Privacy en het verwerken van (persoons)gegevens wordt een steeds belangrijker onderwerp binnen ondernemingen en organisaties. Sinds 1 september 2001 is daarom de Wet Bescherming Persoonsgegevens (WBP) van kracht. Dit is de Nederlandse uitwerking van de Europese richtlijn Bescherming Persoonsgegevens. Tot 1 januari 2016 regelde de WBP ook de taken en bevoegdheden van de Autoriteit Persoonsgegevens als toezichthouder op de wet en andere wet- en regelgeving voor de verwerking van persoonsgegevens. Maar per 25 mei 2018 gaat er één Europese wet gelden die van toepassing is in alle lidstaten: de Algemene Verordening Gegevensbescherming(AVG), of in het Engels: de General Data Protection Regulation (GDPR).
Wat zijn ‘persoonsgegevens’?
Voor het verwerken van persoonsgegevens geeft de Wet Bescherming Persoonsgegevens regels. Persoonsgegevens zijn gegevens die informatie bevatten over een natuurlijke persoon en die persoon is identificeerbaar. Dit zijn gegevens als een naam, geboortedatum of geslacht maar ook bijvoorbeeld zijn/haar IQ. Een onderneming of organisatie is geen natuurlijke persoon dus gegevens hiervan gelden niet als persoonsgegevens. Dit geldt echter niet voor de patiënten, cliënten, klanten of de werknemers van de onderneming of organisatie. Als de identiteit van de persoon redelijkerwijs, zonder onevenredige inspanningen vastgesteld kan worden, dan zijn de gegevens persoonsgegevens. De WBP is van toepassing als de persoonsgegevens geautomatiseerd of handmatig verwerkt zijn of worden.
Wat wordt verstaan onder ‘het verwerken van persoonsgegevens’?
Handelingen die volgens de WBP onder verwerken gezien worden, zijn:
- verzamelen, vastleggen en ordenen;
- bewaren, bijwerken en wijzigen;
- opvragen, raadplegen, gebruiken;
- verstrekken door middel van doorzending;
- verspreiden of enige andere vorm van terbeschikkingstelling;
- samenbrengen, met elkaar in verband brengen;
- afschermen, uitwisselen of vernietigen van gegevens.
Als de gegevens in een vestiging buiten de EU worden verwerkt, wordt de verwerking beheerst door het recht van die lidstaat. De verantwoordelijke van de verwerking van de persoonsgegevens is degene die formeel-juridisch de bevoegdheid heeft om het doel en de middelen van de verwerking vast te stellen. Het is dus niet zo dat de medewerker die de verwerking uitvoert, of de manager die daar opdracht toe geeft, verantwoordelijk is maar de rechtspersoon, de natuurlijke persoon of het bestuursorgaan van de organisatie of onderneming. Degene die door instructie en onder verantwoordelijkheid van de formeel juridische bevoegde handelt, is bewerker in de zin van de WBP en daarmee niet verantwoordelijk.
De persoonsgegevens moeten behoorlijk en zorgvuldig en in overeenstemming met de wet verwerkt worden. Persoonsgegevens mogen alleen verwerkt worden voor een bepaald doel en op basis van een bepaalde grondslag. Dit doel moet:
- welbepaald;
- uitdrukkelijk omschreven;
- gerechtvaardigd zijn.
Wanneer mogen gegevens verwerkt worden?
Daarnaast gelden er grondslagen voor het verwerken van persoonsgegevens. Het verwerken van persoonsgegevens is toegestaan als:
- de betrokkene ondubbelzinnig toestemming heeft gegeven. Deze toestemming is in vrije wil geuit en gericht op bepaalde gegevensverwerking.
- De verwerking van de persoonsgegevens noodzakelijk is voor de uitvoering van de overeenkomst.
- De verwerking van de persoonsgegevens noodzakelijk is voor de uitvoering van een wettelijke plicht.
- De verwerking van de persoonsgegevens van vitaal belang zijn voor de betrokken partij.
- De verwerking van de persoonsgegevens is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door de verwerker (de verantwoordelijke), de bestuursorgaan of een bestuursorgaan waaraan de gegevens worden verstrekt.
