Aftellen voor de AVG

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG vervangt de Wet bescherming persoonsgegevens (Wbp). De Wbp was gebaseerd op de Europese privacyrichtlijn uit 1995. Deze richtlijn is vastgesteld toen het internet nog in de kinderschoenen stond. Daarom is er de afgelopen jaren hard gewerkt aan een herziening van de Europese privacywetgeving met als resultaat de AVG. De AVG moet ertoe leiden dat de privacyrechten van de Europese burgers versterkt en uitgebreid worden. De AVG geldt voor alle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers. Politie en justitie zijn uitgezonderd van de AVG bij de uitvoering van hun taken op het gebied van de opsporing en vervolging van strafbare feiten en de tenuitvoerlegging van straffen. Voor hen geldt de Richtlijn gegevensbescherming politie en justitie.

De AVG maakt onderscheid tussen standaard persoonsgegevens en bijzondere persoonsgegevens. Onder de standaard persoonsgegevens vallen naam- en adresgegevens, e-mailadressen, pasfoto's, vingerafdrukken en IP-adressen. Bijzondere persoonsgegevens zijn gegevens over ras of etnische afkomst, politieke opvattingen, religie of overtuiging, lidmaatschap vakvereniging, gezondheid, genetische gegevens en biometrische gegevens met het oog op de unieke identificatie van een persoon, seksueel gedrag en seksuele voorkeur en strafrechtelijke veroordelingen en daarmee verband houdende veiligheidsmaatregelen. Het BSN-nummer is geen bijzonder persoonsgegeven. In principe mogen bijzondere persoonsgegevens niet verwerkt worden, tenzij er uitdrukkelijk hiervoor toestemming is gegeven door de betrokkene. 

Verantwoordingsplicht

Met de komst van de AVG heeft een organisatie die persoonsgegevens verwerkt en onder de werking van de AVG valt een verantwoordingsplicht als de Autoriteit Persoonsgegevens erom vraagt. Dit houdt in dat de betreffende organisatie met documenten moet kunnen aantonen dat er is voldaan aan de regels van de AVG. Zo moet de verwerking van de persoonsgegevens voldoen aan de beginselen rechtmatigheid (de organisatie mag de persoonsgegevens verwerken) en doelbinding (de persoonsgegevens worden verwerkt voor een bepaald, omschreven en gerechtvaardigd doel). Er geldt dus geen meldingsplicht meer richting de Autoriteit Persoonsgegevens. Daarnaast moet de organisatie de juiste organisatorische en technische maatregelen hebben getroffen om aan de AVG te voldoen.

Verwerkingsregister

Als organisaties persoonsgegevens verwerken, moeten zij dit schriftelijk of elektronisch registeren in een verwerkingsregister (de zogenaamde documentatieplicht). Organisaties met minder dan 250 personen in dienst hoeven geen verwerkingsregister bij te houden, tenzij de verwerking een risico inhoudt voor de rechten en vrijheden van betrokkenen, de verwerking vaker voorkomt, of het gaat om bijzondere persoonsgegevens zoals persoonsgegevens in verband met strafbare feiten.

Toestemming betrokkene

De AVG stelt strengere eisen ten aanzien van toestemming van de betrokken consument dan de Wbp. Volgens artikel 4 lid 11 AVG wordt onder toestemming het volgende verstaan: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een duidelijke actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”. Een stilzwijgend akkoord is dus niet toegestaan. Met vrij wordt bedoeld dat de betrokkene een echte keuze heeft en geen nadelige gevolgen mag ondervinden als hij de toestemming weigert of intrekt. Specifiek houdt dit in dat het doel van de verwerking moet worden benoemd bij de toestemmingsvraag. Uiteraard moet de toestemmingsvraag in een begrijpelijke en gemakkelijke vorm zijn opgesteld, met eenvoudig taalgebruik. Dankzij de verplichte actieve handeling mag de checkbox bij de toestemmingsvraag niet meer standaard aangevinkt zijn. Opt-out verschuift hiermee dus naar opt-in. Als een verwerkingsverantwoordelijke gegevens van kinderen online verwerkt (bijvoorbeeld via een app, online game, webwinkel of via sociale media), dan mag dit bij kinderen onder de 16 jaar alleen maar gebeuren met toestemming van de ouders. 

Aanstellen functionaris

De Functionaris voor de Gegevensbescherming (FG) houdt toezicht op de toepassing en naleving van de AVG binnen een organisatie. De FG is een natuurlijk persoon en heeft een onafhankelijke positie binnen de organisatie.

Verplicht data privacy impact assesment

Als gegevensverwerking een hoog privacyrisico oplevert voor de betrokken consumenten, dan moet de verwerkende organisatie een DPIA (laten) uitvoeren. Met een DPIA worden deze privacyrisico’s vooraf in kaart gebracht, zodat deze risico’s kunnen worden aangepakt. 

Uitbreiding rechten betrokkenen

De AVG kent verschillende rechten toe aan personen van wie persoonsgegevens worden verwerkt.

Het betreft de volgende rechten:

• recht op informatie;
• recht van inzage;
• recht op rectificatie;
• recht op vergetelheid;
• recht op beperking van de verwerking;
• recht op overdraagbaarheid / dataportibiliteit;
• recht van bezwaar;
• recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming.

Boetes

Als een organisatie de AVG overtreedt, kan de Autoriteit Persoonsgegevens boetes pleggen. In de AVG zijn twee categorieën overtredingen opgenomen, namelijk de overtredingen met betrekking tot de meer fundamentele verplichtingen. De tweede categorie betreft de overtredingen met betrekking tot de meer administratief georiënteerde verplichtingen.

Categorie 1-overtredingen

Een verwerkingsverantwoordelijke of verwerker die een overtreding begaat van de meer fundamentele verplichtingen uit de AVG kan worden bestraft met een boete van de hoogste categorie. Er kan daarbij gedacht worden aan schending van rechten van een betrokkene, zoals het recht van inzage, het recht op vergetelheid en het recht op dataportabiliteit.

Categorie 2-overtredingen

De meeste andere overtredingen vallen onder het ‘lagere’tarief. Deze boetes kunnen worden opgelegd, als er bijvoorbeeld niet is voldaan aan het volgende:

• De aanstelling van de functionaris gegevensbescherming;
• Het melden van datalekken aan de Autoriteit Persoonsgegevens en de betrokkene;
• Het Data Privacy Impact Assessment;
• Beveiligingsmaatregelen.

Overtredingen van de eerste categorie kunnen worden bestraft met een geldboete van 4% van de wereldwijde omzet, maar nooit meer dan €20.000.000. Voor categorie 2-overtredingen is dit 2% van de wereldwijde omzet, maar maximaal €10.000.000. De Autoriteit Persoonsgegevens (AP) zal zorgvuldig afwegen of het opleggen van een geldboete passend (doeltreffend, evenredig en afschrikkend) is voor de gemaakte overtreding. Als de impact van de overtreding beperkt is, mag de AP kiezen voor een berisping in plaats van een boete.

^{(bron: Lindenhaege)}