Nieuwe privacy-wet: Hoe verschilt de AVG van de Wbp?

Inhoudsopgave

  1. Inleiding
  2. Lees verder op de volgende pagina
  3. Lees verder op de volgende pagina

Profilering en geautomatiseerde besluitvorming

De AVG definieert profilering als ‘elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen’.

Ten aanzien van geautomatiseerde besluitvorming bepaalt de AVG, in een daarvoor specifieke bepaling, dat betrokkenen het recht hebben om niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit, dat een maatregel kan behelzen — over persoonlijk hem betreffende aspecten, waaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft, zoals de automatische weigering van een online ingediende kredietaanvraag of van verwerking van sollicitaties via internet zonder menselijke tussenkomst.

Zo is het opleggen van boetes door middel van camera’s een vorm van geautomatiseerde besluitvorming, maar omvat een dergelijke beslissing geen profilering. Dat is wel het geval als het rijgedrag van de bestuurder over een bepaalde periode wordt gemonitord, waarbij de hoogte van de boete afhankelijk is van een beoordeling van andere factoren, zoals het antwoord op de vraag of de snelheidsovertreding eerder heeft plaatsgevonden en of de bestuurder andere verkeersovertredingen heeft begaan.

Functionaris gegevensbescherming

Organisaties kunnen onder de AVG ook verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dat is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Op grond van de AVG is een FG in drie situaties verplicht. Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de Rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.

Ten tweede geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoelang de organisatie mensen volgt.

Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dat een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, afkomst, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Conclusie

Boetes onder de AVG zijn hoger dan onder de Wbp. In geval van overtreding van de AVG, kan de AP een boete opleggen van maximaal 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Aangezien 25 mei 2018 met rasse schreden dichterbij komt, is het voor organisaties raadzaam om nu alvast te onderzoeken of de huidige (bedrijfs)processen, diensten en producten op bepaalde punten dienen te worden aangepast om te voldoen aan de AVG. Met bovenstaande uiteenzetting van de belangrijkste wijzigingen die de AVG met zich meebrengt, hebben wij hopelijk de gemiddelde organisatie een steuntje in rug kunnen geven op weg naar het volledig en tijdig voldoen aan de aanstormende AVG.

Geschreven door: Redactie PCM op

Category: Expert, Overig

Tags: 2018, mei, Wet, Privacy, wbp, Avg