De AVG countdown: dit is wat er verandert door de nieuwe privacywet

Tegenwoordig gebruikt vrijwel iedere onderneming persoonsgegevens en verwerkt deze. Denk bijvoorbeeld aan klanten die online producten kopen in een webwinkel en hun naam en adresgegevens moeten opgeven. Om de privacy van personen (waaronder ook klanten) te beschermen is er wetgeving opgesteld. In Nederland geldt op dit moment nog de Wet bescherming persoonsgegevens (Wbp). Door nieuwe Europese privacyregels wordt de privacywetgeving in Nederland echter aangepast.

Van Wbp naarAVG

Per 25 mei 2018 zal de Wbp worden vervangen door de Algemene Verordening Gegevensbescherming (AVG). Als gevolg hiervan zal de bescherming van persoonsgegevens in heel de Europese Unie hetzelfde zijn en geldt overal dezelfde privacywetgeving. Oogmerk daarbij is een nog betere bescherming van de privacy van de burger. De nieuwe AVG dwingt ondernemingen tot meer bewustwording en verantwoording in het kader van de verwerking van persoonsgegevens.

Voor ondernemingen binnen Nederland brengt dit met zich dat de verplichtingen behoorlijk worden uitgebreid ten opzichte van eerst. Daarnaast krijgt de Autoriteit Persoonsgegevens ruimere bevoegdheden om (hogere) boetes op te leggen.

Belangrijkste begrippen uit de Algemene Verordening Gegevensbescherming (AVG)

Persoonsgegevens
Allereerst is van belang te weten wat er precies wordt bedoeld met persoonsgegevens. Onder persoonsgegevens dient volgens artikel 4 lid 1 van de AVG te worden verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Eigenlijk gaat het dus om elk gegeven dat kan worden herleid naar een natuurlijk persoon. Dit kan door middel van directe en/of indirecte identificatie. Directe identificatie kan plaatsvinden via bijvoorbeeld een naam, een BSN-nummer of een adres. Indirecte identificatie bijvoorbeeld via een telefoonnummer of een IP-adres.

Verwerking van persoonsgegevens
Dan de betekenis van de ‘verwerking van persoonsgegevens’. Volgens artikel 4 lid 2 van de AVG gaat het hierbij om: ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’ Hieruit blijkt dat het verwerkingsbegrip dus zeer ruim is.

Verwerkingsverantwoordelijke en/of verwerker
Tot slot de verwerkingsverantwoordelijke en de verwerker. Als je als onderneming persoonsgegevens verwerkt, ben je verwerkingsverantwoordelijke, verwerker of beide. In artikel 4 lid 7 van de AVG is opgenomen dat onder verwerkingsverantwoordelijke dient te worden verstaan: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’. Diegene die dus beslist waarom en op welke manier persoonsgegevens moeten worden verwerkt, is de verwerkingsverantwoordelijke.

De verwerker is volgens artikel 4 lid 8 diegene die ‘ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’. De verwerker is – in tegenstelling tot de verantwoordelijke – juist niet de (rechts)persoon die het doel en de middelen van de verwerking vaststelt. Een voorbeeld van een verwerker bijvoorbeeld aan een partij die de website host of een cloudopslag oplossing aanbiedt.

De belangrijkste verplichtingen onder de AVG

De AVG regelt de rechtmatige en zorgvuldige omgang met persoonsgegevens binnen de Europese Unie en gaat uit van beginselen waaraan elke verwerking van persoonsgegevens moet voldoen. Dit versterkt de positie van de personen van wie gegevens worden verwerkt.

Zo krijgen personen onder de AVG meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Bestaande privacyrechten zoals het recht op inzage en het recht op rectificatie worden sterker. Daarnaast gelden er twee nieuwe rechten: het recht op dataportabiliteit (ofwel het recht om persoonsgegevens aan een andere verantwoordelijke over te dragen) en het recht om vergeten te worden. In dat laatste geval dienen de gegevens te worden verwijderd.

