Nieuwe privacy-wet: Hoe verschilt de AVG van de Wbp?

Inhoudsopgave

  1. Inleiding
  2. Lees verder op de volgende pagina
  3. Lees verder op de volgende pagina

Gezamenlijke verwerkingsverantwoordelijke

De AVG bevat een specifiek artikel over ‘gezamenlijke verantwoordelijke’ waarin verplichtingen zijn opgenomen. Wanneer twee of meer verantwoordelijken tezamen het doel en de middelen van de verwerking bepalen, zijn zij gezamenlijk verantwoordelijk voor de verwerking. Zij dienen op transparante wijze hun respectievelijke verantwoordelijkheid in een onderlinge regeling vast te leggen.

Met name de rechten van betrokkenen en de informatieplicht aan betrokkenen zijn hierbij belangrijk. In de regeling mag een aanspreekpunt worden aangewezen. Ook moet de regeling informatie bevatten over de rollen van de verantwoordelijken en de relatie tegenover betrokkenen. De essentie van de regeling moet voor de betrokkene beschikbaar zijn. De betrokkene mag zijn rechten echter uitoefenen jegens elke verwerkingsverantwoordelijke.

Verwerkersovereenkomst en documentatieplicht

De AVG bevat uitgebreide voorschriften over de verhouding tussen de verwerkingsverantwoordelijke en de verwerker, en het inschakelen van een verwerker. Daarnaast wordt gedetailleerd voorgeschreven waaraan een verwerkersovereenkomst moet voldoen. De dwingend voorgeschreven invulling van een verwerkersovereenkomst is nieuw ten opzichte van de Wbp. Deze onderwerpen bevatten ook een aantal geëxpliciteerde plichten voor de verwerker.

Een voorbeeld van deze plichten is om de persoonsgegevens uitsluitend te verwerken op basis van de schriftelijke instructies van de verwerkingsverantwoordelijke. Een nieuwe vereiste ten opzichte van de Wbp is dat verwerkers geen sub-verwerker in dienst mogen nemen zonder voorafgaande toestemming van de verwerkingsverantwoordelijke. In het geval van een algemene autorisatie moet de verantwoordelijke worden ingelicht bij het voornemen om een sub-verwerker te vervangen of nieuw aan te stellen, om de verantwoordelijke de kans te geven dit te verwerpen.

Met de komst van de AVG hoeven organisaties hun gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP). Verwerkingsverantwoordelijken en verwerkers hebben onder de AVG wel een documentatieplicht. Dit houdt in dat een organisatie met documenten moet kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Elke organisatie dient medewerking te verlenen aan de toezichthoudende autoriteit en dit register desgevraagd te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten.

Met de komst van de AVG hoeven organisaties hun gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP), maar er is wel documentatieplicht

Dat register bevat onder meer de naam en contactgegevens van de verantwoordelijke en (indien aanwezig) van de functionaris voor gegevensbescherming (FG). Ook bevat dit register de doeleinden van de verwerking, een beschrijving van de categorieën van betrokkenen (degenen van wiens persoonsgegevens worden verwerkt), van de categorieën van persoonsgegevens (bijvoorbeeld naw-gegevens, BSN, financiële gegevens en e-mailadressen), de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, doorgiften van persoonsgegevens aan een land buiten de Europese Economische Ruimte (EER), met inbegrip van de vermelding van dat land, de termijnen waarbinnen de verschillende categorieën van gegevens worden gewist en een beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Ook de verwerker dient een register bij te houden van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat onder meer de naam en de contactgegevens van de verwerker en van iedere verwerkingsverantwoordelijke voor wie de verwerker handelt. Ook een eventuele FG dient in het register te worden opgenomen.

Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen bevat de AVG een uitzondering voor dergelijke organisaties wat betreft het bijhouden van registers. De documentatieplicht is niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is of de verwerking bijzondere categorieën van gegevens (bijvoorbeeld medische gegevens) betreft.

Privacy impact assessment en bijzondere persoonsgegevens

Organisaties kunnen onder de AVG verplicht zijn een privacy impact assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te kunnen brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Een PIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy-risico voor de betrokkenen oplevert. De Europese toezichthouder heeft een lijst van criteria opgesteld om hierbij te helpen. Zo is een PIA verplicht indien een organisatie systematisch en uitvoerig persoonlijke aspecten evalueert.

Het gaat hierbij onder meer om profilering en het maken van prognoses, met name op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen. Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring), een bedrijf dat DNA-tests aan consumenten levert om gezondheidsrisico’s te testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.

Voorbeelden zijn een bank die de kredietwaardigheid van klanten bepaalt of een bedrijf dat DNA-tests aan consumenten levert

Het kan hierbij ook gaan om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld door middel van cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien is het voor betrokkenen lastig om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.

Een PIA kan ook noodzakelijk zijn als de organisatie op grote schaal bijzondere persoonsgegevens verwerkt, zoals informatie over iemands gezondheid of politieke voorkeuren. Ook strafrechtelijke gegevens vallen hieronder, net als gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

Indien een organisatie verschillende gegevensverzamelingen aan elkaar koppelt of met elkaar combineert, kan een PIA verplicht zijn om de risico’s vast te stellen. Het kan hierbij bijvoorbeeld gaan om databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verwerkingsverantwoordelijken.

Geschreven door: Redactie PCM op

Category: Expert, Overig

Tags: 2018, mei, Wet, Privacy, wbp, Avg