De nieuwe privacywetgeving staat voor de deur
Het verstrekken en bewaren van persoonsgegevens is in Nederland geregeld in de Wet bescherming persoonsgegevens (WBP). Per 25 mei 2018 maakt deze wet plaats voor de Algemene Verordening Gegevensbescherming (AVG). In het Engels de General Data Protection Regulation (GDPR) genoemd.
Met deze nieuwe wetgeving worden de privacyrechten van personen verstrekt en uitgebreid. Organisaties krijgen een grotere verantwoordelijkheid om de persoonsgegevens die zij verwerken te beschermen.
Deze nieuwe wetgeving geldt voor alle EU-landen. In Nederland is de toezichthouder de Autoriteit Persoonsgegevens.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn in principe alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Zo zijn de naam, het adres en de woonplaats persoonsgegevens maar ook telefoonnummers, en postcodes zijn persoonsgegevens. Bijzondere persoonsgegevens zijn bijvoorbeeld het ras, de godsdienst of de gezondheid van iemand. Die bijzondere persoonsgegevens worden door de wet extra beschermd.
Welke rechten heb ik?
Als persoon heb je verschillende rechten waar het gaat om je persoonsgegevens.
- Recht op inzage: je hebt altijd het recht om een organisatie te vragen of zij persoonsgegevens hebben vastgelegd en zo ja, welke persoonsgegevens dat zijn. Je hoeft hierbij geen reden te geven voor het inzageverzoek. Je hebt hierbij alleen recht op je eigen gegevens, niet op die van een ander.
- Recht op vergetelheid: dit recht lijkt veel op het recht op correctie en verwijdering zoals dat al bestond in de Wbp. Dit recht houdt in dat een organisatie persoonsgegevens moet corrigeren, aanvullen, verwijderen of afschermen als de gegevens onjuist of onvolledig zijn of niet ter zake doen voor het doel waarvoor ze verzameld zijn. Ook als de verzameling op een andere manier in strijd is met de wet mag je je beroepen op dit recht. Zo moet een organisatie de gegevens verwijderen als ze deze niet meer nodig hebben en kan je de toestemming om gegevens te gebruiken intrekken.
Je hebt het recht om een organisatie te vragen de persoonsgegevens te corrigeren, aan te vullen, te verwijderen of af te schermen. Dit mag je doen als de gegevens onjuist zijn, onvolledig zijn of niet ter zake doen voor het doel waarvoor ze verzameld zijn. Ook wanneer de verzameling op een andere manier in strijd is met de wet mag je je beroepen op dit recht. - Recht op dataportabiliteit: dit recht houdt in dat persoonsgegevens overdraagbaar zijn. Je hebt het recht om persoonsgegevens te ontvangen die een organisatie van je heeft. Zo kan je jouw gegevens bijvoorbeeld gemakkelijk doorgeven aan een andere leverancier van een vergelijkbare dienst. Het verschil met het recht op inzage is dat je bij dit recht uitgenodigd kunt worden om je gegevens te bekijken. Het recht op dataportabiliteit geeft je het recht om de gegevens te ontvangen op een manier waarbij ze te hergebruiken zijn voor een andere organisatie.
Welke plichten hebben organisaties?
Organisaties hebben een verantwoordingsplicht. Zij moeten kunnen aantonen dat zij in overeenstemming met de AVG handelen. Een onderdeel van deze plicht is dat zij een verwerkingsregister bijhouden. Zo moeten zij de rechtmatigheid, transparantie, doelbinding en juistheid van de verzameling en verwerking van de gegevens aan kunnen tonen. Daarnaast moeten organisaties aan kunnen tonen dat zij de juiste technische en organisatorische maatregelen hebben genomen om de verzamelde persoonsgegevens te beschermen.
Dat houdt in dat zij een DPIA (data protection impact assessment) uit moeten voeren. Hiermee worden de privacy risico’s vooraf in kaart gebracht en wordt aangegeven welke maatregelen genomen kunnen worden om de risico’s te verkleinen.
Daarnaast zijn verschillende organisaties verplicht om een functionaris voor gegevensbescherming (FG) aan te stellen. Dit geldt voor overheidsinstanties en publieke organisaties, organisaties die op grote schaal individuen volgen vanuit hun kernactiviteiten (bijvoorbeeld cameratoezicht) en organisaties die bijzondere persoonsgegevens verwerken waarbij dit een kernactiviteit is. Vanuit de EU kunnen nog andere situaties benoemd worden waarin een FG verplicht is.
Net als bij de Wbp hebben organisaties nog steeds een verplichting om datalekken te melden en bewerkersovereenkomsten met een derde partij af te sluiten. Hier zijn wel nieuwe eisen aan gesteld.
Meer informatie over de bescherming van persoonsgegevens is te vinden op de website van de autoriteit persoonsgegevens.