Deze Verordening, die onze Wet bescherming persoonsgegevens zal vervangen én ervoor gaat zorgen dat in de EU dezelfde regels gelden op het gebied van privacy, neemt een definitieve vorm aan. Op 14 april 2016 heeft het Europees Parlement de AVG goedgekeurd. Onlangs heb ik geschreven over de inwerkingtreding van de meldplicht datalekken. Deze meldplicht loopt al vooruit op de Europese meldplicht, die er met de AVG zal komen. Maar wat gaat er eigenlijk veranderen met de komst van de AVG? Hieronder de belangrijkste punten op een rij.
De meldplicht
De meldplicht datalekken in de AVG zal de Nederlandse meldplicht bij inwerkingtreding vervangen. Net als nu zal een datalek binnen 72 uur aan de toezichthouder moeten worden gemeld. Als het lek waarschijnlijk een hoog risico inhoudt voor de betrokkenen dan moeten zij ook van het lek op de hoogte worden gesteld. Een verschil met onze huidige meldplicht, is dat alleen een “daadwerkelijk” lek bij de toezichthouder gemeld moet worden. Bij de huidige meldplicht is een incident al een datalek wanneer de onrechtmatige verwerking van persoonsgegevens niet uitgesloten kan worden.
Privacy officer
In de Wbp is het aanstellen van een ‘privacy officer’ niet verplicht. De privacy officer moet toezicht houden op de omgang met persoonsgegevens binnen een organisatie. Onder de AVG zal het aanstellen van zo’n functionaris verplicht worden voor overheidsinstanties en organisaties die stelselmatig op grote schaal personen observeren of bijzondere persoonsgegevens verwerken.
Bewerkersovereenkomst
In de Wbp was het sluiten van een bewerkersovereenkomst (dit wordt met de AVG verwerkersovereenkomst) al verplicht. In de AVG staan echter een aantal punten die opgenomen moeten worden in deze overeenkomst:
- de doeleinden van de gegevensverwerking;
het soort persoonsgegevens dat verwerkt wordt;
- de categorieën van betrokkenen op wie de gegevens zien;
- het passend beveiligen van de gegevens;
- het uitvoeren van audits;
- het na afloop vernietigen of terugleveren van de gegevens aan de verantwoordelijke.
Daarnaast mag de bewerker niet meer een externe partij inschakelen voor het verwerken van persoonsgegevens vóórdat hij toestemming heeft gekregen van de verantwoordelijke.
Privacy by design and by default
Dit betekent dat uw producten en diensten ‘privacy proof’ moeten zijn. Dit kan bijvoorbeeld door pseudonimisering toe te passen en door alleen noodzakelijke persoonsgegevens te verwerken. De standaardinstellingen van een product of dienst moeten altijd zo privacy vriendelijk mogelijk zijn.
Privacy Impact Assessment (PIA)
In de PIA wordt vastgelegd waarom, op welke manier en hoelang er persoonsgegevens verwerkt worden. De risico’s worden in kaart gebracht en beoordeeld. Het uitvoeren van een PIA is verplicht wanneer het verwerken van persoonsgegevens, met name door middel van nieuwe technologieën, risico’s met zich meebrengt voor betrokkenen. Het is in ieder geval verplicht bij profiling, grootschalige verwerking van bijzondere persoonsgegevens of monitoring van openbare ruimten.
Bijhouden register
De verantwoordelijke en bewerker van persoonsgegevens zullen een schriftelijk of elektronisch register moeten bijhouden, waarin de activiteiten worden omschreven waarbij persoonsgegevens worden verwerkt. Dit register is niet verplicht voor organisaties met minder dan 250 medewerkers, tenzij er stelselmatig (bijzondere) persoonsgegevens worden verwerkt, of de verwerking een risico voor de betrokkenen inhoudt.
Het volgende moet in ieder geval in het register worden opgenomen:
- de contactgegevens;
- de doeleinden van de gegevensverwerking;
- de categorieën van betrokkenen;
- de ontvangers van de gegevens;
- de beveiligingsmaatregelen;
- en de bewaartermijnen.
Wanneer komt hij?
De goedgekeurde AVG moet eerst gepubliceerd worden om in werking te treden. Daarna geldt twee jaar een overgangsrecht voordat de verordening daadwerkelijk gehandhaafd zal worden in de lidstaten. Hier is het van belang om aan te stippen dat de AVG een EU verordening is en daarmee (in tegenstelling tot richtlijnen) rechtstreeks geldig zal zijn in Nederland.
Bron: Status Algemene Verordening Gegevensbescherming (AVG) en 'Blog Enkele vragen omtrent de meldplicht datalekken'