De AVG bepaalt voorts dat de verwerking van persoonsgegevens moet voldoen aan een aantal beginselen: de verwerking moet plaatsvinden op een rechtmatige, behoorlijke en transparante wijze. Het uitgangspunt is daarbij dat persoonsgegevens alleen mogen worden verwerkt voor een bepaald (gerechtvaardigd) doel en niet verdergaand dan noodzakelijk is.

Er is sprake van een gerechtvaardigd doel om persoonsgegevens te verwerken als de verwerking kan worden gebaseerd op 1 van de grondslagen uit de AVG. Deze grondslagen zijn:

• Als het noodzakelijk is ter uitvoering van een overeenkomst waarbij de betrokkenen partij zijn. Denk bijvoorbeeld aan adresgegevens die nodig zijn voor levering van een besteld product;
• Noodzakelijk om te voldoen aan een wettelijke verplichting. Bijvoorbeeld het verstrekken van gegevens van betrokkenen aan de politie;
• Noodzakelijk voor de vitale belangen van betrokkenen. Bijvoorbeeld medische gegevens bij een ongeval;
• Noodzakelijk voor de uitvoering van een taak van algemeen belang of openbaar gezag. (Dit geldt met name voor overheidsinstanties);
• Noodzakelijk voor de behartiging van gerechtvaardigde belangen van uw organisatie of van een derde. Bijvoorbeeld fraudepreventie of direct marketing;
• Indien bovenstaande grondslagen niet van toepassing zijn voor activiteiten met persoonsgegevens, dan is toestemming vereist van degene wiens persoonsgegevens worden verwerkt.

Let wel op: de AVG is over de wijze waarop geldige toestemming verkregen moet worden ook zeer expliciet.

Tot slot legt de AVG de nadruk op de verantwoordingsplicht. Deze verantwoordingsplicht zorgt ervoor dat een organisatie moet kunnen aantonen dat de juiste organisatorische en technische maatregelen worden genomen om aan de AVG te voldoen. Dit houdt in dat iedere organisatie volgens de AVG onder meer een register van datalekken die zijn opgetreden moet bijhouden, duidelijk moet kunnen aantonen of een persoon daadwerkelijk toestemming heeft gegeven voor gegevensverweking en in sommige gevallen een data protection impact assessment (ofwel: een gegevensbeschermingseffectbeoordeling) moet uitvoeren. Sommige organisaties zijn daarnaast verplicht om een Functionaris voor gegevensbescherming aan te stellen en om een register van verwerkingsactiviteiten op te stellen. Of zo’n register moet worden opgesteld hangt af van de omvang van de organisatie en de gegevens die worden verwerkt. Organisaties met meer dan 250 medewerkers zijn hiertoe verplicht. Organisaties met minder dan 250 werknemers behoeven enkel over een register te beschikken als de verwerkingen niet incidenteel zijn en/of een hoog risico inhouden en/of vallen onder de categorie ‘bijzondere persoonsgegevens’ (bijvoorbeeld gegevens over godsdienst, gezondheid of strafrechtelijk verleden).

Wat als de AVG niet wordt nageleefd?

De gevolgen van het niet naleven van de AVG kunnen groter zijn dan nu het geval is onder de Wbp, omdat de AVG hoge eisen stelt aan de bescherming van persoonsgegevens. Zo moet elke lidstaat van de Europese Unie een toezichthouder aanwijzen die toezicht houdt op de naleving van de AVG en sancties mag uitdelen. In Nederland is dit de Autoriteit Persoonsgegevens (AP). Door de AP kan een maximale boete opgelegd worden tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet (welke op dat moment het hoogst is). Zo’n (hoge) boete zal door de AP echter niet zomaar worden opgelegd omdat zij hierbij rekening moet houden met verschillende omstandigheden zoals de aard en de ernst van de overtreding, de opzettelijke of nalatige aard en de genomen maatregelen. Ook dient de boete evenredig te zijn tot de gestelde overtreding.

Geschreven door Linda Relouw. Linda is advocaat bij Köster Advocaten in Haarlem. Köster Advocaten behandelt hier regelmatig actuele juridische kwesties. kadv.nl

Foto’s van Vojtech Okenka via Pexels & Bruce Mars via Pexels