Gebruikershulpmiddelen

Site-hulpmiddelen


algemene_verordening_gegevensbescherming

Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG) is één wetgeving voor de Europese Unie. Vandaar dat men ook spreekt van de Europese Privacyverordening. De Europese Privacyverordening is vastgesteld op 25 mei 2016. Daarin staat genoemd dat de verordening in werking treedt op 25 mei 2018.

Een verordening, zoals de AVG, legt rechtstreeks verplichtingen op aan de lidstaten. Hierdoor is er sprake van één, uniforme wetgeving. In het geval van de AVG is er ruimte om eigen regels vast te stellen voor arbeid, zorg en sociale zekerheid.

Zie voor de volledige tekst Algemene Verordening Gegevensbescherming.

De verordening behelst in grote lijnen een verbetering van de privacyrechten van personen en meer verantwoordelijkheden voor organisaties (met bijbehorende sancties). De sleutelbegrippen in de AVG zijn privacy en gegevensverwerking. Het gebied waarop in waarin de AVG van toepassing is, is ruim. Dat geldt voor de verantwoordelijke en zijn vestigingen, en voor de bewerkers van de gegevens. Ook het toepasssingsgebied van de betrokkenen in vergroot. Het is niet relevant of de betrokkene voor een product of dienst betaalt.

Aon: Wat is de Europese Privacy Verordening en waarom moet u snel in actie komen?

De belangrijkste punten (volgens Justitia.nl)

1)

Documentatieplicht: bijhouden register

De bewerker en de verantwoordelijke moeten een register bijhouden met daarin een beschrijving van de verwerking van persoonsgegevens. Zo'n register moet op elk moment een actueel en compleet inzicht geven, zoals: wat wordt opgeslagen, doel van de opslag, bewaartermijn, beveiligingsmaatregelen. Voor organisaties met minder dan 250 medewerkers is het register niet verplicht, uitgezonderd bij structurele verwerking van persoonsgegevens of bij aanzienlijke risico's voor de betrokkenen.

Informering van de betrokkene

Een aspect dat op veel plaatsen in de AVG terugkomt is de informering van de personen. Dat kan zijn bij het opslaan van gegevens, inclusief de reden van opslag. Ook bij het toepassen van profilering of koppeling met andere bestanden, of bij verwerving van gegevens uit andere bronnen. Hierbij moet de betrokkene gewezen worden op de rechten die hij heeft voor inzage, intrekking toestemming, wijziging en verwijdering. Dit geldt ook voor werknemers.

Toestemming van de betrokkene Wanneer toestemming vereist is (als grondslag voor gegevensverwerking) dan moet die toestemming expliciet worden gegeven. In de AVG staat in overweging 32:

“Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt.”

Impliciete toestemming wordt verbannen, het vooraf aanvinken van een optie is verboden. Voor het verkrijgen van toestemming moet duidelijke en begrijpelijke taal worden gebruikt. Het intrekken van toestemming moet even eenvoudig zijn als het geven ervan. Een voorbeeld is een privacy statement: die moet zo zijn opgesteld dat een gebruiker begrijpt wat er met zijn persoonsgegevens gebeurt. Verwerken van persoonsgegevens zonder toestemming is mogelijk, als er dringende noodzaak voor is. In dat geval kan hiertegen bezwaar gemaakt worden.

Profilering

Speciale aandacht is er voor profilering, onder welke voorwaarden dit is toegestaan, wanneer toestemming nodig is van de betrokkenen en wat de rechten zijn van de betrokkenen.

Vergeetrecht, verwijderen van informatie

Een individu heeft het recht om vergeten te worden. De verantwoordelijke moet bij collega’s die deze data van hem hebben gekregen, ze ook daar laten verwijderen. Een betrokkene kan op verzoek een kopie van zijn data in een portable formaat krijgen (enkele uitzonderingen daargelaten). Deze datakopie kan gebruikt worden om elders te importeren. Sancties: hoge boetes Onder de AVG kunnen hoge boetes worden opgelegd: tot 20 miljoen euro, of 4% van de wereldwijde jaaromzet van een organisatie als die hoger uitvalt. In veel gevallen zal eerst een waarschuwing of een bindende aanwijzing worden gegeven. De maximale boetes moeten vooral een afschrikkend effect hebben.

Opmerkingen over de Europese Privacywetgeving

  • Voor politie en justitie bestaat een aparte richtlijn voor gegevensbescherming bij opsporing en vervolging. Het OM en opsporingsinstanties zijn vrijgesteld van de AVG.
  • Opsporing en vervolging. Deze richtlijn is alleen voor politie en justitie bedoeld.Er is een aparte richtlijn voor gegevensbescherming bij opsporing
  • Multinationals hebben te maken met een leading authoritity, Dat is de autoriteit in het land waar het hoofdkantoor is gevestigd. Die coördineert de handhaving met de overige toezichthouders.
  • Leeftijdsgrens voor toestemming door minderjarigen kan worden verlaagd van 16 jaar tot minimaal 13 jaar.
  • Systemen die extra aandacht verdienen zijn: werknemers- en salarisadministraties, klantenadministraties zoals CRM en patiëntenadministraties / medische gegevens.
algemene_verordening_gegevensbescherming.txt · Laatst gewijzigd: 2017/04/02 23:07 door richard