Wijziging privacywetgeving

In mei 2016 is de Algemene Verordening Gegevensbescherming (hierna: AVG) gepubliceerd in het Publicatieblad en in werking getreden. Sinds 25 mei 2018 is de AVG van toepassing. Nu deze verordening van toepassing is, is de Wet bescherming persoonsgegevens komen te vervallen. Dit vanwege de rechtstreekse doorwerking van het Europese recht. 

Privacywetgeving

Het doel van de vernieuwde privacywetgeving is om de privacywetgeving voor alle lidstaten gelijk te trekken. Tot op heden had elke lidstaat eigen regelgeving omtrent privacy. Daarnaast heeft technologie de afgelopen jaren enorme vooruitgang geboekt. Denk hierbij aan de snelle ontwikkelingen en groeiende mogelijkheden van het internet. Ook dit was een reden voor de wijziging van de privacywetgeving.

Het gevolg van deze nieuwe verordening is dat mensen meer controle hebben over de persoonsgegevens die zij afstaan voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. De privacy rechten zijn door middel van de AVG uitgebreid. Dit betekent dat er voor de verwerkingsverantwoordelijken (en verwerkers) verplichtingen bij komen.

Verantwoordingsplicht

De basis verplichting die voortvloeit uit de AVG is de verantwoordingsplicht. Deze verplichting houdt in dat organisaties moeten kunnen aantonen dat zij voldoen aan de regels omtrent privacy. De organisaties moeten passende maatregelen nemen die overeenkomen met het risico dat de verwerking van persoonsgegevens met zich meebrengt. De verwerking van persoonsgegevens moet geschieden volgens een aantal beginselen, welke gevonden kunnen worden in overweging 39 AVG. De belangrijkste beginselen zijn rechtmatigheid, transparantie, doelmatigheid en juistheid. Naast deze 4 beginselen moet er ook voldaan worden aan de volgende principes: minimale gegevensverwerking, opslagbeperking, integriteit en vertrouwelijkheid. Door middel van de verantwoordingsplicht wordt aangegeven of de gegevensverwerking voldoet aan de voorgenoemde beginselen.

In beginsel moeten organisaties die onder de AVG vallen een register bijhouden. Dit is niet verplicht indien de organisatie bestaat uit minder dan 250 medewerkers. Hier is echter ook een uitzondering op. Een organisatie (kleiner dan 250 medewerkers) moet wel een register bijhouden als er sprake is van een van de volgende 3 uitzonderingen. Ten eerste als de verwerking van persoonsgegevens waarschijnlijk een hoog risico voor de betrokkene met zich meebrengt. Ten tweede als het niet-incidentele verwerking betreft. Tot laatste als de persoonsgegevens die verwerkt zijn, vallen onder het begrip bijzondere categorie persoonsgegevens (en gegevens betreffende strafbare feiten, waar ik niet verder op in zal gaan). Dit moet dan ook weer een hoog risico met zich mee brengen.

Persoonsgegevens

Naast de registerplicht is de organisatie ook gehouden om onder andere maatregelen te nemen om de verzamelde persoonsgegevens te beschermen, een datalek te melden bij de Autoriteit Persoonsgegevens (hierna: AP) en soms aan de betrokkene, bij risicovolle verwerking van persoonsgegevens de AP te raadplegen en om afspraken te maken met verwerkers.

In de AVG is een onderscheid gemaakt tussen gewone persoonsgegevens en bijzondere categorieën persoonsgegevens. In de bijzondere categorieën persoonsgegevens vallen de gegevens die extra gevoelig zijn en dus ook extra bescherming nodig hebben. Uit artikel 9 lid 1 AVG blijk dat verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid verboden is. Hier is echter uitzondering op, deze kun je vinden in artikel 9 lid 2 AVG. Het verbod van lid 1 is niet van toepassing als er sprake is van een van de uitzonderingsgronden genoemd in lid 2.

Bijzondere categorieën persoonsgegevens mogen organisaties onder andere wel verwerken als de betrokkene hiervoor uitdrukkelijk zijn toestemming heeft verleend. Zoals eerder benoemd moet deze toestemming vrij zijn gegeven, de toestemming moet specifiek en geïnformeerd zijn en de toestemming moet ondubbelzinnig zijn. Hieruit blijkt dan ook dat de nieuwe verordening de burgers meer controle geeft over hun persoonsgegevens.

Ook bij Schade24 wordt er rekening gehouden met de nieuwe privacywetgeving. Voor het afhandelen van uw dossier zijn er persoonsgegevens nodig. Uiteraard zullen de medewerkers uiterst voorzichtig met uw gegevens om gaan.