Nieuwe privacy-wet: Hoe verschilt de AVG van de Wbp?

25 mei is D-day voor organisaties die persoonsgegevens verwerken. Zij krijgen met de komst van de Algemene verordening gegevensbescherming (AVG of GDPR) meer (nieuwe) verplichtingen voor de kiezen. Hoe verschilt de AVG van de oude Wbp? We leggen de wetten naast elkaar en leggen uit waar je bij de overstap op moet letten.

Tekst: Lora Mourcous en Michiel van der Zijpp (SOLV-advocaten)

Per 4 mei 2016 is de AVG in werking getreden, en vanaf 25 mei dit jaar is de AVG ook daadwerkelijk van toepassing. Dat betekent dat vanaf die datum in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De Wbp komt dan automatisch te vervallen. Er zit dus een periode van twee jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig zodat organisaties en toezichthouders zich goed op de verordening kunnen voorbereiden.

De AVG introduceert een geheel nieuwe toepassingsregel. De verordening is namelijk ook van toepassing als er in de EU geen vestiging is van de verwerkingsverantwoordelijke of de verwerker . Dit is het geval als de verwerking van persoonsgegevens verband houdt met het aanbieden van goederen of diensten aan betrokkenen in de EU, ongeacht of een betaling door deze betrokkenen is vereist.

De verwerkingsverantwoordelijke is degene die beslist of en zo ja welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze. Denk bijvoorbeeld aan de werkgever die persoonsgegevens van werknemers in het personeelsdossier opslaat.

De verwerker is degene die ten behoeve en in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt zonder onder diens rechtstreeks gezag te staan. Een organisatie die bijvoorbeeld in opdracht van een bedrijf de salarisadministratie van dat bedrijf uitvoert, is een verwerker. Maar ook hosting-, SaaS- of clouddienstverleners zijn klassieke voorbeelden van verwerkers.

Ook geldt dat voor het monitoren van hun gedrag, voor zover dat gedrag in de EU plaatsvindt. Op deze manier vallen ook niet-Europese ondernemingen binnen het bereik van de AVG, om die reden dat ze erin hebben voorzien dat hun producten en/of diensten ook in een van de EU-lidstaten kunnen worden geleverd of bezorgd.

Zes grondslagen

Het verwerken van persoonsgegevens mag onder de AVG, net als onder de Wbp, alleen als de verwerkingsverantwoordelijke de gegevensverwerking steeds kan baseren op een van de zes in de AVG genoemde grondslagen, zoals toestemming van de betrokkene voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden, de uitvoering van een overeenkomst waarbij de betrokkene partij is of de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke. Kan de verwerkingsverantwoordelijke zijn gegevensverwerking niet baseren op een van die grondslagen, dan is het verwerken van persoonsgegevens niet toegestaan.

Voorbeelden van gerechtvaardigde belangen waarvoor het noodzakelijk kan zijn om persoonsgegevens te verwerken, zijn bijvoorbeeld het tegengaan van fraude, direct marketing, netwerk- en informatiebeveiliging, wetenschappelijk onderzoek of het uitoefenen van het recht op de vrijheid van meningsuiting of de vrijheid van informatie, waaronder in de media en de kunsten.

Ten aanzien van toestemming geldt onder de AVG uitdrukkelijk dat de verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Verder moet het verzoek om toestemming in begrijpelijke en toegankelijke vorm worden aangeboden, én in duidelijke en eenvoudige taal.

De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens

-

Voor het praktisch gebruik is het belangrijk dat de betrokkene zijn gegeven toestemming te allen tijde weer kan intrekken. Daarmee vervalt niet de grondslag voor de verwerking in het verleden, maar wel voor de toekomst.

Terwijl een verwerkingsverantwoordelijke zijn gegevensbescherming baseert op toestemming van de betrokkene, zal deze rekening moeten houden met de mogelijkheid tot intrekking daarvan en daarvoor een proces moeten inregelen, waarmee gevolg kan worden gegeven aan een intrekking. Dit moet in het ontwerp van de gegevensverwerking worden ingebed (privacy by design). Daarnaast moet het net zo makkelijk zijn om toestemming in te trekken als om die te geven.

Informatieplicht en transparante verwerking

Op hoofdlijnen geldt dat de AVG ten opzichte van de Wbp op het gebied van transparantie met name verschilt in de hoeveelheid te verstrekken informatie. De omvang van de informatieplicht wijzigt fors. Onder de Wbp moeten organisaties die persoonsgegevens gebruiken in elk geval de naam en het adres van de organisatie kenbaar maken en aangeven waarvoor de organisatie de gegevens gebruikt.

Daarnaast moet de organisatie nadere informatie verstrekken ‘voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen’. Meer zegt de Wbp niet over de informatieplicht.

De AVG daarentegen is daar concreter in. Organisaties moeten dan in elk geval informatie verstrekken over onder meer de identiteit en de contactgegevens van de verwerkingsverantwoordelijke, de contactgegevens van de functionaris voor gegevensbescherming en het doel en de rechtsgrond voor het gebruik van de gegevens.

