Privacy

Het is menens met privacy!

Vanaf 25 mei 2018 geldt er in de gehele Europese Unie dezelfde privacywetgeving: de Generela Data Protection Regulation (GDPR) oftewel de Algemene Verordening Gegevensbescherming (AVG). De AVG heeft aanzienlijke impact op hoe organisaties met persoonsgegevens, met data, omgaan. De belangrijkste effecten van de AVG:

De privacyrechten van individuen worden versterkt

Organisaties moeten bewijzen dat zij op basis van een wettelijke grondslag persoonsgegevens verwerken. Een van die wettelijk grondslagen is dat men geldige toestemming van het individu (consument, burger) heeft gekregen om zijn/haar persoonsgegevens te verwerken. Voor deze toestemming gelden vier criteria: de toestemming dient vrij gegeven te zijn, de toestemming dient specifiek te zijn, het individu dient geïnformeerd te zijn (m.a.w. dat je weet waar je ‘ja’ tegen zegt) en de toestemming dient ondubbelzinnig te zijn.

Daarnaast geldt dat het voor een individu net zo gemakkelijk dient te zijn om toestemming in te trekken als om deze te geven, waarbij hetzelfde communicatiekanaal gebruikt dient te kunnen worden. Een individu heeft het recht om een organisatie te vragen zijn/haar persoonsgegevens in te zien, aan te passen en te verwijderen. De organisatie dient deze verwijdering door te geven aan alle andere organisaties die deze gegevens hebben gekregen of gekocht. Daarnaast heeft een individu heeft het recht op dataportabiliteit oftewel overdraagbaarheid van persoonsgegevens, waarmee men de persoonsgegevens ontvangt die een organisatie van hem/haar heeft om deze vervolgens ook weer aan een andere organisatie door te geven als men dat wil.

De verantwoordelijkheid van organisaties die gegevens verwerken, wordt aangescherpt

De nadruk ligt op de eigen verantwoordelijkheid van organisaties om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability). Men dient die verantwoordelijkheid ook vast te leggen, te documenteren, en men dient er expliciet en transparant over te zijn. Organisaties die van plan zijn persoonsgegevens met een hoog privacyrisico te gaan verwerken, zijn verplicht om een privacy impact assessment (PIA) uit te voeren. Maar eigenlijk geldt dat iedere organisatie die data privacy serieus neemt dergelijke PIAs dient te gebruiken om de verwerkingen van persoonsgegevens te toetsen, en maatregelen te nemen op basis van de uitkomst ervan.

Voor alle overheids- en publieke organisaties geldt dat zij een Functionaris voor de Gegevensbescherming (FG), ook wel Data Privacy Officer (DPO) genoemd, dienen aan te stellen. Ook in het geval dat één van de kernactiviteiten van een commerciële organisatie het grootschalig verwerken van (bijzondere) persoonsgegevens is, is men verplicht deze rol invulling te geven. En hier geldt dat het inrichten van een rol die onafhankelijk van de directie kijkt naar de manier waarop persoonsgegevens verwerkt worden voor iedere organisatie aan te bevelen is, of dat nu een officiële FG/DPO is of niet, en of dat nu een interen functionaris is of een (parttime) extern ingehuurd dienst.

De bevoegdheden van de Autoriteit Persoonsgegevens (AP) en haar Europese collegae zijn aanzienlijk verstevigd

Onder de AVG kan een boete oplopen tot maximaal twintig miljoen euro, of vier procent van de wereldwijde omzet. Bedrijven met vestigingen in meerdere EU-lidstaten krijgen straks te maken met nog maar één privacytoezichthouder (het “onestopshop” mechanisme). Dit zal in de regel de toezichthouder zijn van het land waar de hoofdvestiging van het bedrijf is gevestigd.

De ervaring leert dat bijna alle organisaties aan de bak moeten om hun processen, informatieverwerking, rollen en verantwoordelijkheden door te lichten en eventueel aan te passen. Maar het begint bij het begrijpen van welke data een organisatie heeft en wat zij er mee doet. Raad & Data beschikt over de informatiekundige, juridische en ICT-technische kennis en ervaring om organisaties te helpen “in control” te zijn van de (persoons)gegevens, de data, die zij verwerken en onder hun hoede hebben.