Leestijd: 5 minuten

AVG

De Algemene Verordening Gegevensbescherming (of in het kort AVG) is recentelijk aangenomen en treedt op 25 mei 2018 in werking. Door de snelle technologische ontwikkelingen zijn er veel veranderingen in de economie en het maatschappelijk leven, die een krachtig en meer coherent kader voor gegevensbescherming vereisen. Ook dienen de strengere regels volgens de Europese wetgever gesteund te worden door strenge handhaving, om zo het vertrouwen te waarborgen dat nodig is voor de ontwikkeling van de interne markt.

In deze blogcyclus zal NORD de veranderingen ten opzichte van het huidige regelgevende kader behandelen. Eerder verscheen:

• Een inleiding
• Recht op vergetelheid

Wettelijke uitgangspunten

De algemene uitgangspunten van het bestaande privacyregime blijven onveranderd. Dit kader geeft ons, kort samengevat, de volgende uniforme principes:

1. Wettelijke grondslag: verwerkingen van persoonsgegevens mogen alleen plaatsvinden wanneer daarvoor a) ondubbelzinnige toestemming door betrokkene is verleend, dan wel b) noodzakelijk zijn voor een aantal limitatief opgesomde belangen (waaronder de zeer open norm “gerechtvaardigd belang”).
2. Doelbinding: persoonsgegevens mogen enkel verwerkt worden voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet zomaar voor andere doeleinden.
3. Dataminimalisatie: er mogen niet meer persoonsgegevens verwerkt worden dan noodzakelijk.
4. Passende beveiliging: verwerkers van persoonsgegevens dienen passende technische en organisatorische maatregelen te nemen om de verwerking te beveiligen.

Recht op overdraagbaarheid van gegevens of dataportabiliteit

Artikel 20 AVG formuleert daarbij ook een nieuw recht voor de betrokkenen voor meer controle over hun persoonsgegevens. Zij krijgen het recht om verstrekte persoonsgegevens, die door de verwerkingsverantwoordelijke geautomatiseerd zijn verwerkt met hun toestemming dan wel voor de uitvoering van een overeenkomst met betrokkenen, op (terug) te vragen.

Deze teruggave van persoonsgegevens dient op de volgende wijze te gebeuren:

• ongehinderd;
• in gestructureerde vorm;
• in een gangbare vorm;
• in een machineleesbare vorm; en desgevraagd
• rechtstreeks aan een andere verwerkingsverantwoordelijke.

Gevolgen voor de praktijk

De plicht om data te porteren maakt de controle over de gegevens door de betrokkenen groter en de kans op een zogeheten vendor lock-in kleiner. Klanten kunnen dus van de ene leverancier naar een rechtstreekse concurrent gaan met hun gegevens. In de praktijk zien we dat partijen als Microsoft reeds jaren diverse wijzen van het exporteren van gegevens bieden. Ook Google kent sinds een paar jaar een Takeout-functie om gegevens uit hun omgeving te porteren.

Nu dienen alle verwerkingsverantwoordelijken (zoals SaaS-leveranciers) deze functie verplicht aan te bieden. Dit kan gevolgen hebben voor de technische inrichting van de diensten en/of de systemen. De AVG laat overigens in het midden wat een ‘gangbaar’ formaat zou zijn. Aangenomen kan worden dat een .CSV-bestand (comma separated value) wel als gangbaar zou moeten worden beschouwd.

Aan de andere kant ziet de AVG enkel op persoonsgegevens, dus zou een eventuele vendor lock-in nog steeds mogelijk kunnen zijn voor andere gegevens dan persoonsgegevens. Maar omdat het begrip ‘persoonsgegeven’ in de praktijk erg ruim en niet eenduidig is, zal het lastig zijn om de persoonsgegevens zuiver te scheiden van de overige gegevens van de betrokkenen.

Andere rechten blijven gelden

Het recht op overdraagbaarheid van gegevens of dataportabiliteit doet geen afbreuk aan andere rechten van de AVG en niet op de laatste plaats aan het recht op vergetelheid. Dit komt er in de praktijk dus op neer dat een betrokkene eerst de medewerking aan dataportering kan vragen om vervolgens wissing van zijn gegevens te vragen.

Voorbereiding op de AVG

Niets doen is geen optie. Organisaties moeten worden voorbereid op de werking van de AVG. De boetes die geriskeerd worden zijn enorm. Een goede voorbereiding begint bij het volgen van deze cyclus over de AVG, waar per onderwerp wordt stilgestaan bij wat dit betekent voor uw organisatie. Uiteraard dient NORD u graag van advies over dit onderwerp, bijvoorbeeld voor het inrichten van de vereiste privacy-administratie of het toetsen van uw diensten aan privacy compliance.