Wat verandert er?

Veel blijft gelijk, maar er zijn belangrijke wijzigingen!

Veel blijft hetzelfde. Een goed privacybeleid, een begrijpelijk privacystatement, goede afspraken tussen bewerkers en verantwoordelijken en een procedure voor datalekken. Maar er zijn ook kleinere en grote veranderingen. De belangrijkste staan hieronder genoemd.


Verantwoordingsplicht

De AVG kent de plicht om te bewijzen dat een bedrijf ‘behoorlijk en zorgvuldig’ omgaat met de persoonsgegevens. Onder behoorlijke en zorgvuldige verwerking wordt verstaan dat je persoonsgegevens verwerkt voor bepaalde uitdrukkelijke, omschreven en gerechtvaardigde doeleinden. De toezichthouder Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) kan vragen om te laten zien wat is gedaan aan de bescherming. Zorg dus altijd voor documentatie van veilige en rechtmatige verwerking van persoonsgegevens!


Privacy Impact Assesment (PIA)

De huidige Wet Bescherming Persoonsgegevens kent de meldplicht zodra je persoonsgegevens verwerkt. Dat is in de AVG geen vereiste, tenzij:

  • Op grote schaal bijzonder gevoelige persoonsgegevens worden verwerkt. Dit zijn bijvoorbeeld gegevens op het gebied van levensovertuiging of strafrechtelijke gegevens.
  • Persoonsgegevens systematisch worden verwerkt, zoals bij automatische beslissingen nemen op basis van klantgedrag.
  • Een vermoeden bestaat dat verwerking van de persoonsgegevens een grote invloed heeft op de betrokkenen, zoals bij het verwerken van medische gegevens.

Als een van deze bovenstaande punten het geval is, is het noodzakelijk een Privacy Impact Assessment (PIA) te doen. Wanneer uit het Assesment blijkt dat gegevens inderdaad risicovol zijn, geldt een meldplicht bij de Autoriteit Persoonsgegevens.


Functionaris voor gegevensbescherming (FG)

De AVG kent het begrip 'Functionaris voor gegevensbescherming'. De aanstelling van een dergelijke functionaris is verplicht:

  • voor overheidsinstanties
  • voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is van de organisatie.
  • voor organisaties die op grote schaal mensen volgt en dit een kernactiviteit is van de organisatie.

De Functionaris voor gegevensbescherming kan ook vrijwillig worden aangesteld. Hiervoor gelden dezelfde plichten als voor de verplichte FG’s.


Hogere boetes

De toezichthouder Autoriteit Persoonsgegevens kan boetes opleggen voor bedrijven die zich niet aan de verordening houden. Boetes kunnen oplopen tot 20 miljoen Euro of tot 4% van de wereldwijde jaaromzet. De Autoriteit Persoonsgevens kan ook bestuursdwang uitoefenen.


Meldplicht datalekken/hacken

In Nederland was dit al verplicht, maar nu geldt dit voor de hele EU. Dit moet binnen 24 uur na het lek gemeld worden.


Meer rechten voor consumenten

In de AVG hebben consumenten meer en sterkere rechten:

  1. Transparantie: je klant mag altijd inzage aanvragen in zijn of haar persoonsgegevens waarover jij beschikt. Er moet ook mogelijkheid zijn tot correctie of verwijderen van deze gegevens. Informeer je klant helder over de betreffende verwerking. Bij een opt-in moet je als organisatie de klant duidelijk attenderen op deze mogelijkheid. Wanneer je persoonsgegevens van derden krijgt dien je zo snel mogelijk (maximaal binnen een maand) de desbetreffende persoon te melden dat je zijn persoonsgegevens aan het verwerken bent.
  2. Recht om vergeten te worden: klanten hebben het recht hebben om hun gegevens te laten verwijderen. Ook hier moeten je klanten bekend mee zijn. Dit geldt overigens niet voor persoonsgegevens die je nodig hebt voor bijvoorbeeld facturen voor je boekhouding.
  3. Recht om zich te verzetten tegen direct marketing en profiling. Profiling is elke vorm van geautomatiseerde verwerking van persoonsgegevens zoals voorkeuren en het voorspellen van gedrag. Hierdoor kan een webshop bijvoorbeeld klantprofielen creëren en op basis daarvan een persoonlijk aanbod bieden. Direct marketing en profiling wordt gezien als gerechtvaardigd belang van organisaties maar klanten hebben het recht om zich hiertegen te verzetten. Als organisatie moet je zorgen dat het mogelijk is om dit te uit te schakelen.
  4. Recht om zich tegen ‘automatische besluitvorming’ te verzetten. Automatische besluitvorming zijn automatisch genomen beslissingen met grote gevolgen. Denk bijvoorbeeld aan de Belastingdienst die bepaalde toeslagen wel of niet uitkeert op basis van verkregen inkomensgegevens. Consumenten hebben het recht om uitleg te krijgen over deze beslissingen van een natuurlijk persoon in plaats van een computer. Organisaties die gebruik maken van automatische besluitvormingen moeten dit vooraf goed hebben geregeld in een overeenkomst of toestemming hebben gekregen van de betrokkene.
Bezoekadres
Zilverstraat 69, 2718 RP Zoetermeer
Postadres
Postbus 840, 2700 AV Zoetermeer
Telefoon
079 - 203 50 15
E-mail
info@vebon-novb.nl
 
 
volg ons

wij bevorderen veiligheid