Privacywetgeving

Privacywetgeving

Sinds mei 2018 is de GDPR (AVG) in de hele EU van kracht.

De impact op uw organisatie was en is groot. U heeft waarschijnlijk al veel gedaan om uw organisatie AVG compliant te maken: privacy handboeken, gedragscodes, risico’s geïdentificeerd, processen en procedures aangepast, een verwerkingsregister opgesteld, etcetera.

Echter, houden uw medewerkers zich altijd aan de processen en de procedures? De verwerking van persoonsgegevens kan op veel manieren en met veel verschillende oorzaken niet goed gaan. Weet u welke persoonsgegevens u waar bewaart? Is uw organisatie AVG-compliant?

Wat zijn persoonsgegevens binnen de AVG?

Persoonsgegevens betreft alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Er zijn veel soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens.

Bijzondere Persoonsgegevens zijn gevoelige gegevens als iemands ras, godsdienst of gezondheid. Deze zijn door de wetgever extra beschermd, het is verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is.

Strafrechtelijke Persoonsgegevens mogen alleen onder direct toezicht van de overheid verwerkt worden en kennen daarnaast nog strenge voorwaarden.

Bescherming van persoonsgegevens

Bescherming van de persoonlijke levenssfeer is een grondrecht. En een voorwaarde voor mensen om vrij te zijn in wie ze zijn en wat ze doen. Het gaat erom dat mensen niet continu gevolgd worden, dat hun medische gegevens veilig zijn, dat ze iets kunnen doen tegen een automatisch genomen besluit over ze. Het gaat over zeggenschap over hun eigen persoonsgegevens.

Dit recht is geregeld in:

  • artikel 10 lid 1 van de Grondwet;
  • artikel 8 van het Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM);
  • artikel 7 van het Handvest van de Grondrechten van de Europese Unie;
  • artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR).

Daarnaast is in artikel 8 van het Handvest een expliciet recht op bescherming van de persoonsgegevens opgenomen. Deze artikelen geven aan dat er een wet moet zijn voor de bescherming van persoonsgegevens. Zodat ieders recht op privacy is gewaarborgd.

Dat zijn in Nederland de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). Op Europees niveau geldt de General Data Protection Regulation (GDPR).

De beginselen van de AVG

  • De verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn (“rechtmatigheid, behoorlijkheid en transparantie”);
  • De verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”);
  • De persoonsgegevens moeten toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is (“minimale gegevensverwerking”);
  • De gegevens moeten juist zijn (“juistheid”);
  • de gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”);
  • De gegevens moeten goed beveiligd zijn en vertrouwelijk blijven (“integriteit en vertrouwelijkheid”).

Wettelijke taken voor uw organisatie

Organisaties dienen vanuit de AVG de volgende taken in te vullen:

  • Een register van verwerkingsactiviteiten bijhouden (de registerplicht);
  • Onder bepaalde omstandigheden een functionaris voor gegevensbescherming aanstellen;
  • Voorafgaand aan risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling uit te voeren;
  • De Autoriteit Persoonsgegevens onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle verwerkingsactiviteit te raadplegen (voorafgaande raadpleging);
  • Bij het inrichten van verwerkingen rekening te houden met het principe van privacy door ontwerp en standaardinstellingen (privacy by design & default);
  • Passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens;
  • In het geval van een datalek melding te doen bij de Autoriteit Persoonsgegevens en onder bepaalde omstandigheden ook bij de betrokkenen;
  • Afspraken te maken met verwerkers.
  • Medewerking te verlenen aan de Autoriteit Persoonsgegevens.

Tenslotte dient de verwerkingsverantwoordelijke de rechten van de betrokkenen te respecteren en in te vullen.

AVG in het nieuws

  • “Scholen bewaren te veel en te lang gegevens van studenten en docenten”- 7 oktober 2021 – nu.nl
  • “Familiezoeksite krijgt boete van half miljoen euro wegens schenden privacy” – 12 mei 2021 – Volkskrant
  • “Maaltijdbezorger overtreedt databeschermingswet AVG”- 25 mei 2021 – NRC
  • “Notarissen struikelen over privacywet bij digitale identificatie”- 4 juli 2021 – FD
  • “Europese landen hebben tot nu toe 114 miljoen euro aan privacyboetes uitgedeeld” – 20 januari 2020 – nu.nl
  • “Zwembad verspreidt per ongeluk e-mailadressen van honderden bezoekers” – 11 oktober 2021 – AD
  • “Datalek bij huisartsen: vaccinatiegegevens zonder toestemming verspreid”- 26 juli 2021 – BNR
  • “Zeker 83 gemeenten voldoen niet aan de privacywet die sinds twee jaar van kracht is, meldt Argos na onderzoek onder 110 gemeenten.” – 29 mei 2020 – nu.nl

Weten hoe Deapr kan helpen ?

Wij gaan graag met u in gesprek over de mogelijkheden.