Persoonsgegevens en privacywetgeving
Als u leden, partners of vrijwilligers bijhoudt in een administratie, beschikt u over gegevens (data) van die personen. Voor de omgang met en verwerking van zulke gegevens bestaan wettelijke regels. Die gaan bovendien veranderen: per 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) in plaats komen van de Wet bescherming persoonsgegevens. Al bij het versturen van een offerte, factuur of een nieuwsbrief dient u rekening te houden met deze verordening. Organisaties zijn verplicht meer transparantie en informatie te bieden over hun verwerking van persoonsgegevens. Daarbij moeten zij toestemming krijgen van de betrokkenen.
Wat wordt er verstaan onder het verwerken van gegevens?
Onder het verwerken van persoonsgegevens wordt verstaan: 'Elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, ….’
De AVG is van toepassing op alle persoonsgegevens. Verder onderscheidt de AVG genetische en biometrische gegevens; de zogenaamde bijzondere persoonsgegevens. Dat zijn gegevens als het ras, de godsdienst of de gezondheid van een persoon. Deze bijzondere persoonsgegevens worden extra beschermd door de AVG: het is verboden ze te verwerken, tenzij er een uitzondering op van toepassing is. Bij zo’n uitzondering moet er nadrukkelijk instemming zijn van de persoon waarover het gaat.
Wanneer mogen gegevens worden verwerkt?
Gegevens mogen worden verwerkt als er een rechterlijke grondslag voor is of als er toestemming is van de betrokkene. In beide gevallen moet de verwerking transparant zijn. De AVG bevat verschillende grondslagen voor de toelating van gegevensverwerking:
- als verwerking van de gegevens noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, zoals een huurcontract;
- als de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting, zoals loonaangifte;
- als de verwerking noodzakelijk is om de vitale belangen van de betrokkene of andere natuurlijke personen te beschermen, zoals voor het redden van een leven;
- als de verwerking noodzakelijk is voor de vervulling van een taak in het algemeen belang of in het kader van de uitoefening van openbaar gezag, zoals een APK-keuring.
Is geen van deze grondslagen van toepassing, dan is toestemming van de betrokkenen voor gegevensverwerking vereist. Geldige toestemming moet aan de volgende voorwaarden voldoen:
- De toestemming is vrijelijk gegeven.
- De toestemming is gericht op een specifiek doel waarover de betrokkene duidelijk is geïnformeerd.
- De betrokkene moet de toestemming elk moment kunnen intrekken.
Wat verandert er specifiek met de inwerkingtreding van de AVG?
De bestaande privacyrechten van ‘gebruikers’ van organisaties worden versterkt en uitgebreid:
- Er komen meer mogelijkheden voor personen om voor zichzelf op te komen bij de verwerking van persoonsgegevens.
- Organisaties moeten transparanter worden en meer inzicht in gegevensverwerking verlenen.
- Voor gebruikers moet het gemakkelijker worden hun toestemming eventueel in te trekken.
- Gebruikers hadden al het recht aan een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties aan wie deze gegevens zijn verstrekt. Hiervoor zijn de organisaties die de informatie hebben verstrekt verantwoordelijk.
- Gebruikers krijgen het recht op dataportabiliteit, oftewel op overdraagbaarheid van persoonsgegevens. Het verplicht de organisatie om een kopie daarvan te verstrekken in een standaardformaat: een gestructureerde, algemeen gebruikte, leesbare en interoperabele vorm. Bovendien moet de organisatie – indien technisch mogelijk – automatisch verwerkte gegevens op verzoek van de betrokkene rechtstreeks doorsturen naar een nieuwe partij.
Organisaties krijgen meer verantwoordelijkheden:
- Verantwoordingsplicht: organisaties moeten kunnen aantonen met wie en met welk doel zij persoonsgegevens delen.
- Organisaties krijgen eventueel een verplichting tot data protection impact assessment (DPIA). Dit instrument brengt privacyrisico’s van gegevensverwerking in kaart.
- Organisaties worden eventueel verplicht tot het aanstellen van een functionaris voor gegevensverwerking. Deze verplichting geldt voor organisaties van de rijksoverheid, gemeenten, provincies en zorg- en onderwijsinstellingen.
Dossier
U kunt hier een uitgebreid kennisdossier over de AVG downloaden.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens is in Nederland het orgaan dat toezicht houdt op het gebruik van persoonsgegevens door organisaties. Op de website www.autoriteitpersoonsgegevens.nl vindt u een uitgebreid dossier over de AVG. Ook kunt u de organisatie vragen stellen. Besteed bij het opstellen van een pr-plan voldoende aandacht aan de AVG!
Geraadpleegde bronnen
Bekijk hier de geraadpleegde bronnen.