maandag 2 april 2018

De rechten van burgers in het digitale tijdperk

Per 25 mei 2018 wordt nieuwe regelgeving inzake gegevensbescherming, die de (online) privacy van Europese burgers beter moet beschermen, van toepassing. Die burgers krijgen meer rechten. En aan organisaties die persoonsgegevens verwerken worden meer regels gesteld. Sta er eens even bij stil.


De nieuwe regelgeving onderscheidt vier rollen:
  • De persoon – jij en ik, als burger, medewerker, patiënt, vrijwilliger, lid, klant – wiens gegevens worden verwerkt, de betrokkene
  • De organisatie – jouw werkgever, leverancier of vereniging – die persoonsgegevens verwerkt, de verwerkingsverantwoordelijke (verder: de organisatie)
  • De dienstverlener aan wie een organisatie de gegevensverwerking heeft uitbesteed, de verwerker
  • De privacy-toezichthouder, in Nederland de Autoriteit Persoonsgegevens.

Bij persoonsgegevens wordt onderscheid gemaakt tussen:
  • Gewone gegevens, zoals naam, adres, e-mailadres, telefoonnummer en burgerservicenummer *)
  • Bijzondere gegevens, bijvoorbeeld inzake gezondheid of politieke opvattingen en ook genetische gegevens (DNA) en biometrische gegevens (vingerafdrukken)
  • Strafrechtelijke gegevens, zoals veroordelingen en verdenkingen.

Rechten van betrokkenen
Als betrokkene krijg je meer en verbeterde privacy-rechten, zoals:
  • Recht op inzage: je mag de gegevens inzien die organisaties van jou verwerken
  • Recht op correctie en verwijdering: je mag de gegevens die organisaties van jou verwerken wijzigen
  • Recht op dataportabiliteit: organisaties moeten zorgen dat jij je gegevens makkelijk kunt krijgen en vervolgens kan doorgeven aan een andere organisatie als je dat wilt
  • Recht op vergetelheid: je hebt het recht om online ‘vergeten’ te worden
  • Recht op beperking van de verwerking: je mag minder gegevens laten verwerken
  • Recht met betrekking tot geautomatiseerde besluitvorming en profilering: je hebt recht op een menselijke blik bij besluiten die over jou gaan
  • Recht om bezwaar te maken tegen de gegevensverwerking
  • Recht op duidelijke informatie over wat organisaties met jouw gegevens doen (informatieplicht). Veel organisaties publiceren op hun website een privacyverklaring.

Verantwoordingsplicht
Organisaties hebben een verantwoordingsplicht om aan te tonen dat zij voldoen aan de bescherming van het grondrecht van mensen op privacy. Die verantwoording wordt afgelegd met behulp van de volgende maatregelen.
  • Register van verwerkingsactiviteiten
  • Data protection impact assessment
  • Register van datalekken
  • Aantonen van toestemming van betrokkenen
  • Functionaris voor de gegevensbescherming.

Overzicht verwerkingen
Organisaties moeten hun gegevensverwerkingen in kaart brengen in een register van verwerkingsactiviteiten. Hierin documenteren zij welke persoonsgegevens zij verwerken en met welk doel zij dit doen, waar deze gegevens vandaan komen en met wie zij ze delen.

Data protection impact assessment
Bij grootschalige gegevensverwerking waarbij sprake is van een hoog privacy-risico voor de betrokkenen moet een organisatie een zogenaamd data protection impact assessment uitvoeren. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te nemen.

Meldplicht datalekken
Organisaties moeten alle datalekken documenteren en daarvan melding doen bij de Autoriteit Persoonsgegevens.

Toestemming
Voor de verwerking van persoonsgegevens is een grondslag nodig, bijvoorbeeld toestemming van de betrokkene. Organisaties moeten kunnen aantonen dat zij een geldige toestemming hebben gekregen. En dat het voor mensen net zo makkelijk is om hun toestemming in te trekken als om die te geven.
De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij wordt voldaan aan een aantal strengere eisen. Het verwerken van gegevens van kinderen tot 16 jaar mag alleen met toestemming van de ouders.

Voorbeeld: wanneer iemand zich via een online formulier aanmeldt als abonnee op een digitale nieuwsbrief, dan ontvangt betrokkene een bevestigingsmail met een link, die moet worden aangeklikt voordat het abonnement ingaat (en dit moet in het abonneebestand worden vastgelegd). De abonnee moet zich ook kunnen afmelden, wat doorgaans geregeld wordt via de link “afmelden” in de voetnoot van de betreffende nieuwsbrief.

Functionaris voor de gegevensbescherming
Organisaties kunnen verplicht zijn om een functionaris voor de gegevensverwerking aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de regelgeving. Deze functionaris is verplicht bij overheden en publieke organisaties, bij organisaties die op grote schaal individuen volgen en organisaties die bijzondere persoonsgegevens verwerken.

Privacy by design & privacy by default
Bij het ontwerpen van producten en diensten zorgt de aanbieder ervoor dat persoonsgegevens goed worden beschermd en dat niet meer gegevens worden verzamelt dan noodzakelijk voor het doel van de verwerking. En dat die gegevens niet langer worden bewaard dan nodig. Dit volgens het uitgangspunt privacy by design.
Privacy by default houdt in dat organisaties technische en organisatorische maatregelen nemen om te zorgen dat zij, als standaard, alléén persoonsgegevens verwerken die noodzakelijk zijn voor het specifieke doel dat zij willen bereiken. Bijvoorbeeld door:
  • een app niet de locatie van gebruikers te laten registeren als dat niet nodig is
  • op de website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken
  • als iemand zich op een nieuwsbrief abonneert niet meer gegevens te vragen dan nodig is.
Je kunt trouwens zelf de privacy-instellingen van je telefoon aanpassen, zoals locatiegegevens. Voor praktische hulp bij het aanpassen van de instellingen op je telefoon en computer: www.veiliginternetten.nl.

Verwerkersovereenkomsten
Organisaties die de gegevensverwerking hebben uitbesteed aan een verwerker moeten met zo’n dienstverlener een verwerkersovereenkomst afsluiten.

Tenslotte
De verjaardagskalender mag na 25 mei 2018 gewoon op het toilet blijven hangen, want de verwerking van persoonsgegevens voor puur persoonlijk gebruik is en blijft toegestaan.

*) Voor de grootschalige verwerking van BSN-nummers worden speciale regels verwacht.

Dit artikel dient uitsluitend ter bewustwording van de nieuwe privacywetgeving.
Meer informatie over de Algemene Verordening Gegevensbescherming (AVG), bijvoorbeeld welke eisen er gesteld worden aan een register van verwerkingsactiviteiten of aan een verwerkersovereenkomst en wanneer er minder of juiste aanvullende eisen gelden, is beschikbaar via de website van de Autoriteit Persoonsgegevens: www.autoriteitpersoonsgegevens.nl.
De volledige tekst van de verordening is online beschikbaar via: https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32016R0679.
En wie twijfelt over wat de AVG voor de eigen organisatie betekent consulteert een jurist.