Wijzigingen privacyrecht: klaar voor de GDPR?
Met ingang van 25 mei 2018 wordt de huidige Wet bescherming persoonsgegevens vervangen door nieuwe privacyregelgeving: de Algemene Verordening Gegevensbescherming / General Data Protection Regulation (hierna: “de GDPR”). De nieuwe regels gelden binnen Europa voor iedereen die persoonsgegevens verwerkt of deze in opdracht laat verwerken.
Met welke nieuwe regels moet onder andere rekening worden gehouden?
- Alle bedrijfsprocessen met betrekking tot de verwerking van persoonsgegevens moeten gedocumenteerd worden. Aan de Autoriteit Persoonsgegevens moet daarnaast kunnen worden aangetoond dat organisatorische en technische beveiligingsmaatregelen zijn genomen die in overeenstemming zijn met de GDPR (artikel 24 van de GDPR). Organisaties met 250 of meer werknemers houden een zogenoemd verwerkingsregister bij, maar ook organisaties waarbij de verwerking aanzienlijke privacy risico’s meebrengt of organisaties waarvan de verwerking niet incidenteel is. Dit leidt ertoe dat praktisch iedere organisatie verplicht is een verwerkingsregister bij te houden (artikel 30 van de GDPR).
- Update je privacy policy. Het is daarnaast niet langer voldoende een privacy policy enkel door de betrokkene te laten accepteren. Indien de verwerking van persoonsgegevens afhankelijk is van toestemming van de betrokkene, houd er dan rekening mee dat aangetoond moet worden dat de betrokkene expliciet met de verwerking van zijn persoonsgegevens heeft ingestemd. Zorg daarom dat de betrokkene verklaart dat hij de privacy policy niet alleen accepteert, maar ook dat de privacy policy is gelezen (artikel 7 van de GDPR).
- Indien een betrokkene een beroep doet op het ‘recht om vergeten te worden’, moet de verantwoordelijke zorgen dat de gegevens van de betrokkene ook verwijderd worden door derden aan wie de gegevens zijn doorgegeven (artikel 28 van de GDPR). Pas daarom tijdig de bewerkersovereenkomsten aan en houd er daarbij rekening mee dat de medewerking van bewerkers om aan dit vereiste te kunnen voldoen, voor de verantwoordelijke essentieel is.
- Bedrijven die als kernactiviteit hebben: “verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen”, of op grote schaal bijzondere categorieën van persoonsgegevens verwerken, moeten een functionaris voor de gegevensbescherming aanstellen die toeziet op de naleving van de GDPR (artikel 37 van de GDPR).
- Indien de verwerking van persoonsgegevens een groot privacy risico oplevert voor de betrokkenen, dient een privacy impact assessment (PIA) uitgevoerd te worden. Dat is bijvoorbeeld aan de orde bij het op grote schaal verwerken van bijzondere persoonsgegevens of het verweken van gegevens verkregen door cameratoezicht in de openbare ruimte. De PIA verschaft inzicht in die privacy risico’s, zodat passende beveiligingsmaatregelen genomen kunnen worden (artikel 35 van de GDPR).
- Verwerkers hoeven geen algemene melding meer te maken bij de Autoriteit Persoonsgegevens indien zij persoonsgegevens verwerken. Let op: dit is een andere meldplicht dan de meldplicht over datalekken zoals opgenomen in artikel 33 van de GDPR. Ingeval van een datalek dient de verantwoordelijke direct, indien mogelijk binnen 72 uur, melding te maken bij de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor betrokkenen van wie gegevens gelekt zijn. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking.
De boete bij overtreding van de GDPR kan oplopen tot € 20 miljoen per overtreding of 4% van de wereldwijde jaaromzet.
Vragen over de implementatie van de GDPR of assistentie nodig bij de uitvoering? Neem vrijblijvend contact op met onze ICT- & Privacyrecht specialisten Lars Bakers en Josine Smits.
De volledige tekst lees van de GDPR is hier terug te lezen:
