Nieuwe privacy-wet: Hoe verschilt de AVG van de Wbp?

Inhoudsopgave

  1. Inleiding
  2. Lees verder op de volgende pagina
  3. Lees verder op de volgende pagina
25 mei is D-day voor organisaties die persoonsgegevens verwerken. Zij krijgen met de komst van de Algemene verordening gegevensbescherming (AVG of GDPR) meer (nieuwe) verplichtingen voor de kiezen. Hoe verschilt de AVG van de oude Wbp? We leggen de wetten naast elkaar en leggen uit waar je bij de overstap op moet letten.

Tekst: Lora Mourcous en Michiel van der Zijpp (SOLV-advocaten)

Per 4 mei 2016 is de AVG in werking getreden, en vanaf 25 mei dit jaar is de AVG ook daadwerkelijk van toepassing. Dat betekent dat vanaf die datum in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De Wbp komt dan automatisch te vervallen. Er zit dus een periode van twee jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig zodat organisaties en toezichthouders zich goed op de verordening kunnen voorbereiden.

De AVG introduceert een geheel nieuwe toepassingsregel. De verordening is namelijk ook van toepassing als er in de EU geen vestiging is van de verwerkingsverantwoordelijke of de verwerker . Dit is het geval als de verwerking van persoonsgegevens verband houdt met het aanbieden van goederen of diensten aan betrokkenen in de EU, ongeacht of een betaling door deze betrokkenen is vereist.

De verwerkingsverantwoordelijke is degene die beslist of en zo ja welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze. Denk bijvoorbeeld aan de werkgever die persoonsgegevens van werknemers in het personeelsdossier opslaat.

De verwerker is degene die ten behoeve en in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt zonder onder diens rechtstreeks gezag te staan. Een organisatie die bijvoorbeeld in opdracht van een bedrijf de salarisadministratie van dat bedrijf uitvoert, is een verwerker. Maar ook hosting-, SaaS- of clouddienstverleners zijn klassieke voorbeelden van verwerkers.

Ook geldt dat voor het monitoren van hun gedrag, voor zover dat gedrag in de EU plaatsvindt. Op deze manier vallen ook niet-Europese ondernemingen binnen het bereik van de AVG, om die reden dat ze erin hebben voorzien dat hun producten en/of diensten ook in een van de EU-lidstaten kunnen worden geleverd of bezorgd.

Zes grondslagen

Het verwerken van persoonsgegevens mag onder de AVG, net als onder de Wbp, alleen als de verwerkingsverantwoordelijke de gegevensverwerking steeds kan baseren op een van de zes in de AVG genoemde grondslagen, zoals toestemming van de betrokkene voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden, de uitvoering van een overeenkomst waarbij de betrokkene partij is of de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke. Kan de verwerkingsverantwoordelijke zijn gegevensverwerking niet baseren op een van die grondslagen, dan is het verwerken van persoonsgegevens niet toegestaan.

Voorbeelden van gerechtvaardigde belangen waarvoor het noodzakelijk kan zijn om persoonsgegevens te verwerken, zijn bijvoorbeeld het tegengaan van fraude, direct marketing, netwerk- en informatiebeveiliging, wetenschappelijk onderzoek of het uitoefenen van het recht op de vrijheid van meningsuiting of de vrijheid van informatie, waaronder in de media en de kunsten.

Ten aanzien van toestemming geldt onder de AVG uitdrukkelijk dat de verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Verder moet het verzoek om toestemming in begrijpelijke en toegankelijke vorm worden aangeboden, én in duidelijke en eenvoudige taal.

De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens

Voor het praktisch gebruik is het belangrijk dat de betrokkene zijn gegeven toestemming te allen tijde weer kan intrekken. Daarmee vervalt niet de grondslag voor de verwerking in het verleden, maar wel voor de toekomst.

Terwijl een verwerkingsverantwoordelijke zijn gegevensbescherming baseert op toestemming van de betrokkene, zal deze rekening moeten houden met de mogelijkheid tot intrekking daarvan en daarvoor een proces moeten inregelen, waarmee gevolg kan worden gegeven aan een intrekking. Dit moet in het ontwerp van de gegevensverwerking worden ingebed (privacy by design). Daarnaast moet het net zo makkelijk zijn om toestemming in te trekken als om die te geven.

