Leestijd: 7 minuten

AVG (of GDPR)

De Algemene Verordening Gegevensbescherming (of in het kort AVG en in het Engels GDPR) is in het voorjaar van 2016 aangenomen en treedt op 25 mei 2018 in werking. Het zal de Wet bescherming persoonsgegevens (Wbp) gaan vervangen. Door de snelle technologische ontwikkelingen zijn er veel veranderingen in de economie en het maatschappelijk leven, die een krachtig en meer coherent kader voor gegevensbescherming vereisen. Ook dienen de strengere regels volgens de Europese wetgever gesteund te worden door strenge handhaving, om zo het vertrouwen te waarborgen dat nodig is voor de ontwikkeling van de interne markt.

In deze blogcyclus zal NORD de veranderingen ten opzichte van het huidige regelgevende kader behandelen. Eerder verscheen:

• Een inleiding
• Recht op vergetelheid
• Verplichte overdraagbaarheid van gegevens

VERANTWOORDINGSPLICHT OF ACCOUNTABILITY

De AVG formuleert een verantwoordingsbeginsel (principe van ‘accountability’) voor de verwerkingsverantwoordelijke om de naleving van de AVG aan te kunnen tonen. Deze documentatieplicht vervangt de huidige verplichting om gegevensverwerkingen vooraf te melden aan de Autoriteit Persoonsgegevens. U zult met andere woorden de privacy compliance moeten kunnen aantonen met documenten, die u opstelt en bijwerkt in het kader van uw privacy-administratie. Deze administratie moet in schriftelijke vorm, maar dat mag ook (deels) elektronisch.

Dat moet onder meer door het bijhouden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaats hebben gevonden in een register. Dit register dient bij de controle op de naleving op verzoek van de toezichthoudende autoriteit worden verstrekt. Het een en ander volgt uit artikel 30 AVG.

Verder zijn er andere artikelen die een verantwoordelijkheidsbeginsel behelzen, zoals de plicht om te kunnen aantonen dat de verwerkingen voldoen aan de Europese beginselen van a) rechtmatigheid, behoorlijkheid en transparantie, b) doelbinding, c) minimale gegevensverwerking, d) juistheid, e) opslagbeperking en f) integriteit en vertrouwelijkheid (of adequate beveiliging). Dit volgt uit artikel 5 lid 2 AVG.

Ook wanneer een verwerking berust op de toestemming van een betrokkene, dan dient dat te kunnen worden aangetoond. Zo bepaalt artikel 7 AVG. En zo zijn er nog wel een paar artikelen die de verwerkingsverantwoordelijke verplichten zijn privacy compliance te kunnen demonstreren met zijn verslaglegging.

VERWERKINGENREGISTER VOOR VERWERKINGSVERANTWOORDELIJKEN

Het bijhouden van de verwerkingsactiviteiten in een verwerkingsregister is de meest ingrijpende plicht. Deze geldt voor organisaties met meer dan 250 werknemers of voor organisaties die risicovolle verwerkingen doen. Het is niet zo dat deze plicht enkel voor de grote organisaties geldt. Kleinere organisaties die bijvoorbeeld met medische persoonsgegevens werken, zoals kleinere zorginstellingen of huisartspraktijken, zullen dus per definitie deze extra registers moeten gaan vormgeven. Ook kan gedacht worden aan marketeers die structureel door middel van online tracking persoonsgegevens verwerken, waarmee levensstijlen van personen in kaart kunnen worden gebracht. Uiteraard zijn er vele voorbeelden te bedenken die meer risicovol zijn dan de gemiddelde klanten- of personeelslijst. Tot slot is het register ook vereist voor alle verwerkingen die niet incidenteel van aard zijn. Dit betekent feitelijk dat er maar weinig organisaties zullen zijn, die aan deze administratieplicht zullen ontkomen.

Het op te tuigen register bevat de verwerkingsactiviteiten van de betreffende verwerkingsverantwoordelijke en omvat in ieder geval:

1. de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
2. de verwerkingsdoeleinden;
3. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
4. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
5. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in voorkomende gevallen, de documenten inzake de passende waarborgen;
6. indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
7. indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

VERWERKINGENREGISTER VOOR VERWERKERS

Ook de verwerker, die voor de verwerkingsverantwoordelijke verwerkingsactiviteiten verricht (en die wij door de Wbp gewend zijn om ‘bewerker’ te noemen), houdt een register bij met de volgende gegevens:

1. de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;
2. de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
3. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in voorkomende gevallen, de documenten inzake de passende waarborgen;
4. indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Ook voor de verwerker geldt dat deze regel pas van toepassing is als zijn organisatie voldoende groot is of zijn verwerkingen risicovol zijn of wanneer de verwerkingen niet incidenteel van aard zijn. Het zal dus de facto voor iedere verwerker gaan gelden.

VOORBEREIDING OP DE AVG

Niets doen is geen optie. Organisaties moeten worden voorbereid opij de werking van de AVG. De boetes die geriskeerd worden zijn enorm. Een goede voorbereiding begint bij het volgen van deze cyclus over de AVG, waar per onderwerp wordt stilgestaan bij wat dit betekent voor uw organisatie. Uiteraard dient NORD u graag van advies over dit onderwerp, bijvoorbeeld voor het inrichten van de vereiste privacy-administratie of het toetsen van uw diensten aan privacy compliance.