Algemene verordening gegevensbescherming
Algemene verordening gegevensbescherming
In de EU hebben landen wetten om de privacy van haar burgers te beschermen. Deze wetten hebben allemaal de Europese privacy verordening van 1995 als basis. Deze laatste is herzien en gaat nu gelden voor alle EU landen. Daarmee worden de verschillende privacy wetten gelijk getrokken in de Europese Unie.
In Nederland gebruiken we hiervoor de naam “ algemene verordening gegevensbescherming” die per mei 2018 van toepassing zal gaan worden. De Wet Bescherming Persoonsgegevens (WBP) maakt daarmee plaats voor de AVG.
Verschillen AVG vs WBP
Wat zijn de opvallende verschillen tussen de AVG en de WBP?
- Er hoeft geen melding meer gemaakt te worden bij de Autoriteit Persoonsgegevens van het verwerken van gegevens. Wel moet men de zorgvuldige verwerking nog steeds kunnen aantonen (documentatie plicht).
- Het melden van datalekken is opgenomen in de AVG. Voor ons in Nederland zal er niet veel veranderen, daar sinds 2016 de wet meldplicht datalekken actief is.
- In de nieuwe verordening wordt het verplicht dat een organisatie een Privacy Impact Assessment (PIA) zal uitvoeren. Dit geldt als er bijzondere persoonsgegevens worden verwerkt. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens omtrent godsdienst, ras, politieke voorkeur, medische gegevens, gegevens omtrent een strafrechtelijk verleden en als er burger service nummers (BSN) worden gebruikt in de gegevensverwerking.
- Nagenoeg alle overheidsorganisaties dienen een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Eveneens dienen organisaties die sterk leunen in het primaire bedrijfsproces op het verwerken van persoonsgegevens een FG te benoemen.
De laatste twee punten, de Privacy Impact Assessment en het aanstellen van een functionaris voor de gegevensverwerking, zijn daarmee wijzigingen waar veel organisaties concreet iets mee zullen moeten gaan doen.
Privacy Impact Assessment
Deze assessment is bedoelt om de risico’s bij het verwerken van persoonsgegevens te kunnen beoordelen en op basis hiervan te analyseren of er afdoende maatregelen zijn getroffen. Een goede uitleg omtrent de PIA en een vragenlijst om deze te kunnen uitvoeren is op de website van het NOREA te vinden. http://www.norea.nl/Norea/Actueel/Nieuws/PIA+nieuwe+versie.aspx
Functionaris voor de gegevensverwerking
De taken van de FG zullen bestaan uit het toezicht houden, overzicht houden en adviseren. Voor veel organisaties zal het daarmee de vraag zijn of dit een gecombineerde functie mag zijn? De eisen zijn dat een FG voldoende kennis moet hebben van de materie, betrouwbaar moet zijn en als belangrijkste onafhankelijk de werkzaamheden moet kunnen uitvoeren.