Daarnaast omvat de informatieplicht de gerechtvaardigde belangen (zie kader) van de verantwoordelijke (indien de verwerking daarop is gebaseerd), de ontvangers van persoonsgegevens én of de gegevens (zullen) worden doorgegeven aan een land buiten de EU.

Organisaties moeten het volgende doen om een behoorlijke en transparante verwerking te waarborgen:

Dataportabiliteit en privacy by design/default

De AVG kent verschillende rechten toe aan de betrokkenen en biedt meer middelen om de verwerking van hun persoonsgegevens te controleren en te beïnvloeden. Nieuwe rechten onder de AVG zijn bijvoorbeeld het recht om vergeten te worden, het recht op dataportabiliteit en het recht op beperking van de verwerking.

Dataportabiliteit, ook wel het recht op gegevensoverdraagbaarheid genoemd, houdt in dat betrokkenen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen verwerkt. Betrokkenen kunnen deze gegevens vervolgens zelf opslaan voor persoonlijk (her)gebruik of de gegevens doorgeven aan een andere organisatie, zoals bij de overstap van telecomprovider. Het doel van dit nieuwe recht is de positie van betrokkenen te versterken en hen meer controle over hun gegevens te geven.

Het gaat om persoonsgegevens die een organisatie met toestemming van de betrokkene verwerkt (zoals postadres, gebruikersnaam, leeftijd, et cetera) óf om een overeenkomst met de betrokkene uit te voeren. Onder dat laatste vallen bijvoorbeeld de muzieknummers die een gebruiker heeft afgespeeld via een dienst als Spotify. Het begrip gegevens moet ruim worden opgevat.

Naast de gegevens die een betrokkene actief heeft verstrekt, gaat het ook om gegevens die een betrokkene aan de organisatie heeft verstrekt door het gebruik van een bepaalde dienst. Denk hierbij aan iemands zoekgeschiedenis of locatiegegevens. De gegevens die een organisatie zelf heeft gegenereerd (bijvoorbeeld via data-analyse zoals het opstellen van een profiel), vallen niet onder het recht op dataportabiliteit.

Privacy by default: alleen persoonsgegevens mogen worden verwerkt die noodzakelijk zijn voor het beoogde doel van de verwerking

-

Nieuw onder de AVG is tevens dat gegevensbescherming door ontwerp (privacy by design) en door standaardinstellingen (privacy by default) verplicht zijn gesteld. Privacy by design betekent dat de bescherming van privacy, of eigenlijk de bescherming van persoonsgegevens, in het ontwerp van producten of diensten wordt meegenomen.

Privacy by default houdt in dat alleen persoonsgegevens mogen worden verwerkt die noodzakelijk zijn voor het beoogde doel van de verwerking. Voor het verzenden van een nieuwsbrief is het bijvoorbeeld niet relevant om te vragen naar de geboortedatum en een telefoonnummer.

Gezamenlijke verwerkingsverantwoordelijke

De AVG bevat een specifiek artikel over ‘gezamenlijke verantwoordelijke’ waarin verplichtingen zijn opgenomen. Wanneer twee of meer verantwoordelijken tezamen het doel en de middelen van de verwerking bepalen, zijn zij gezamenlijk verantwoordelijk voor de verwerking. Zij dienen op transparante wijze hun respectievelijke verantwoordelijkheid in een onderlinge regeling vast te leggen.

Met name de rechten van betrokkenen en de informatieplicht aan betrokkenen zijn hierbij belangrijk. In de regeling mag een aanspreekpunt worden aangewezen. Ook moet de regeling informatie bevatten over de rollen van de verantwoordelijken en de relatie tegenover betrokkenen. De essentie van de regeling moet voor de betrokkene beschikbaar zijn. De betrokkene mag zijn rechten echter uitoefenen jegens elke verwerkingsverantwoordelijke.

Verwerkersovereenkomst en documentatieplicht

De AVG bevat uitgebreide voorschriften over de verhouding tussen de verwerkingsverantwoordelijke en de verwerker, en het inschakelen van een verwerker. Daarnaast wordt gedetailleerd voorgeschreven waaraan een verwerkersovereenkomst moet voldoen. De dwingend voorgeschreven invulling van een verwerkersovereenkomst is nieuw ten opzichte van de Wbp. Deze onderwerpen bevatten ook een aantal geëxpliciteerde plichten voor de verwerker.

Een voorbeeld van deze plichten is om de persoonsgegevens uitsluitend te verwerken op basis van de schriftelijke instructies van de verwerkingsverantwoordelijke. Een nieuwe vereiste ten opzichte van de Wbp is dat verwerkers geen sub-verwerker in dienst mogen nemen zonder voorafgaande toestemming van de verwerkingsverantwoordelijke. In het geval van een algemene autorisatie moet de verantwoordelijke worden ingelicht bij het voornemen om een sub-verwerker te vervangen of nieuw aan te stellen, om de verantwoordelijke de kans te geven dit te verwerpen.

