Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

AVG Deel IV – De verplichtingen van de verwerkingsverantwoordelijke

5 maart 2018Informatiemaatschappij

Nog 80 dagen te gaan tot 25 mei. Vanaf deze datum dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. In deel III van de AVG-special is te lezen wanneer een organisatie verwerkingsverantwoordelijke is, en wat wordt bedoeld met de verantwoordingsplicht. In dit vierde deel wordt verder ingegaan op de specifieke verplichtingen van de verwerkingsverantwoordelijke.

Rechten betrokkenen garanderen

De verwerkingsverantwoordelijke moet de rechten van de betrokkene wiens persoonsgegevens worden verwerkt kunnen garanderen. Deze rechten, die al in het Wbp waren opgenomen, zijn onder de AVG grotendeels hetzelfde gebleven, maar wel aangescherpt. Bij een verzoek om inzage in de persoonsgegevens die verwerkt worden zal bijvoorbeeld onder de AVG ook een kopie van de persoonsgegevens moeten worden overlegd. Het recht op overdracht van persoonsgegevens is een voorbeeld van een nieuw recht onder de AVG.

Privacy by design/by default

De verwerkingsverantwoordelijke moeten onder de AVG de vereisten van gegevensbescherming door ontwerp en door standaardinstellingen toepassen. Deze twee termen worden ook vaak in hun Engelse benaming gebruikt: privacy by design en privacy by default. Privacy by design houdt in dat de verwerkingsverantwoordelijke passende maatregelen neemt om de verwerking van persoonsgegevens zoveel mogelijk volgens de verwerkingsbeginselen van artikel 5 AVG uit te voeren. Deze maatregelen kunnen zowel organisatorisch als technisch zijn. Ontwerpt de decentrale overheid een nieuw product of dienst, of is er sprake van een nieuwe verwerking van persoonsgegevens? Dan vereist privacy by design dat er al in het beginstadium wordt nagedacht over hoe hierbij aan de regels van de AVG voldaan kan worden. Het product of de dienst moet hier dan ook op ontwikkeld worden. Privacy by default houdt in dat er in beginsel alleen persoonsgegevens worden verwerkt die ook noodzakelijk zijn voor elk specifiek doel van de verwerking. Dit betekent bijvoorbeeld dat een overheidsorganisatie die een nieuwsbrief verstuurt, burgers bij het aanvraagformulier alleen naar het emailadres vraagt waar ze deze nieuwsbrief op willen ontvangen. Voor het doel van het versturen van de nieuwsbrief is iemands naam of functie in principe namelijk niet nodig.

Uitvoeren gegevensbeschermingseffectbeoordeling (DPIA)

Wanneer een verwerkingsverantwoordelijke een verwerking van persoonsgegevens met een hoog risico uitvoert, moet hij in sommige gevallen een gegevensbeschermingseffectbeoordeling uitvoeren. Deze term is ook bekend als de data protection impact assessment (DPIA). Wat valt onder een hoog risico? Daarvoor hebben de nationale toezichthouders, verenigd in de Artikel 29-Werkgroep richtsnoeren opgesteld. Het gaat hier bijvoorbeeld om verwerkingen van bijzondere persoonsgegevens op grote schaal.

In de DPIA moet de verwerkingsverantwoordelijke uitzoeken wat het precieze effect van de verwerking van persoonsgegevens is op de betrokkene en bekijken of er een aanpak is die minder gevolgen heeft voor de privacy van de betrokken. Mocht uit de DPIA komen dat de verwerking nog steeds een hoog risico inhoudt voor de privacy van de betrokkene, bijvoorbeeld wanneer de verwerkingsverantwoordelijke geen passende technische en organisatorische maatregelen neemt om dit risico te beperken, moet hij op grond van artikel 36 de nationale toezichthouder raadplegen. Na deze voorafgaande raadpleging beslist de Autoriteit Persoonsgegevens (AP) dan of de verwerking een inbreuk maakt op de AVG of niet.

Onder de Wbp waren organisaties verplicht te melden wanneer zij een verwerking van persoonsgegeven uitvoerden. Verwerkingen met een hoog risico voor de rechten van betrokkenen werden door de AP aan een voorafgaand onderzoek onderworpen. Met de AVG ligt deze verantwoordelijkheid bij de organisaties zelf, door het uitvoeren van de DPIA. Naar aanleiding van de uitkomst van deze DPIA kan de verwerkingsverantwoordelijke vervolgens verplicht zijn de verwerking alsnog aan de AP te melden. Vanwege de overgangsfase van de Wbp naar de AVG heeft de Autoriteit Persoonsgegevens zijn procedures hier omtrent recentelijk aangepast. Lees meer in dit nieuwsbericht.

Hoe moet u als decentrale overheid de DPIA uitvoeren? Daarover kunt u in de praktijkvraag over DPIA meer lezen.

Functionaris Gegevensbescherming

Op grond van artikel 37 AVG moet de verwerkingsverantwoordelijke in een aantal situaties verplicht een functionaris gegevensbescherming aannemen. Voor (decentrale) overheidsorganisaties die persoonsgegevens verwerken wordt dit onder de AVG verplicht.

Meldplicht inbreuk persoonsgegevens

Volgend artikel 32 moet de verwerkingsverantwoordelijke de verwerking passend beveiligen. Zoals recentelijk echter vaak in het nieuws is, kan een data lek niet altijd worden voorkomen. In AVG Deel I gingen we in op wat precies een verwerking is. Zelfs het inzien van persoonsgegevens is een verwerking, en moet dus gebeuren volgens de regels van de AVG. Een e-mail naar de verkeerde personen doorsturen kan al gezien worden als een data lek. Naast het juist beveiligen van persoonsgegevens is het voor decentrale overheden dus ook erg belangrijk dat degenen die met persoonsgegevens werken zich bewust zijn van wat wel en niet mag onder de AVG. Voor (decentrale) overheden kan een data lek leiden tot ernstig imagoverlies. Omgekeerd kan een goede beveiliging juist bijdragen aan een toename van vertrouwen van de burger in de overheid.

Een inbreuk op de bescherming van persoonsgegevens moet volgens de artikelen 33 en 34 AVG door de verwerkingsverantwoordelijke gemeld worden aan de toezichthouder, maar in sommige gevallen ook aan de betrokkene. Op onze website kunt u vinden welke uitzonderingen hier op bestaan. Ongeacht of de inbreuk gemeld moet worden, moet de verwerkingsverantwoordelijke alle inbreuken in verband met persoonsgegevens registreren. Dit gaat verder dan wat nu gebruikelijk is onder de Meldplicht datalekken die is opgenomen in de Wbp.

Meer weten over dit onderwerp?

Dit artikel is onderdeel van onze AVG-special. Lees ook deel Ideel IIdeel III, deel V, deel VI & deel VII van onze reeks over de AVG. Werkt u voor een decentrale overheid of het Rijk en heeft u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal.

Door:

Juliëtte Fredriksz, Europa decentraal

Bron:

De Algemene Verordening Gegevensbescherming

Meer informatie:

Privacy, themapagina Europa decentraal
Privacy: de Algemene verordening gegevensbescherming, Europa decentraal
Rechten van de betrokkene, Europa decentraal
Privacy by design en by default, Europa decentraal
Procedures van Autoriteit Persoonsgegevens aangepast, Europa decentraal
Wanneer moet de gemeente een PIA uitvoeren?, Praktijkvraag Europa decentraal

 

X