Algemene verordening gegevensbescherming (AVG)

Door toenemende digitalisering, is het steeds vanzelfsprekender om allerlei persoonlijke gegevens uit te wisselen met diverse partijen. Vaak bewust, maar ook vaak onbewust, zoals sociale media die allerlei persoonlijke informatie verzamelen, verwerken en doorverkopen aan andere partijen. Hierdoor worden consumenten zich steeds meer bewust van hun privacy: niet iedereen hoeft alles te weten. Mogen partijen wel alles van u weten en dat met iedereen delen? Op Europees niveau zijn privacyregels opgesteld. De regels zijn op 25 mei 2018 ingegaan.

Europese verordening

De General Data Protection Regulation (GDPR) van de EU is vanaf 25 mei 2018 volledig in werking getreden. In het Nederlands heet dit de Algemene Verordening Gegevensbescherming (AVG). Wij gebruiken hier alleen de afkorting AVG.

Versterking privacyrechten

Eén van de pijlers van de AVG is dat mensen meer mogelijkheden krijgen om voor zichzelf op te komen bij de verwerking van hun gegevens. Dit uit zich onder meer in de volgende uitbreidingen van hun rechten:

  • Toestemmingsvereiste
    Organisaties moeten bewijzen dat zij toestemming hebben voor het verwerken van de persoonsgegevens van mensen. Bovendien kan die toestemming net zo makkelijk weer worden ingetrokken, als die eenmaal is gegeven. Het kan zo zijn dat een organisatie een andere (limitatief benoemde) ‘verwerkingsgrond’ heeft: een bepaalde reden om gegevens te verwerken, bijvoorbeeld omdat dit wettelijk is verplicht of omdat het noodzakelijk is voor de te verlenen dienst. In die gevallen is schriftelijk bewijs van toestemming niet altijd nodig.
  • Recht op vergetelheid
    Mensen hebben het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Na 25 mei 2018 kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.
    Het recht om te vragen om verwijdering betekent niet, dat de organisatie deze verwijdering ook altijd kan doorvoeren. Op de uitzonderingen komen we later terug.
  • Recht op dataportabiliteit
    Mensen mogen hun door een organisatie verwerkte persoonsgegevens opvragen bij die organisatie. Zij ontvangen deze gegevens dan in een standaardformaat, dat heet dataportabiliteit (= gegevensoverdracht). Mensen kunnen hierdoor hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

Gevolgen voor organisaties die persoonsgegevens verwerken

De impact op organisaties is groot. De hele organisatie moet zijn ingericht op de AVG. Er is een verantwoordingsplicht. Die plicht houdt in dat de organisatie moet aantonen dat ze zich aan de wet houdt. Houdt een organisatie zich er niet aan, dan kan ze een boete krijgen van € 20 miljoen of 4% van de wereldwijde omzet. In 2019 legde de Autoriteit Persoonsgegevens onder andere een boete op van €440.000 aan een ziekenhuis waar de beveiliging van de persoonsgegevens niet op orde was en onbevoegden toegang konden krijgen tot gegevens van een patiënte.

De versterking van de privacyrechten zoals hierboven omschreven, betekent onder meer dat organisaties:

  • Niet méér persoonsgegevens mogen opvragen dan ze minimaal nodig hebben om te kunnen doen wat ze moeten doen
  • De persoonsgegevens niet langer bewaren dan strikt noodzakelijk is
  • De persoonsgegevens niet doorsturen naar andere partijen, als dit niet noodzakelijk is
  • De persoonsgegevens niet gebruiken voor andere doeleinden dan het oorspronkelijke doel
  • De klant duidelijk kunnen maken, hoe hun gegevens worden verwerkt en (eventueel) aan wie die gegevens worden doorgegeven (transparantieplicht)
  • Duidelijk moeten kunnen aangeven waarom bepaalde informatie nodig is

Bovendien hebben klanten altijd inzage in hun persoonsgegevens. Als iemand de juistheid van die persoonsgegevens betwist, dan moet de organisatie op verzoek van die persoon de verwerking van zijn persoonsgegevens onmiddellijk stoppen.

Informatie

  • Schade Zakelijk
  • Woensdag 18 maart 2020

KennisHub

KennisHub Pensioen- &
Life Event Advisering

  • Inspirerende Masterclasses
  • Praktijkgerichte Workshops
  • PE Artikelen & Casuistiek
  • Artikelen & Blogs
  • Stel je vraag
  • PE-geaccrediteerd
  • Mix & Match
  • Jaarlijks PE-certificaat
  • 21 dagen op proef

€ 35 p/m

Volgende licenties: 20% korting Meer Informatie

Eerst aankijken? Word Free Member

  • Wekelijkse nieuwsbrief
  • Artikelen & Blogs
  • 5+ gratis vaktechniek artikelen p/m
  • Schrijf je in voor Masterclasses & Workshops
  • Toegang tot FinSourceOne

Gratis

Volgende Free Members: 100% korting Meer Informatie