- De verwerking van de persoonsgegevens is noodzakelijk voor een gerechtvaardigd belang van de verwerker (de verantwoordelijke) of een derde, tenzij de belangen of de fundamentele rechten van de betrokkene prevaleren.
De persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk is voor het doel waarvoor de gegevens verzameld of verwerkt zijn. Is de bewaring van de gegevens niet meer noodzakelijk voor het doel, dan moeten zij verwijderd worden of moeten bijvoorbeeld alle identificeerbare kenmerken verwijderd worden.
Waarom zal de AVG in werking treden?
Om de wet- en regelgeving rondom het verwerken van persoonsgegevens gelijk te maken in alle Europese lidstaten treedt in mei 2018 de AVG in. De WBP is vanaf die datum niet meer van toepassing. Alle organisaties die te maken hebben met het verwerken van persoonsgegevens zullen zo snel mogelijk moeten voldoen aan deze wet- en regelgeving.
Wat zijn de veranderingen?
De grootste veranderingen door de invoering van de AVG zijn: het versterken en uitbreiden van de privacyrechten van de betrokkene, grotere verantwoordelijkheid voor de organisatie of onderneming en de bevoegdheid tot het opleggen van een boete door alle Europese privacytoezichthouders. Deze boete kan oplopen tot 20 miljoen euro. Daarnaast wordt in de WBP gesproken over de verantwoordelijke en de bewerker en heeft de AVG het over de verwerker en de verwerkingsverantwoordelijke.
Vergroting privacyrechten voor de betrokkene(n)
De privacyrechten van de betrokkene(n) wordt vergroot door de voorwaarde dat een organisatie of onderneming moet kunnen bewijzen dat zij geldige toestemming heeft gekregen. Daarnaast kan de betrokkene deze toestemming weer intrekken. In de huidige wet heeft de betrokkene het recht een organisatie of onderneming te vragen zijn/haar persoonsgegevens te verwijderen. In de AVG heeft de betrokkene ook het recht te eisen dat de verwijdering van zijn/haar persoonsgegevens wordt doorgegeven aan andere organisaties en ondernemingen die ze ontvangen hebben van eerstgenoemde organisatie of onderneming. Als laatste heeft de betrokkene een nieuw recht: het recht op dataportabiliteit. Dit houdt in dat de betrokkene zijn/haar gegevens kan ontvangen om zo zelf op te kunnen slaan voor (her)gebruik of door te geven aan andere organisaties en ondernemingen. De verstrekkende organisatie of onderneming moet hieraan meewerken door ervoor te zorgen dat de betrokkene zijn/haar gegevens makkelijk kan krijgen en doorgeven.
Grotere verantwoordelijkheid voor organisaties en onderneming
De grotere verantwoordelijkheid voor organisaties en ondernemingen die persoonsgegevens verwerken wordt benadrukt door de verantwoordelijkheid om aan te kunnen tonen dat zij zich aan de wet houden: accountability. Daarnaast heeft de organisatie of onderneming met de inwerkingtreding van de AVG een documentatieplicht. Wat inhoudt dat zij aan moeten kunnen tonen dat zij de juiste technische en organisatorische maatregelen hebben genomen om aan de vordering te voldoen, door middel van documenten. Twee verplichtingen die gaan gelden zijn het uitvoeren van een Privacy Impact Assessment (PIA) en het aanstellen van een Functionaris voor de Gegevensbescherming (FG). De uitvoering van een PIA is alleen verplicht als de verwerking van de persoonsgegevens een hoog privacyrisico oplevert voor de betrokkene. Het aanstellen van een FG is verplicht als de organisatie een overheidsinstantie of publieke organisatie is, als de organisatie of onderneming als kernactiviteit heeft het op grote schaal ‘volgen’ van personen of als de organisatie als kernactiviteit heeft het op grote schaal verwerken van persoonsgegevens. Als laatste hoeven organisaties en ondernemingen verwerking van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens (AP). Datalekken moeten nog steeds gemeld worden bij de AP.
De AVG geeft niet alleen meer verplichtingen, maar maakt het verwerken van persoonsgegevens ook makkelijker. Een modelbepaling voor de relatie tussen de verwerkingsverantwoordelijke en de verwerker (in de WBP bewerker) is een voorbeeld van een instrument dat helpt de vordering na te leven.
