Privacywetgeving wordt steeds belangrijker in onze samenleving. Zeker als het gaat om IT gerelateerde zaken. Omdat mensen tegenwoordig zoveel online zijn en in de digitale wereld vrijwel alles gemeten en geregistreerd kan worden, is het belangrijk dat dat gereguleerd wordt. Het privacy-recht is een zeer dynamisch rechtsgebied en veranderingen volgen elkaar relatief snel op om bij te blijven bij de ontwikkelingen in de maatschappij (en de IT-sector in het bijzonder).

Het uitgangspunt van het privacy-recht is dat alle vormen van verwerking van persoonsgegevens voldoet aan strikte richtlijnen. Deze gegevens mogen normaal gesproken alleen verzameld en/of verwerkt worden als de betrokkene van tevoren geïnformeerd is. De gegevens mogen ook alleen voor het oorspronkelijke doel verwerkt worden, niet te lang bewaard worden en dienen goed beveiligd te worden. Als u geen bijzonder goede (in de privacywetgeving expliciet genoemde) reden heeft om persoonsgegevens te verwerken, dient u van tevoren expliciet toestemming te vragen. Het College Bescherming Persoonsgegevens houdt toezicht op de privacywetgeving en kan (hoge) dwangsommen of boetes opleggen.

 

Wat is verwerking van persoonsgegevens?

Van het verwerken van persoonsgegevens is al heel snel sprake, bijvoorbeeld wanneer personeels- en klantengegevens worden bijgehouden of bij het gebruikmaken van camerabewaking enzovoort.
Privacy-recht en de Algemene Verordening Gegevensbescherming (AVG)

Eind mei 2018 werden deze regels door een nieuwe Europese verordening – de Algemene Verordening Gegevensbescherming – aangescherpt. De plichten en verantwoordelijkheden van bedrijven die persoonsgegevens verwerken werden met de inwerkingtreding van deze verordening groter.

De AVG schrijft voor dat persoonsgegevens alleen mogen worden verwerkt op basis van een geldige wettelijke grondslag, bijvoorbeeld met toestemming van de betrokkene of ter uitvoering van een overeenkomst.
Daarnaast mogen gegevens alleen worden verwerkt als dit noodzakelijk is voor het doel van de verwerking. De persoonsgegevens moeten op een adequate manier worden beveiligd. Journalisten hebben ruimer mogelijkheden om persoonsgegevens te verwerken op grond van het wetsvoorstel uitvoeringswet AVG, anders kunnen zij namelijk gehinderd worden in hun publieke taak. Zo kan toestemming voor het verwerken van persoonsgegevens door een betrokkene worden ingetrokken. Dit kan echter niet tegenover een journalist. Daarnaast kan de betrokkene zijn rechten om bijvoorbeeld persoonsgegevens in te zien of te verwijderen niet tegenover een journalist laten gelden.

 

Verplichtingen voor bedrijven

Als een bedrijf persoonsgegevens verwerkt moeten bedrijven aan de Autoriteit Persoonsgegevens kunnen aantonen dat aan alle vereisten wordt voldaan (de verantwoordingsplicht). Een bedrijf moet daarom in elk geval een register van persoonsgegevens bijhouden, waarin onder meer wordt omschreven van welke categorieën betrokkenen persoonsgegevens worden verwerkt, welke categorieën persoonsgegevens worden verwerkt en met wie deze gegevens worden gedeeld.

Daarnaast moet een datalekregister worden bijgehouden waarin alle gemelde datalekken worden opgenomen, van een foutief verstuurde brief met persoonsgegevens tot een hackaanval waarbij persoonsgegevens ongeautoriseerd zijn ingezien of zelfs gestolen. Als het niet onaannemelijk is dat de datalek een risico inhoudt voor degene om wiens gegevens het gaat moet ook melding worden gemaakt aan de Autoriteit Persoonsgegevens. Gaat het zelfs om een hoog risico, dan moeten ook de betrokkenen worden geïnformeerd.

Omdat een bedrijf moet kunnen aantonen dat persoonsgegevens integer worden verwerkt moeten alle partijen die persoonsgegevens verwerken voor het bedrijf (bijvoorbeeld de accountant) verwerkersovereenkomsten tekenen waarin zij garanderen een hoog (technisch) beveiligingsniveau te handhaven die de persoonsgegevens beschermen. Ook moeten bedrijven weten hoe moet worden omgegaan met bijvoorbeeld een verzoek tot inzage of rectificatie van persoonsgegevens van een betrokkene.

Is uw organisatie al compliant met de AVG? Le Poole Bekema kan u adviseren over verwerkersovereenkomsten en bij het opstellen van een datalekprotocol. Heeft u te maken met de Autoriteit Persoonsgegevens? Ook dan kunnen de advocaten privacy-recht van Le Poole Bekema u bijstaan.