Home > Oplossingen > Privacy check > Privacy wet- en regelgeving

Privacy wet- en regelgeving

Vrijwel elk bedrijf verwerkt persoonsgegevens. Denk aan de salaris- en personeelsadministratie, klantenbestanden, gegevens van sollicitanten, maar ook aan cameratoezicht en fysieke dossiers. Daarbij behoort een organisatie zich te houden aan geldende wet- en regelgeving rond privacy, bescherming en beveiliging van persoonsgegevens.

  • Kent u de geldende wet- en regelgeving en voldoet u daaraan?
  • Treft u al maatregelen om straks klaar te zijn voor de AVG?
  • Of loopt u kans op ernstig verwijtbare nalatigheid, reputatieschade en claims?

Wet bescherming persoonsgegevens

De belangrijkste bepalingen voor de omgang met persoonsgegevens zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Deze zijn als volgt samen te vatten:

  • persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt;
  • persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn;
  • degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
  • de gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.

Privacyrechten

In de huidige wet- en regelgeving hebben betrokkenen de volgende rechten:

  • recht op informatie;
  • recht op inzage;
  • recht op correctie en verwijdering;
  • recht op verzet.

Recht op informatie

Organisaties zijn wettelijk verplicht informatie te geven aan personen van wie zij persoonsgegevens gebruiken. Zij moeten deze mensen informeren welke gegevens zij gebruiken, met welk doel en of zij de gegevens aan andere organisaties verstrekken.

Recht op inzage

Mensen hebben recht op inzage in hun persoonsgegevens. Dat houdt in dat zij een organisatie mogen vragen of deze persoonsgegevens van hen heeft vastgelegd en zo ja, welke. Zij hoeven geen reden te geven voor een inzageverzoek. Vraagt iemand om inzage, dan moet de organisatie diegene op een duidelijke en begrijpelijke manier laten weten:

  • of de organisatie zijn persoonsgegevens gebruikt, en zo ja:
  • om welke gegevens het gaat;
  • wat het doel is van het gebruik;
  • aan wie de organisatie de gegevens eventueel heeft verstrekt;
  • wat de herkomst is van de gegevens, als deze bekend is.

Recht op correctie en verwijdering

Mensen hebben het recht om correctie van hun persoonsgegevens te vragen. Dat houdt in dat zij een organisatie mogen vragen hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Iemand kan om correctie vragen als zijn persoonsgegevens:

  • feitelijk onjuist zijn;
  • onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld;
  • op een andere manier in strijd met een wet worden gebruikt.

Recht op verzet

Mensen hebben het recht aan een organisatie te vragen hun persoonsgegevens niet meer te gebruiken. Dit heet het recht van verzet. Het is ten eerste van toepassing als een organisatie persoonsgegevens gebruikt voor marketingdoeleinden. Ten tweede kan iemand ook om bijzondere persoonlijke redenen van het recht van verzet gebruik maken.

 

Meldplicht datalekken

Per 1 januari 2016 is aan de Wbp een verplichting toegevoegd: de meldplicht datalekken. De meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. De AP houdt toezicht op naleving van de geldende wet- en regelgeving en kan boetes opleggen bij het niet melden van een ernstig datalek.

Algemene Verordening Gegevensbescherming

In 2016 is overeenstemming bereikt over een nieuwe Europese privacyverordening, de Algemene Verordening Gegevensbescherming (AVG). Deze is op 25 mei 2016 aangenomen en is vanaf 25 mei 2018 daadwerkelijk van toepassing. Vanaf die datum geldt dezelfde privacywetgeving in de hele EU. Tot die tijd gelden de nationale privacywetten.

Er is dus een overgangsperiode van 2 jaar, bedoeld om organisaties en toezichthouders de kans te geven zich voor te bereiden op de nieuwe wet. De AVG behelst een aanzienlijke verscherping van bestaande wet- en regelgeving. Ook gaan hoge boetes gelden bij het niet naleven van de bepalingen in de AVG.

De AVG zorgt onder meer voor:

  • versterking en uitbreiding van privacyrechten;
  • meer verantwoordelijkheden voor organisaties;
  • dezelfde bevoegdheden voor alle Europese privacytoezichthouders.

Versterking en uitbreiding van privacyrechten

Door de AVG krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden versterkt en uitgebreid. In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.
 
Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten. Zij hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen. Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.
 

Meer verantwoordelijkheden voor organisaties 

Als de AVG van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability). Organisaties hebben daarom een verantwoordingsplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.
 

Boetes

Overtreedt een organisatie de AVG, dan kan de toezichthouder (in Nederland is dat de Autoriteit Persoonsgegevens) een boete opleggen van maximaal 20 miljoen euro of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
 

Doe de privacy-check: hoe compliant is uw bedrijf?

Toets uw kennis en bepaal zelf of u voldoende maatregelen heeft genomen of kans loopt op ernstige verwijtbare nalatigheid.
 
Privacy-check