Per 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). De AVG treedt in de plaats van de Wet Bescherming Persoonsgegevens. De AVG heeft gevolgen voor u als werkgever, met werknemers in dienst, maar bijvoorbeeld ook als u te maken heeft met een klanten- of patiëntenbestand.
Persoonsgegevens en het verwerken daarvan
Om te beginnen is het van belang om te weten wat persoonsgegevens nu precies zijn. De AVG omschrijft persoonsgegevens als volgt: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Voorbeelden van persoonsgegevens zijn de voor de hand liggende NAW-gegevens, geboortedata etc., maar bijvoorbeeld ook IP adressen of kentekens.
Onder verwerken van persoonsgegevens wordt onder andere het (al dan niet geautomatiseerd) vastleggen, opslaan, gebruiken, raadplegen, doorzenden en wissen daarvan verstaan.
Daarnaast kent de AVG de begrippen “verwerkingsverantwoordelijke” en “verwerker”. De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking (bijvoorbeeld een werkgever) en de verwerker verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke (bijvoorbeeld een pensioenuitvoerder van de werkgever).
Belangrijke punten uit de AVG
Onder de AVG worden de rechten van de personen van wie de persoonsgegevens worden verwerkt uitgebreid en daarmee samenhangend worden de verplichtingen van de verwerkingsverantwoordelijke en de verwerker ten aanzien van persoonsgegevens verzwaard. Verder krijgt de Autoriteit Persoonsgegevens als toezichthouder ruimere bevoegdheden, waaronder het opleggen van zware sancties, zoals een verbod op verwerking of geldboetes die in theorie kunnen oplopen tot € 20 miljoen of 4% van de totale wereldwijde jaaromzet.
Onderstaand treft u een overzicht van een aantal belangrijke rechten en plichten waar u onder de AVG mee te maken kunt krijgen:
Rechten van betrokkenen
- De betrokkene moet onder andere geïnformeerd worden waarom de persoonsgegevens worden verwerkt; of de gegevens ook doorgegeven worden; en, hoe lang de gegevens worden bewaard.
- De betrokkene moet worden gewezen op de rechten die hij heeft ten aanzien van het verwerken van zijn persoonsgegevens. Zo heeft hij/zij het recht op inzage, rectificatie of het wissen van persoonsgegevens, en het recht om tegen verwerking bezwaar te maken.
- De betrokkene kan ook een klacht indienen bij de Autoriteit Persoonsgegevens.
Verplichtingen verwerkingsverantwoordelijke en verwerker
- Verwerkingsverantwoordelijken moeten in principe een register bijhouden met informatie over de persoonsgegevens die ze verwerken.
- Als een verwerkingsverantwoordelijke een verwerker inschakelt, bijvoorbeeld door het uitbesteden van de personeelsadministratie, zullen de verwerkingsverantwoordelijke en de verwerker een zogenaamde verwerkersovereenkomst moeten sluiten. Hierin wordt andere de aard en het doel van de verwerking vastgelegd, maar ook het soort persoonsgegevens en de rechten en verplichtingen van de verwerkingsverantwoordelijke en verwerker.
- Verwerkingsverantwoordelijken en verwerkers van persoonsgegevens zullen er ook voor moeten zorgen dat verwerkingen voldoende beveiligd zijn. Er moeten daarvoor passende organisatorische én technische beveiligingsmaatregelen worden getroffen.
- In sommige gevallen moeten een verwerkingsverantwoordelijke en een verwerker een zogenaamde functionaris voor de gegevensbescherming aanstellen. Dit geldt voor overheidsinstanties en publieke organisaties, maar ook voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of organisaties die op grote schaal bijzondere persoonsgegevens (zoals gegevens over gezondheid) verwerken.
- Wanneer er sprake is van een datalek, heeft de verwerkingsverantwoordelijke in beginsel de plicht om dit binnen 72 uur na kennisname te melden bij de Autoriteit Persoonsgegevens. Is sprake van een hoog risico, dan zullen ook de betrokkenen onverwijld geïnformeerd moeten worden.
Veel ondernemingen zijn zich op dit moment aan het voorbereiden op de invoering van de AVG. Heeft u een vraag over de AVG, of wilt u in het kader van de AVG documenten zoals een privacy statement (ten aanzien van werknemers óf klanten) of een verwerkersovereenkomst (voorheen “bewerkersovereenkomst”) laten beoordelen?