Informatieplicht en transparante verwerking

Op hoofdlijnen geldt dat de AVG ten opzichte van de Wbp op het gebied van transparantie met name verschilt in de hoeveelheid te verstrekken informatie. De omvang van de informatieplicht wijzigt fors. Onder de Wbp moeten organisaties die persoonsgegevens gebruiken in elk geval de naam en het adres van de organisatie kenbaar maken en aangeven waarvoor de organisatie de gegevens gebruikt.

Daarnaast moet de organisatie nadere informatie verstrekken ‘voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen’. Meer zegt de Wbp niet over de informatieplicht.

De AVG daarentegen is daar concreter in. Organisaties moeten dan in elk geval informatie verstrekken over onder meer de identiteit en de contactgegevens van de verwerkingsverantwoordelijke, de contactgegevens van de functionaris voor gegevensbescherming en het doel en de rechtsgrond voor het gebruik van de gegevens.

Daarnaast omvat de informatieplicht de gerechtvaardigde belangen (zie kader) van de verantwoordelijke (indien de verwerking daarop is gebaseerd), de ontvangers van persoonsgegevens én of de gegevens (zullen) worden doorgegeven aan een land buiten de EU.

Organisaties moeten het volgende doen om een behoorlijke en transparante verwerking te waarborgen:

- Informatie verstrekken over de bewaartermijn van de gegevens;

- Betrokkenen inzage geven in de gegevens en rectificatie of wissen daarvan mogelijk maken, en het op verzoek beperken van de verwerking van deze gegevens;

- Betrokkenen kunnen bezwaar maken tegen de verwerking en hebben het recht op gegevensoverdraagbaarheid;

- De verleende toestemming kan worden ingetrokken;

- Een betrokkene de mogelijkheid bieden een klacht in te dienen bij de toezichthouder;

- Het bestaan van profilering of geautomatiseerde besluitvorming vermelden;

- Indien de gegevens niet via de betrokkene worden verkregen, moet de bron worden vermeld waar de persoonsgegevens vandaan komen.

Dataportabiliteit en privacy by design/default

De AVG kent verschillende rechten toe aan de betrokkenen en biedt meer middelen om de verwerking van hun persoonsgegevens te controleren en te beïnvloeden. Nieuwe rechten onder de AVG zijn bijvoorbeeld het recht om vergeten te worden, het recht op dataportabiliteit en het recht op beperking van de verwerking.

Dataportabiliteit, ook wel het recht op gegevensoverdraagbaarheid genoemd, houdt in dat betrokkenen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen verwerkt. Betrokkenen kunnen deze gegevens vervolgens zelf opslaan voor persoonlijk (her)gebruik of de gegevens doorgeven aan een andere organisatie, zoals bij de overstap van telecomprovider. Het doel van dit nieuwe recht is de positie van betrokkenen te versterken en hen meer controle over hun gegevens te geven.

Het gaat om persoonsgegevens die een organisatie met toestemming van de betrokkene verwerkt (zoals postadres, gebruikersnaam, leeftijd, et cetera) óf om een overeenkomst met de betrokkene uit te voeren. Onder dat laatste vallen bijvoorbeeld de muzieknummers die een gebruiker heeft afgespeeld via een dienst als Spotify. Het begrip gegevens moet ruim worden opgevat.

Naast de gegevens die een betrokkene actief heeft verstrekt, gaat het ook om gegevens die een betrokkene aan de organisatie heeft verstrekt door het gebruik van een bepaalde dienst. Denk hierbij aan iemands zoekgeschiedenis of locatiegegevens. De gegevens die een organisatie zelf heeft gegenereerd (bijvoorbeeld via data-analyse zoals het opstellen van een profiel), vallen niet onder het recht op dataportabiliteit.

Privacy by default: alleen persoonsgegevens mogen worden verwerkt die noodzakelijk zijn voor het beoogde doel van de verwerking

Nieuw onder de AVG is tevens dat gegevensbescherming door ontwerp (privacy by design) en door standaardinstellingen (privacy by default) verplicht zijn gesteld. Privacy by design betekent dat de bescherming van privacy, of eigenlijk de bescherming van persoonsgegevens, in het ontwerp van producten of diensten wordt meegenomen.

Privacy by default houdt in dat alleen persoonsgegevens mogen worden verwerkt die noodzakelijk zijn voor het beoogde doel van de verwerking. Voor het verzenden van een nieuwsbrief is het bijvoorbeeld niet relevant om te vragen naar de geboortedatum en een telefoonnummer.

Geschreven door: Redactie PCM op

Category: Expert, Overig

Tags: wet, mei, privacy, avg, 2018, wbp