Met de komst van de AVG hoeven organisaties hun gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP). Verwerkingsverantwoordelijken en verwerkers hebben onder de AVG wel een documentatieplicht. Dit houdt in dat een organisatie met documenten moet kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Elke organisatie dient medewerking te verlenen aan de toezichthoudende autoriteit en dit register desgevraagd te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten.

Met de komst van de AVG hoeven organisaties hun gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP), maar er is wel documentatieplicht

-

Dat register bevat onder meer de naam en contactgegevens van de verantwoordelijke en (indien aanwezig) van de functionaris voor gegevensbescherming (FG). Ook bevat dit register de doeleinden van de verwerking, een beschrijving van de categorieën van betrokkenen (degenen van wiens persoonsgegevens worden verwerkt), van de categorieën van persoonsgegevens (bijvoorbeeld naw-gegevens, BSN, financiële gegevens en e-mailadressen), de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, doorgiften van persoonsgegevens aan een land buiten de Europese Economische Ruimte (EER), met inbegrip van de vermelding van dat land, de termijnen waarbinnen de verschillende categorieën van gegevens worden gewist en een beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Ook de verwerker dient een register bij te houden van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat onder meer de naam en de contactgegevens van de verwerker en van iedere verwerkingsverantwoordelijke voor wie de verwerker handelt. Ook een eventuele FG dient in het register te worden opgenomen.

Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen bevat de AVG een uitzondering voor dergelijke organisaties wat betreft het bijhouden van registers. De documentatieplicht is niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is of de verwerking bijzondere categorieën van gegevens (bijvoorbeeld medische gegevens) betreft.

Privacy impact assessment en bijzondere persoonsgegevens

Organisaties kunnen onder de AVG verplicht zijn een privacy impact assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te kunnen brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Een PIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy-risico voor de betrokkenen oplevert. De Europese toezichthouder heeft een lijst van criteria opgesteld om hierbij te helpen. Zo is een PIA verplicht indien een organisatie systematisch en uitvoerig persoonlijke aspecten evalueert.

Het gaat hierbij onder meer om profilering en het maken van prognoses, met name op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen. Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring), een bedrijf dat DNA-tests aan consumenten levert om gezondheidsrisico’s te testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.

Voorbeelden zijn een bank die de kredietwaardigheid van klanten bepaalt of een bedrijf dat DNA-tests aan consumenten levert

-

Het kan hierbij ook gaan om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld door middel van cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien is het voor betrokkenen lastig om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.

Een PIA kan ook noodzakelijk zijn als de organisatie op grote schaal bijzondere persoonsgegevens verwerkt, zoals informatie over iemands gezondheid of politieke voorkeuren. Ook strafrechtelijke gegevens vallen hieronder, net als gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

Indien een organisatie verschillende gegevensverzamelingen aan elkaar koppelt of met elkaar combineert, kan een PIA verplicht zijn om de risico’s vast te stellen. Het kan hierbij bijvoorbeeld gaan om databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verwerkingsverantwoordelijken.

Profilering en geautomatiseerde besluitvorming

De AVG definieert profilering als ‘elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen’.

Ten aanzien van geautomatiseerde besluitvorming bepaalt de AVG, in een daarvoor specifieke bepaling, dat betrokkenen het recht hebben om niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit, dat een maatregel kan behelzen — over persoonlijk hem betreffende aspecten, waaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft, zoals de automatische weigering van een online ingediende kredietaanvraag of van verwerking van sollicitaties via internet zonder menselijke tussenkomst.

Zo is het opleggen van boetes door middel van camera’s een vorm van geautomatiseerde besluitvorming, maar omvat een dergelijke beslissing geen profilering. Dat is wel het geval als het rijgedrag van de bestuurder over een bepaalde periode wordt gemonitord, waarbij de hoogte van de boete afhankelijk is van een beoordeling van andere factoren, zoals het antwoord op de vraag of de snelheidsovertreding eerder heeft plaatsgevonden en of de bestuurder andere verkeersovertredingen heeft begaan.

Media has no description

© PXimport

Functionaris gegevensbescherming

Organisaties kunnen onder de AVG ook verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dat is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Op grond van de AVG is een FG in drie situaties verplicht. Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de Rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.

Ten tweede geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoelang de organisatie mensen volgt.

Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dat een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, afkomst, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Conclusie

Boetes onder de AVG zijn hoger dan onder de Wbp. In geval van overtreding van de AVG, kan de AP een boete opleggen van maximaal 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Aangezien 25 mei 2018 met rasse schreden dichterbij komt, is het voor organisaties raadzaam om nu alvast te onderzoeken of de huidige (bedrijfs)processen, diensten en producten op bepaalde punten dienen te worden aangepast om te voldoen aan de AVG. Met bovenstaande uiteenzetting van de belangrijkste wijzigingen die de AVG met zich meebrengt, hebben wij hopelijk de gemiddelde organisatie een steuntje in rug kunnen geven op weg naar het volledig en tijdig voldoen aan de aanstormende AVG.

Deel dit artikel
Voeg toe aan favorieten