Europese privacywet: AVG

De Algemene Verordening Gegevensbescherming (AVG; ook GDPR General Data Protection Regulation) genoemd, is een Europese privacywet en wordt op 25 mei 2018 van kracht voor alle lidstaten van de Europese Unie. Deze Europese wet vervangt de huidige Nederlandse Wet bescherming persoonsgegevens (Wbp). Inhoudelijk is de AVG zowel ruimer van toepassing als strenger qua sancties vergeleken met de huidige nationale privacywet. Belangrijk verschil is dat de AVG meer nadruk legt op de verantwoordelijkheid van organisaties zelf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden. Hieronder een aantal belangrijke onderdelen van de AVG op een rij.

  • Organisaties hebben een documentatieplicht (artikel 30). Dit betekent onder andere dat de verwerkingsverantwoordelijke of de verwerker een register bijhoudt van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden. In dit register dient ook te zijn vastgelegd welke technische en organisatorische beveiligingsmaatregelen er zijn genomen om persoonsgegevens te beschermen. Uitzondering hierop zijn organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere persoonsgegevens betreft. Bijzondere persoonsgegevens zijn: burgerservicenummer (BSN), godsdienst of levensovertuiging, ras, politieke voorkeur, gezondheid, seksuele leven, lidmaatschap van een vakbond, en strafrechtelijk verleden.
  • Verwerkingen hoeven niet meer te worden gemeld bij de Autoriteit Persoonsgegevens.
  • De privacyrechten van individuen worden versterkt en uitgebreid, zodat mensen meer mogelijkheden krijgen om voor zichzelf op te komen bij de verwerking van hun gegevens. Dit betekent (onder bepaalde omstandigheden) onder andere het volgende.
    • Organisaties moeten kunnen bewijzen dat zij geldige toestemming hebben verkregen om de persoonsgegevens van individuen te mogen verwerken;
    • Het moet voor individuen makkelijk zijn om toestemming voor de verwerking van persoonsgegevens in te trekken;
    • Individuen hebben het recht om hun persoonsgegeven bij een organisatie te laten verwijderen, én deze organisatie te verplichten deze verwijdering door te geven aan een ieder waarmee deze gegevens zijn gedeeld.
    • Individuen hebben het recht om digitaal opgeslagen persoonsgegevens in een standaardformaat te ontvangen, zodat zij dit kunnen doorgeven aan andere organisaties. Het zogenaamde recht op dataportabiliteit. Eventueel kunnen individuen eisen dat een organisatie haar persoonsgegevens doorstuurt aan een nieuwe dienstverlener.
  • Organisaties zijn verplicht tot het uitvoeren van een Privacy Impact Analyse (PIA) wanneer er iets wijzigt in de verwerking van persoonsgegevens, of wanneer zij van plan zijn om persoonsgegevens te gaan verwerken (artikel 35). De achterliggende gedachte is dat de PIA inzicht geeft in de risico’s waardoor de juiste maatregelen genomen kunnen worden om de risico’s tot een acceptabel niveau te verlagen.
  • Organisaties met vestigingen in meerdere EU-lidstaten hoeven nog maar met één toezichthouder zaken te doen. Namelijk degene in het land waar de hoofdvestiging is gevestigd (artikel 56).
  • De verplichting om datalekken te melden blijft (artikel 33 en 34). Omdat Nederland deze meldplicht al sinds 1 januari 2016 in haar oude nationale privacywet (Wbp) heeft zitten, zal de impact op dit vlak voor Nederlandse organisaties minder ingrijpend zijn bij het van kracht worden van de AVG.
  • Het aanstellen van een Functionaris voor Gegevensbescherming (Data Protection Officer) wordt verplicht voor overheidsorganisaties, én voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken vanuit hun kerntaken (artikel 37, 38, 39).
  • De verwerking door een verwerken wordt geregeld in een overeenkomst (artikel 28) waarin onder andere concrete beveiligingsafspraken worden gemaakt in lijn met de geldende beveiligingseisen (artikel 32) uit de AVG.
  • Een maximale administratieve geldboete van €20.000.000 of 4% van de jaarlijkse wereldwijde omzet indien dit laatste hoger is (artikel 83).

Vanuit een beveiligingsperspectief is het met name interessant om te bekijken welke eisen er worden gesteld aan de beveiliging van persoonsgegevens. Dit is vastgelegd in artikel 32 van de AVG, en deze luidt als volgt:

  1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
    1. de pseudonimisering en versleuteling van persoonsgegevens;
    2. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
    3. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
    4. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
  2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
  3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.
  4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.

Voor een deel lijkt dit op de eisen uit de Wbp (artikel 13), maar het valt met name op dat behalve passende technische en organisatorische maatregelen wordt geëist dat een organisatie in staat is om a) een voldoende beveiligingsniveau in stand te houden en te garanderen, en b) de doeltreffendheid van de maatregelen periodiek te beoordelen. Dat neigt naar een cyclische Plan, Do, Check, Act gedachte. Dit kan bijvoorbeeld worden bereikt door implementatie van een ISMS op basis van de ISO 27001. Uit lid 3 blijkt dat er nog wordt gewerkt aan certificeringsmogelijkheden om daarmee aan te kunnen dat een organisatie voldoet aan de AVG.

Wilt u ook graag weten wat verschillende wetten en regels betekenen voor uw organisatie? Baaten ICT Security helpt u te voldoen aan wet- en regelgeving met passende adviezen op het gebied van informatiebeveiliging en privacy.

Zorg dat uw organisatie compliant is, en bespreek de mogelijkheden en kansen onder het genot van een kopje koffie.

Neem contact op voor een vrijblijvende kennismaking!