Privacy: persoonsgegevens

AVG: Algemene Verordening Gegevensbescherming

Met ingang van 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) gehandhaafd. Deze Europese verordening vervangt de Nederlandse privacywetgeving, de Wet bescherming persoonsgegevens (Wbp). Onder ‘Wetgeving, UT-beleid en gedragscodes’ vind je de link naar de volledige tekst hiervan.

Het Ministerie van Justitie en Veiligheid heeft een Handleiding AVG opgesteld, die een toelichting geeft op de belangrijkste onderwerpen uit de AVG.

Nieuw in de AVG

De AVG is op een aantal onderdelen strenger dan de Wbp. De belangrijkste kenmerken van de AVG worden hier toegelicht.

Grondslagen van verwerking

Het verwerken van persoonsgegevens is alleen rechtmatig wanneer hiervoor een wettelijke grondslag is. De AVG benoemt de volgende grondslagen:

  • Toestemming van de betrokkene;
  • uitvoering van een overeenkomst waarbij betrokkene partij is;
  • voldoen aan een wettelijke verplichting;
  • vitale belangen van betrokkene of een ander te beschermen;
  • vervulling van een taak van algemeen belang of openbaar gezag;
  • behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.

Beginselen van verwerking

Elke verwerking moet voldoen aan de volgende beginselen:

  • Persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verwerkt;
  • persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt;
  • alleen persoonsgegevens, die noodzakelijk zijn voor het doel mogen worden verwerkt;
  • gegevens moeten correct en actueel zijn;
  • als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of geanonimiseerd;
  • de persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.

Ontwerp

Elke verwerking moet voldoen aan het principe ‘privacy by design’. Dat wil zeggen dat er tijdens het ontwerp al aandacht wordt besteed aan het beschermen van de privacy van betrokkenen. Daarnaast moet elke verwerking voldoen aan het principe ‘privacy by default’. Hierbij worden de standaardinstellingen zo ingericht dat deze de hoogst mogelijke privacybescherming bieden aan betrokkenen.

Verder vereist de AVG expliciet transparantie, waarbij de UT moet kunnen aantonen te voldoen aan de eisen van de AVG. Ook naar de betrokkenen is transparantie vereist: alle informatie moet eenvoudig toegankelijk en begrijpelijk zijn.

Elke nieuwe verwerking waarbij een nieuwe technologie worden gebruikt of die leidt tot een hoog risico voor betrokkenen moet worden voorafgegaan door een Data Protection Impact Assessment (DPIA) of gegevensbeschermingseffectbeoordeling.

Documentatieplicht

Voor ons als organisatie betekent de AVG dat we moeten voldoen aan de documentatieplicht: de UT moet beschikken over een volledig en actueel register van alle verwerkingen van persoonsgegevens in de organisatie. Van elke verwerking moet minimaal de wettelijke grondslag, de doelbinding en de uitbestede verwerkingen worden vastgelegd. Onder de Wbp was er sprake van een meldingsplicht van verwerkingen, maar waren ‘voor de hand liggende’ registraties hiervan vrijgesteld. Nu moeten we zelf alle verwerkingen in beeld brengen. Dit doen we op twee manieren:

  • Beschrijven verwerkingen
    Verwerkingen met een breed toepassingsgebied binnen de UT worden beschreven in een document (template beschikbaar voor PCP's).
  • Melden verwerkingen
    Verwerkingen die op zichzelf staan, waaronder onderzoeken waarin persoonsgegevens worden verwerkt, worden aangemeld.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) is in Nederland verantwoordelijk voor het toezicht op de naleving van de privacywetgeving. In het kader van toezicht kunnen zij onderzoek doen naar mogelijke overtredingen, voorafgaand aan ingebruikname risicovolle verwerkingen onderzoeken en gedragscodes toetsen. Daarnaast hebben zij een adviserende rol ten aanzien van nieuwe wet- en regelgeving en een rol om organisaties voor te lichten, bijvoorbeeld in de vorm van beleidsregels. De AP heeft internationale taken als toezichthouder bij grensoverschrijdende verwerkingen en deelnemer aan internationale samenwerkingsverbanden. Verder zijn zij bevoegd organisaties boetes op te leggen wanneer zij niet voldoen aan de privacywetgeving.