Nieuwe privacywetgeving AVG

Per 25 mei 2018 gelden de nieuwe privacyregels vastgelegd in de AVG. Dit betekent voor u als bedrijf of organisatie dat u zich moet houden aan een veelheid van regels rondom de bescherming van de privacy van uw werknemers en klanten. Feitelijk van alle betrokkenen.

In Nederland geldt reeds de Wet Bescherming Persoonsgegevens (Wbp). Inhoudelijk niet extreem anders dan de AVG. Toch merken we dat bedrijven en organisaties nu nerveus worden door de invoering van de AVG. Waarschijnlijk heef dit te maken met de zeer hoge boetes die opgelegd kunnen worden indien u de privacy regels niet in acht neemt. Schending van de privacy kan u dus duur komen te staan.

Grootste veranderingen t.o.v. Wbp
Ten opzichte van de Wbp kent de AVG enkele ‘nieuwe’ punten:
1: Dataportabiliteit.
2: Recht om vergeten te worden.
3: Toestemming.

Dataportabiliteit 
Betrokkenen (klanten, werknemers etc.) hebben onder de huidige wetgeving het recht om inzage te vragen in de persoonsgegevens die u als bedrijf of organisatie heeft verwerkt en opgeslagen. Onder de AVG is dit niet anders. Echter, betrokkenen hebben door de komst van de AVG ook het recht om deze persoonsgegevens te verkrijgen. U als organisatie of bedrijf moet dus op verzoek van de betrokkene de gegevens verstrekken.

Deze gegevensverstrekking moet digitaal gedaan (kunnen) worden op dusdanige wijze dat betrokkenen dit kunnen lezen. Met andere woorden, de gegevens uit uw administratiesysteem moeten omgezet worden naar een voor een ieder leesbaar formaat. Dit betekent in de meeste gevallen dat een investering in de ICT voorzieningen noodzakelijk is om te kunnen voldoen aan de dataportabiliteit.

Recht om vergeten te worden 
Betrokkenen kunnen vragen om wijziging van de geregistreerde persoonsgegevens. Onder de AVG kunnen betrokkenen ook vragen om deze gegevens te vernietigen. Uw organisatie of bedrijf moet aan dit verzoek voldoen. Bijvoorbeeld in het geval als de gegevens niet meer nodig zijn voor uw bedrijf or organisatie. Of als de betrokkene (de verzoeker) de eerder gegeven toestemming voor het verwerken en registreren van zijn persoonsgegevens intrekt.

An sich zou een dusdanig verzoek en het vernietigen van de gegevens wellicht geen problemen moeten opleveren. Het probleem is echter vaak dat er sprake is van tegengestelde belangen tussen betrokkenen en uw organisatie of bedrijf. Daarnaast ontstaan er veelal praktische bezwaren, omdat meerdere (persoons)gegevens met elkaar verweven zijn. Gegevens van één individuele betrokkene kan door deze verwevenheid soms niet of zeer moeilijk losgekoppeld en vernietigd worden.

Toestemming 
Een organisatie of bedrijf moet toestemming krijgen van de betrokkenen van wie persoonsgegevens worden verwerkt. In de AVG staan specifieke voorwaarden opgenomen waaraan deze toestemming moet voldoen, wil deze geldig zijn. De gedachte achter het toestemmingsvereiste is onder andere dat betrokkenen makkelijker hun toestemming moeten kunnen intrekken om zo hun recht om vergeten te worden kunnen laten gelden.