• Nieuws

De nieuwe privacywetgeving; van ‘tell me’ naar ‘show me’ en de Data Protection Officer

07 juli 2016
IT & privacy

Eind mei 2018 worden de regels van de nieuwe Algemene Verordening Gegevensbescherming (AVG) van kracht. Eén van de grootste veranderingen in de praktijk is de invoering van een verantwoordingsplicht (“accountability”) voor organisaties die persoonsgegevens van hun werknemers, klanten of patiënten, websitebezoekers en mogelijk anderen verzamelen en gebruiken. Uitgangspunt is dat organisaties niet meer alleen zeggen wat ze doen met persoonsgegevens, maar dat ook kunnen laten zien. Ze moeten zelf – zo nodig in overleg met de Autoriteit Persoonsgegevens (AP)- de naleving van de privacyregels gaan controleren. Doel daarvan is een grotere bewustwording van de risico’s bij het verwerken van persoonsgegevens binnen organisaties. Hoewel 2018 nog ver weg lijkt, is het verstandig om uw organisatie alvast voor te bereiden op de nieuwe verantwoordingsplicht en dan voornamelijk op de documentatieplicht. Het aanleggen van een register met alle verwerkingen van persoonsgegevens van uw werknemers, klanten en anderen is een forse klus. Het aanstellen van een al dan niet externe DPO kan een eerste stap zijn, gevolg door een privacy scan.

De verantwoordingsplicht is in de AVG geregeld door middel van een aantal (deels nieuwe) verplichtingen. De meest relevante noemen we hierna.

De documentatieplicht ter vervanging van de huidige melding bij de Autoriteit Persoonsgegevens vervangt

  • Op dit moment moeten organisaties bepaalde verwerkingen van persoonsgegevens melden bij de AP. Deze meldingen zijn te raadplegen in een openbaar register dat via de website van de AP toegankelijk is. De AP controleert de (juistheid van de) meldingen verder niet. De meeste verwerkingen binnen organisaties hoeven niet te worden gemeld; de in het Vrijstellingsbesluit Wbp genoemde verwerkingen zijn van melding vrijgesteld. Dat gaat dan bijvoorbeeld om de verwerking van gegevens in personeelsadministraties, salarisadministraties en klantenadministraties.
  • Het register moet per verwerking onder meer vermelden (i) welke doel de verwerking heeft, (ii) welke categorieën betrokkenen, persoonsgegevens en ontvangers van de data er zijn, (iii) de eventuele doorgifte van persoonsgegevens aan land buiten Europa (bijvoorbeeld in een cloudoplossing) en (iv) een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
  • De informatie in het register is vergelijkbaar met de nu voor een melding bij de AP te registreren gegevens. Groot verschil is wel dat er geen veel voorkomende verwerkingen van gegevens zijn vrijgesteld van registratie.
  • De documentatieplicht plicht geldt in beginsel niet voor organisaties met minder dan 250 werknemers in dienst.

De Data Protection Officer; niet verplicht maar wel gewenst

Een andere pijler van de verantwoordingsplicht is de grotere rol van de Data Protection Officer (DPO; in het Nederlands de Functionaris Gegevensbescherming).

  • Voor een aantal type organisaties is het verplicht om een DPO aan te wijzen. Het gaat om overheden en bedrijven waarvan het de core business is om privacygevoelige informatie te verwerken. Te denken valt bijvoorbeeld aan aanbieders van clouddiensten of direct marketingbedrijven. Bedrijven die alleen privacygevoelige informatie verwerken in hun ondersteunende processen (zoals de salarisadministratie) hoeven geen DPO aan te wijzen.
  • Het is in veel gevallen wel verstandig om een DPO te hebben; de “compliance” met de privacywetgeving is van toenemend belang voor een organisatie, ook vanwege de mogelijke reputatieschade en hoge administratieve boetes die de AP kan geven bij niet naleving. Vanaf mei 2018 worden die maar liefst tot EUR 10 000 000 of 2% van de wereldwijde jaaromzet bij ernstige inbreuken op de regels.
  • Een DPO moet volgens de AVG een onafhankelijke positie hebben en kan zowel in dienst zijn van een organisatie of worden ingehuurd.
  • De DPO moet een deskundige zijn op het gebied van privacywetgeving. Hij hoeft overigens niet gecertificeerd te zijn.
  • De belangrijkste taken van de DPO zijn het informeren en adviseren van de organisatie en haar werknemers over de verwerking van persoonsgegevens en het controleren van de naleving van de privacywetgeving.

Privacy Impact Assessments (PIA), Privacy by Design en Meldplicht Datalekken

  • Tot de overige verplichtingen in het kader van de verantwoordingsplicht hoort ook de verplichting om in sommige gevallen bij verwerking van zeer privacygevoelige informatie (zoals strafrechtelijke gegevens en gezondheidsgegevens) een Privacy Impact Assessment uit te voeren. Dit is een onderzoek naar de gevolgen voor de privacy. Zo nodig moet een partij na een PIA maatregelen nemen. De AP zal de komende periode beleidsregels formuleren voor de wijze waarop u aan de verplichting om PIA’s te doen kunt voldoen.
  • Verder moeten organisaties als ze een nieuw product of dienst ontwikkelen, steeds nagaan welke gevolgen dat product voor de privacy kan hebben en hoe de gevolgen zo veel mogelijk kunnen worden beperkt. Deze verplichting wordt ook wel “Privacy by design” genoemd. Ook de in Nederland al sinds begin 2016 geldende Meldplicht Datalekken is een maatregel die verantwoordingplicht van organisaties vorm geeft.

Wilt u meer weten over de verantwoordingsplicht en hoe u zich kan voorbereiden, neem dan contact op met het IT-en privacy team van Ploum.