen van wie gegevens worden verwerkt van de AVG?

Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens.

Hun privacy rechten worden namelijk versterkt en uitgebreid.

Toestemming

In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken.

Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Nieuwe privacy rechten

Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.

Recht op vergetelheid
Mensen hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

Recht op dataportabiliteit
Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

Wat zijn de belangrijkste veranderingen er voor organisaties?

Als de algemene verordening gegevensbescherming (AVG) van toepassing is, heeft u als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk gelegd op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht.

De verantwoordingsplicht houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Maar de AVG biedt u als organisatie tegelijkertijd meer instrumenten die u helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens.

Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:

Wat levert de AVG mij als organisatie op?

Als de Algemene verordening gegevensbescherming (AVG) van toepassing is, geldt er nog maar één privacywet in de hele Europese Unie (EU) in plaats van 28 verschillende nationale wetten. Ook is de AVG meer toegespitst op de gedigitaliseerde samenleving.

Bent u in meerdere EU-lidstaten actief ? Dan levert de AVG u het volgende op:

  • u heeft minder administratieve kosten en nalevingskosten;
  • u heeft meer rechtszekerheid;
  • er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU;
  • u hoeft nog maar met één toezichthouder zaken te doen (onestopshop).

Mag ik onder de AVG gegevens van kinderen verwerken?

Ja, u mag nog steeds gegevens van kinderen verwerken zodra de Algemene verordening gegevensbescherming (AVG) geldt. In sommige gevallen heeft u wel toestemming van de ouders nodig.

Toestemming bij online verwerking

Verwerkt u straks gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van de ouders. Onder de AVG moet u dan dus controleren of de ouders daadwerkelijk toestemming hebben gegeven.

Let op: richt u zich op kinderen in een ander EU-land? De Algemene verordening gegevensbescherming (AVG) biedt EU-landen de mogelijkheid om de grens voor toestemming bij online verwerkingen bij 13 jaar te leggen. Van die mogelijkheid wordt in Nederland waarschijnlijk geen gebruik gemaakt.

Veranderen de bewaartermijnen onder de AVG?

Nee. Zodra de Algemene verordening gegevensbescherming (AVG) van toepassing is, gelden dezelfde regels voor het bewaren van persoonsgegevens als nu. Het uitgangspunt blijft dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking.

Bewaartermijnen vastleggen en mensen informeren

Hoe lang u gegevens mag bewaren, verschilt per geval. Als verantwoordelijke moet u onder de AVG wel het volgende regelen:

U bepaalt van tevoren hoe lang u de persoonsgegevens bewaart. Als dat niet  mogelijk is, bepaalt u in elk geval de criteria voor het vaststellen van de bewaartermijn. U legt de bewaartermijn of de criteria vast in een bewaarbeleid.

U neemt de bewaartermijnen ook op in uw register van verwerkingen.

U informeert de betrokkenen (de mensen van wie u gegevens verwerkt) over de bewaartermijnen. Bijvoorbeeld via een privacyverklaring op uw website.

Langere bewaartermijn

Verwerkt u persoonsgegevens voor het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden? Dan mag u persoonsgegevens langer bewaren dan noodzakelijk is voor het oorspronkelijke doel van uw verwerking.

Let op: dat mag alleen als u technische en organisatorische maatregelen neemt om de privacy van de betrokkenen zo goed mogelijk te beschermen. Een voorbeeld van zo’n maatregel is dataminimalisatie. Dat betekent dat u zo min mogelijk persoonsgegevens verzamelt en verwerkt.

Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG). 

U moet de volgende onderwerpen vastleggen:

Algemene beschrijving

Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).

Instructies verwerking

De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Geheimhoudingsplicht

Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

Beveiliging

De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

Subverwerkers

De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.

In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

Privacyrechten

De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

Andere verplichtingen

De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

Gegevens verwijderen

Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

Audits

De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).