Vanaf 25 mei 2018 is een nieuwe Europese verordening, de Algemene verordening gegevensbescherming (Avg), van toepassing. De verordening vervangt de Wet bescherming persoonsgegevens (Wbp). Vanaf die datum geldt dezelfde privacywetgeving in de hele Europese Unie (EU). Doel van de Avg is één Europees privacykader te creëren.
Directe werking
Een verordening heeft directe werking in heel Europa. De Avg wordt daarom niet omgezet in een Nederlandse wet. Er is wel een Nederlandse Implementatiewet Avg. Die is nodig, omdat de Avg op een aantal onderdelen ruimte laat voor nationale wetgeving. Voor de verzekeringsbranche regelt die Nederlandse implementatiewet bijvoorbeeld dat verzekeraars en intermediairs voor het afsluiten en beheren van verzekeringen een uitzondering genieten op het verbod om bijzondere persoonsgegevens te verwerken. De wet is nog niet aangenomen door het parlement, dus zekerheid is er nog niet.
Overgangsperiode
De Avg werd al op 4 mei 2016 gepubliceerd in het Publicatieblad van de Europese Unie en trad 20 dagen erna in werking. Maar de Avg is pas vanaf 25 mei 2018 van toepassing. Er zit 2 jaar tussen publicatie en toepassing. Die 2 jaren moeten organisaties en toezichthouders de ruimte bieden zich goed voor te bereiden op de Avg. Let op: tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.
Wat blijft gelijk aan Wbp?
De nieuwe regelgeving houdt wel vast aan de belangrijkste uitgangspunten van de Wbp (de Wbp is de Nederlandse uitwerking van een Europese privacyrichtlijn uit 1995). Wat we onder andere uit de Wbp terugzien in de nieuwe verordening:
- Doelbinding: voordat iemand persoonsgegevens verwerkt, moet het doel van het datagebruik bepaald zijn.
- Legitieme grondslag: gegevens mogen alleen verwerkt worden als daar een legitieme grondslag voor is. Een van die grondslagen is toestemming: er is pas sprake van geldige toestemming als deze vrij, specifiek en ondubbelzinnig is gegeven, nadat betrokkenen duidelijk geïnformeerd zijn over de reden van het verzoek.
- Persoonsgegevens: het onderscheid tussen gewone en bijzondere persoonsgegevens blijft gehandhaafd. Persoonsgegevens zijn onder de Avg nog steeds alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Die persoon heet in de Avg de ‘betrokkene’. Hierbij noemt de verordening niet alleen namen of identificatiegegevens als voorbeeld, maar ook locatiegegevens, ‘online identificators’ (zoals IP-adressen) en andere elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Bijzondere persoonsgegevens zijn gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, het lidmaatschap van een vakvereniging en strafrechtelijke gegevens. Wat onder een ‘gezondheidsgegeven’ moet worden verstaan, legt de Avg ook uit: niet alleen gegevens waarop het medisch beroepsgeheim rust (zoals de aard, oorzaak en de behandeling van de ziekte), maar ook gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen.
- ‘Verantwoordelijke’ en ‘bewerker’: het onderscheid tussen ‘verantwoordelijke en ‘bewerker’ was al aanwezig in de Wbp en keert terug in de Avg. Onder de Avg heet ‘bewerker’ dan wel ‘verwerker’.
Goed nieuws
Goed nieuws is dat de verordening niet alleen geldt voor bedrijven in Europa, maar ook voor iedereen die gegevens verwerkt om goederen of diensten aan te bieden in de EU (ongeacht of betrokkene daarvoor betaalt). Grote IT-bedrijven uit de VS die in Europa diensten aanbieden, vallen dus onder dezelfde privacyregels als Europese bedrijven.
Uitbreiding rechten van betrokkenen
Ook wordt de positie van betrokkenen versterkt door uitbreiding van het inzagerecht: zij hebben niet alleen recht op informatie over het doel van de verwerking, welke soorten gegevens zijn verwerkt, met wie die gegevens zijn gedeeld en waar de gegevens vandaan zijn gekomen. De verordening vereist dat verantwoordelijken hen nu ook moeten informeren over:
- de bewaartermijnen
- klachtrechten
- gegevensdoorgiften naar landen buiten de EU en
- of er geautomatiseerde besluitvorming en profilering plaatsvindt
Nieuwe rechten voor betrokkenen
Betrokkenen krijgen ook enkele nieuwe rechten:
- het recht om gegevens te laten wissen
- het recht op gegevensoverdraagbaarheid (dataportability) en
- het recht om de verwerking te beperken
Nieuwe verplichtingen voor verantwoordelijken
Ook voor verantwoordelijken zijn er nieuwe verplichtingen:
- aanleg verwerkingenregister: voorheen moesten bedrijven verwerkingen melden bij de Autoriteit Persoonsgegevens: die verplichting vervalt. Maar voortaan moeten verantwoordelijken wel zelf een verwerkingenregister aanleggen, waarin staat wie de gegevens verwerkt, met welke doeleinden, welke categorieën van betrokkenen en van persoonsgegevens worden verwerkt, wie de gegevens krijgen, wanneer gegevens worden gewist en welke maatregelen genomen zijn om de gegevens te beveiligen.
- uitvoeren van Privacy Impact Analyse (PIA): bedrijven moeten in bepaalde gevallen (als de privacyrisico’s potentieel groot zijn) verplicht een PIA doen, voor aanvang van de verwerking. In de PIA staat de levensloop van persoonsgegevens beschreven, vanaf het moment van verzamelen tot het moment van vernietiging van de betreffende persoonsgegevens. Daarnaast staat in de PIA waarom de verwerking noodzakelijk is, hoe deze invloed heeft op de privacy van betrokkenen en welke maatregelen genomen zijn om die impact zo klein mogelijk te maken.
- instellen van functionaris Gegevensbescherming (FG): veel bedrijven zullen in bepaalde situaties verplicht zijn een FG aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Avg.
Meer informatie
Als u meer wilt weten, neemt u dan eens een kijkje op de website van de Autoriteit Persoonsgegevens. Die autoriteit publiceerde onlangs nog een tienstappenplanvoor implementatie van de Avg.
De leergang Certified Compliance Officer (CCO) van NIBE-SVV geeft u meer inzicht in de verplichtingen die de wet- en regelgeving opleggen. Het in kaart brengen en beheersen van de compliancerisico’s van de organisatie is een belangrijk onderdeel van de opleiding.
Future-proof opleiden
Privacy is een onderwerp dat in de NEXT Academy een belangrijke plaats inneemt. Het aanbod van de Academy is zo samengesteld dat het perfect aansluit op de kennis, vaardigheden en competenties die nu en in de toekomst gevraagd worden. Zo weet u zeker dat u vandaag optimaal investeert in morgen. Enkele opleidingen:
- De opleiding Next Big Data Analytics van NIBE-SVV is speciaal bedoeld voor financieel dienstverleners die een heldere visie willen ontwikkelen op de (on)mogelijkheden van big data.
- De opleiding Privacy en Internetsecurity biedt inzicht in de risico’s die een organisatie online loopt en hoe men zich hiertegen kan wapenen.
- De opleiding Next Financial Skills besteedt aandacht aan integriteit, privacy en aan het op een verantwoorde manier geven van vernieuwd financieel advies.
Meer weten? Neem dan contact op met een van onze adviseurs via 035 - 6 568 172 of info@nibesvv.nl. Of neem een kijkje bij onze NEXT Academy.