• Brug tussen ondernemen en regelgeving

Algemene Verordening Gegevensbescherming

30 november 2017

Met ingang van 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) in Nederland van kracht zijn. De Wet bescherming persoonsgegevens zal dan niet langer gelden. De achtergrond van deze wijziging is gelegen in de opvatting van de Europese Commissie dat de lokale gegevensbescherming niet voldoet.

 

Er verandert veel. Het meest in het oog springend is de gigantische boetes die opgelegd kunnen worden, tot maar liefst €20 miljoen of 4% van de jaaromzet. Een groot pluspunt voor ondernemingen is dat een deel van de administratieve lasten wordt verminderd. En de verplichting om verwerkingen van persoonsgegevens te melden bij de lokale toezichthouders, in Nederland het College Bescherming Persoonsgegevens, zal verdwijnen. In plaats daarvan zullen ondernemingen zelf een overzicht moeten bijhouden van alle verwerkingen van persoonsgegevens.

 

Ondernemingen hebben, onder omstandigheden, de plicht om persoonsgegevens te verwijderen, indien daar door een natuurlijke persoon om wordt gevraagd. Dit wordt ook wel het “recht om vergeten te worden” genoemd. Opvallend is dat het verbod om de verwerking van identificatienummers wordt opgeheven. Zo kunnen ondernemingen – in beginsel – dus ook het burgerservicenummer (BSN) verwerken. Alhoewel dat in de praktijk (ten onrechte!) al vaak werd gedaan, opent dit mogelijkheden voor ondernemingen om een extra identificatie te doen. Overigens staat bepaald niet vast dat ondernemingen BSN-nummers zonder verdere voorwaarden kunnen gebruiken. De Nederlandse overheid kan aanvullende voorwaarden stellen aan het gebruik van deze persoonsunieke gegevens.

 

Enkele wijzigingen op een rijtje:

  • er is een registerplicht om alle verwerkingsactiviteiten bij te houden;
  • er moet een intern privacybeleid worden opgesteld;
  • voor risicovolle verwerkingen zullen Privacy Impact Assessments (PIA’s) moeten worden uitgevoerd;
  • er zijn gedetailleerde verplichtingen met betrekking tot het afsluiten van bewerkersovereenkomsten opgenomen;
  • de categorie bijzondere persoonsgegevens wordt uitgebreid met genetische gegevens en biometrische gegevens.
  • de reeds bestaande meldplicht datalekken wordt uitgebreid; en
  • in bepaalde gevallen dient een onderneming een functionaris voor de gegevensbescherming (FG) aan te stellen.

 

Heeft u vragen? Neem dan contact met ons op

 

Persoonsgegevens en de Algemene Verordening Gegevensbescherming