Door toenemende digitalisering, social media, big data en een groeiende toegankelijkheid van informatie, is de grens tussen privacy en het openbare domein steeds moeilijker te bepalen. In 2018 vervangt een Europese verordening onze nationale wetgeving op het terrein van de gegevensbescherming. Wat is nu het wettelijke kader voor onze privacy waarborgen en wat gaat hier in veranderen?

 

Grondrecht

Privacy is een grondrecht. Volgens artikel 10 van onze Grondwet heeft een ieder recht op eerbiediging van zijn of haar persoonlijke levenssfeer. Artikel 10 schrijft voor dat er bij wet regels moeten worden gesteld ter bescherming van deze persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Ook het Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM) en het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR) schrijven voor de bescherming van persoonsgegevens bij wet te regelen (zie art. 8 EVRM en art. 17 IVBPR).

 

Wet bescherming persoonsgegevens

De wet die deze regels stelt is de Wet bescherming persoonsgegevens (Wbp). Kort gezegd geeft de Wbp regels voor de verwerking van persoonsgegevens. Van het verwerken van persoonsgegevens is sprake bij praktisch iedere handeling ten aanzien van deze gegevens, zoals het verzamelen, vastleggen, bewaren, wijzigen, opvragen, raadplegen, doorzenden, verstrekken of vernietigen van persoonsgegevens.
De Wbp bevat een verbod op de verwerking van zogeheten ‘bijzondere persoonsgegevens’. Dat zijn persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging. Verwerking van deze gegevens is verboden behoudens een aantal in de Wbp opgenomen uitzonderingen.
De Wbp schrijft voor dat van een geautomatiseerde verwerking van persoonsgegevens melding moet worden gemaakt bij de Autoriteit Persoonsgegevens (AP). Omdat deze meldplicht in de praktijk een behoorlijke last kan zijn voor de bedrijfsvoering, zijn er vrijstellingen van deze meldplicht voor onder meer bepaalde verwerkingen door organisaties (ledenadministraties), werkgevers (personeelsadministraties, salarisadministraties etc.), de zorg en het onderwijs.

De AP kan onderzoek instellen naar mogelijke overtredingen van de Wbp en kan ook zelfstandig handhavend optreden bij geconstateerde overtredingen, onder meer door het opleggen van een bestuurlijke boete (zie art. 66 Wbp). Deze boete kan in een individueel geval maximaal € 820.000,- bedragen.

 

AVG

Met ingang van 25 mei 2018 komt de Wbp te vervallen en treedt in de plaats hiervan de Europese Algemene verordening gegevensbescherming (AVG) in werking. Deze verordening vervangt de nationale wetgeving op het terrein van de gegevensbescherming binnen de EU.
De maximale boete die de AP kan opleggen gaat onder de AVG flink omhoog: € 20.000.000,-. Maar ook inhoudelijk wijzigt de regelgeving. Zo komt de generieke meldplicht uit de Wbp te vervallen en krijgen de betrokkenen (de mensen op wie de persoonsgegevens betrekking hebben) meer rechten, zoals het recht om vergeten te worden (verwijderen van de persoonsgegevens) en het recht om de persoonsgevens in een standaardformaat te ontvangen wat weer eenvoudig doorgezet kan worden. Ook wordt er onder de AVG meer gevraagd van organisaties. Ze moeten zich tegenover de AP aan de hand van documentatie kunnen verantwoorden over het treffen van voldoende organisatorische en technische maatregelen. Organisaties moeten kunnen aantonen dat ze voldoende voorzorgsmaatregelen hebben getroffen om de AVG na te leven en persoonsgegevens te beveiligen. Ook kan de AVG een organisaties verplichten een zogeheten Data protection impact assessment (DPIA) uit te voeren en/of een functionaris voor gegevensbescherming aan te stellen.

 

Klaar voor de AVG?

Gelet op deze wijzigingen is het noodzakelijk dat uw organisatie tijdig vaststelt of ze per 25 mei 2018 voldoet aan de nieuwe regelgeving op het gebied van gegevensverwerking. De financiële gevolgen van een klacht, een onderzoek of een datalek kunnen immers aanzienlijk zijn.
Wilt u weten welke aanpassingen nodig zijn in uw bedrijfsprocessen en reglementen? Of wilt u weten of u een assessment moet uitvoeren of een functionaris moet aanstellen onder de nieuwe regelgeving? Wij kijken graag met u mee. Neem contact op voor een vrijblijvend gesprek.