Internationale regels m.b.t. verwerking van persoonsgegevens

Door toenemende digitalisering, is het steeds vanzelfsprekender om allerlei persoonlijke gegevens uit te wisselen met diverse partijen. Vaak bewust, maar ook vaak onbewust, zoals sociale media die allerlei persoonlijke informatie verzamelen, verwerken en doorverkopen aan andere partijen.  
Hierdoor worden consumenten zich ook steeds meer bewust van hun privacy: niet iedereen hoeft alles te weten. En mogen partijen wel alles van u weten en dat met iedereen delen?  Op Europees niveau zijn er privacyregels opgesteld. De regels gaan op 25 mei 2018 in.

Europese verordening
Sinds 1995 is er al een Europese privacyrichtlijn. Die was dringend aan vervanging toe. Op 4 mei 2016 is de richtlijn vervangen voor een verordening, die 20 dagen later is gepubliceerd: de General Data Protection Regulation (GDPR). In het Nederlands heet dit de Algemene Verordening Gegevensbescherming (AVG). Wij gebruiken hier alleen de afkorting AVG. Er was een overgangstermijn van 2 jaar, die op 25 mei 2018 afloopt. Vanaf dat moment moet elke organisatie binnen de Europese lidstaten voldoen aan deze AVG.

In Nederland is de voorloper van de AVG de Wet bescherming persoonsgegevens (Wbp). Na 25 mei 2018 vervalt deze, door inwerkingtreding van de AVG.

Versterking privacyrechten
Eén van de pijlers van de AVG is dat mensen meer mogelijkheden krijgen om voor zichzelf op te komen bij de verwerking van hun gegevens. Dit uit zich onder meer in de volgende uitbreidingen van hun rechten:

  • Toestemmingsvereiste
    Organisaties moeten bewijzen dat zij toestemming hebben voor het verwerken van de persoonsgegevens van mensen. Bovendien kan die toestemming net zo makkelijk weer worden ingetrokken, als die eenmaal is gegeven. Overigens kan het zo zijn dat een organisatie een andere (limitatief benoemde) ‘verwerkingsgrond’ heeft: een bepaalde reden om gegevens te verwerken, bijvoorbeeld omdat dit wettelijk is verplicht of omdat het noodzakelijk is voor de te verlenen dienst. In die gevallen is schriftelijk bewijs van toestemming niet altijd nodig.
  • Recht op vergetelheid
    Mensen hebben bovendien het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Na 25 mei 2018 kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.
    Uiteraard betekent het recht om te vragen om verwijdering niet, dat de organisatie deze verwijdering ook altijd kan doorvoeren. Op de uitzonderingen komen we later terug.
  • Recht op dataportabiliteit
    Mensen mogen hun door een organisatie verwerkte persoonsgegevens opvragen bij die organisatie. Zij ontvangen deze gegevens dan in een standaardformaat – dat noemt men ‘dataportabiliteit’ (= gegevensoverdracht). Mensen kunnen hierdoor hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

Gevolgen voor organisaties die persoonsgegevens verwerken

De impact op organisaties is groot. De hele organisatie moet zijn ingericht op de AVG. Er is namelijk een verantwoordingsplicht: die plicht houdt in dat de organisatie moet aantonen dat ze zich aan de wet houden. Houdt een organisatie zich er niet aan, dan kan ze een boete krijgen van € 20 miljoen of 4% van de wereldwijde omzet.

De versterking van de privacyrechten zoals hierboven omschreven, betekent onder meer dat organisaties:

  • Niet méér persoonsgegevens mag opvragen dan ze minimaal nodig hebben om te kunnen doen wat ze moeten doen.
  • De persoonsgegevens niet langer bewaren wordt, dan strikt noodzakelijk is.
  • De persoonsgegevens niet doorsturen naar andere partijen, als dit niet noodzakelijk is.
  • De persoonsgegevens niet gebruiken voor andere doeleinden dan het oorspronkelijke doel.
  • De klant duidelijk kunnen maken, hoe hun gegevens worden verwerkt en (eventueel) aan wie die gegevens worden doorgegeven (transparantieplicht).
  • Duidelijk moeten kunnen aangeven waarom bepaalde informatie nodig is.

Bovendien hebben klanten te allen tijde inzage in hun persoonsgegevens. Mocht iemand de juistheid van die persoonsgegevens betwisten, dan moet de organisatie op verzoek van die persoon de verwerking van zijn persoonsgegevens onmiddellijk stoppen.

Verwerkingseisen bijzondere persoonsgegevens

Gegevens over gezondheid zijn een voorbeeld van bijzondere persoonsgegevens. Voor bijzondere persoonsgegevens gelden extra strenge verwerkingseisen.

Instellingen en bedrijven die op grote schaal bijzondere persoonsgegevens verwerken, moeten een functionaris gegevensbescherming (FG) aanstellen. De AVG is niet heel exact over wat nu precies onder ‘grote schaal’ moet worden verstaan. Een ziekenhuis verwerkt zeker bijzondere persoonsgegevens op grote schaal. De exacte grenzen zullen de komende tijd duidelijker worden. De Europese privacy toezichthouders verwachten dat er een praktische standaard komt waarmee eenvoudig kan worden vastgesteld of er sprake is van grootschalige gegevensverwerking.

Sommige gegevensverwerkingen leveren een hoog privacy risico op voor de betrokken personen. Onder de AVG zijn instellingen en bedrijven in zo’n geval verplicht om een data protection impact assessment (DPIA) uit te voeren. Dit geldt niet voor individuele natuurlijke personen.

Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, zodat er maatregelen genomen kunnen worden om de risico’s te verkleinen.

Verwerkers van bijzondere persoonsgegevens moeten een register van verwerkingsactiviteiten bijhouden met daarin onder andere de aard van de bijgehouden gegevens en het soort verwerkingen dat zij doen.