Door Sander van Voorst

Nieuwsredacteur

De AVG komt eraan

Wat kun je er precies mee?

De andere kant

Als het goed is, ben je nu op de hoogte van jouw rechten en wat je mag verwachten als een organisatie om toestemming vraagt om jouw gegevens te verwerken. De AVG introduceert echter ook verplichtingen voor organisaties, waarvan we hier de belangrijkste behandelen. In dit deel kom je er bijvoorbeeld achter waarom sommige bedrijven opzien tegen de komst van de nieuwe regels.

Voor wie gelden de regels eigenlijk?

Soms lijkt het erop dat de regels uit de AVG alleen gelden voor grote bedrijven. Die indruk klopt niet, omdat de regels uit de verordening evengoed gelden voor de overheid, kleine organisaties en zzp’ers. Het enige verschil is dat sommige verplichtingen niet gelden, maar daarover later meer. De verordening is van toepassing zodra er persoonsgegevens worden verwerkt, met uitzondering van een persoon die dat doet bij het uitvoeren van een persoonlijke of huishoudelijke activiteit. Het bijhouden van een persoonlijk adressenboekje valt er bijvoorbeeld niet onder. Verder zijn er bijvoorbeeld uitzonderingen voor strafrechtelijke gegevens en de verwerking voor wetenschappelijke, journalistieke en artistieke doelen.

Het is ook goed om te beseffen dat de AVG niet voor de hele wereld geldt, maar grof gezegd voor organisaties die in de EU zijn gevestigd en hier gegevens verwerken of organisaties die buiten de EU zijn gevestigd en bijvoorbeeld diensten in de EU aanbieden en daarbij gebruikersdata verwerken. Denk hierbij onder meer aan Amerikaanse techbedrijven.

Beginselen

Zodra je dus persoonsgegevens verwerkt, moet je je aan bepaalde uitgangspunten houden. Dat was overigens ook al zo onder de Wbp. Die uitgangspunten komen terug in de AVG en laten goed zien wat het beleid is voor de omgang met jouw data.

Beginsel / uitgangspunt Toelichting
Verwerking moet rechtmatig, behoorlijk en transparant zijn Dit betekent dat de verwerking plaatsvindt op de eerdergenoemde gronden en dat het voor personen duidelijk is voor welk doel en op welke manier dit gebeurt.
Doelbinding Verwerking mag alleen plaatsvinden voor een duidelijk omschreven doel. Een organisatie kan dus niet de gegevens naderhand voor een heel ander doel gaan gebruiken, maar wel voor een doel dat verenigbaar is met het oorspronkelijke oogmerk.
Minimale gegevensverwerking Als een organisatie persoonsgegevens verwerkt voor een bepaald doel, mogen daar niet meer of minder gegevens voor gebruikt worden dan nodig. Ook moeten de gegevens geschikt zijn voor dat doel.
Juistheid Een organisatie moet actuele en juiste gegevens verwerken. Daarom heb je ook de mogelijkheid om jouw gegevens in te zien en bijvoorbeeld te verbeteren.
Opslagbeperking Gegevens mogen niet eindeloos opgeslagen worden. Dat houdt in dat een organisatie ze moet verwijderen als ze niet meer nodig zijn voor het verzameldoel.
Integriteit en vertrouwelijkheid Organisaties moeten gegevens van ‘passende’ beveiliging voorzien en ze beschermen tegen vernietiging of verlies, bijvoorbeeld door een datalek. Je kunt hierbij denken aan encryptie- en hashingmaatregelen, maar ook het regelen van een back-upbeleid. Het begrip ‘passend’ is vrij vaag, maar houdt verband met het risico dat de verwerking van de gegevens met zich meebrengt, net als met de stand van de techniek en de kosten. Een wachtwoordendatabase met md5 hashen zit er dus, gelet op de stand van de techniek, niet meer in.

Maar wat is er dan nieuw?

Om de nieuwe regels niet vrijblijvend te laten en meer druk op organisaties uit te oefenen om er daadwerkelijk iets mee te doen, is er met de AVG een zogenaamde verantwoordingsplicht bijgekomen. Die houdt in dat organisaties ervoor verantwoordelijk zijn om bovenstaande beginselen daadwerkelijk in de praktijk te brengen en, belangrijker nog, moeten kunnen aantonen dat ze dit doen. Een toezichthouder zoals de Autoriteit Persoonsgegevens kan een organisatie vragen om dit aan te tonen.

Er zijn verschillende uitvloeisels van deze verantwoordingsplicht. Een daarvan is dat organisaties rekening moeten houden met privacy by design and by default. Dat wil zeggen dat ze van tevoren moeten nadenken hoe ze de principes in de praktijk gaan brengen via 'technische en organisatorische maatregelen'.

Daar komt bij dat organisaties met meer dan 250 werknemers een register moeten bijhouden waarin ze zogenaamde verwerkingsactiviteiten bijhouden. Naast informatie over zichzelf moeten ze daarin bijvoorbeeld opnemen wat voor gegevens ze voor welk doel verwerken, met wie deze gegevens worden gedeeld en welke beveiligingsmaatregelen ze hebben genomen. Ook is het verplicht om aan te kunnen tonen dat daadwerkelijk om toestemming is gevraagd, mocht een bedrijf deze grond gebruiken voor zijn verwerking. In de praktijk komt het er waarschijnlijk op neer dat ook veel organisaties met minder dan 250 werknemers een register moeten bijhouden, omdat ze pas van die verplichting zijn vrijgesteld als ze bijvoorbeeld 'incidenteel' persoonsgegevens verwerken. Als een bedrijf echter regelmatig gegevens van klanten verwerkt, zal dit al snel niet meer als incidenteel gelden.

Het zou goed kunnen dat de termen Functionaris Gegevensbescherming en Data Protection Impact Assessment iets zeggen. Kort gezegd komt het erop neer dat organisaties in bepaalde gevallen een dergelijke 'fg' moeten aanstellen, die er intern op toeziet dat de regels uit de AVG worden nageleefd en die als aanspreekpunt voor toezichthouders fungeert. Overheden en andere publieke organisaties zijn verplicht een persoon met deze functie in dienst te hebben na 25 mei. Een zogenaamd dpia is onder meer nodig als een organisatie een verwerking van persoonsgegevens wil uitvoeren die risico's met zich meebrengt. Het is een middel om ze ertoe te verplichten van tevoren de privacygevolgen in te schatten. Als daar uitkomt dat de verwerking een hoog risico met zich meebrengt, moet de organisatie de toezichthouder om advies vragen.

Waar ook veel over te doen is geweest, zijn de boetes die toezichthouders kunnen opleggen. Een boete kan oplopen tot maximaal 20 miljoen euro of vier procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger uitkomtEen boete kan oplopen tot maximaal 20 miljoen euro of vier procent van de wereldwijde jaaromzet. In het geval van Google-moederbedrijf Alphabet komt vier procent van de omzet van vorig jaar neer op ongeveer 4,4 miljard dollar. Daarbij moeten toezichthouders wel rekening houden met de omstandigheden van de overtreding. Een zodanig hoge boete zal dus lang niet in alle gevallen van toepassing zijn. Over grote bedrijven moeten we nog vermelden dat als ze gegevens in verschillende EU-landen verwerken, één toezichthouder het aanspreekpunt vormt. Deze kan samenwerken met toezichthouders in andere lidstaten.

Lees meer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee