Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

Nieuwe EU-privacyregels: geen ver-van-mijn-bed-show

13 maart 2017Informatiemaatschappij

Het lijkt misschien nog een ver-van-uw-bed-show, maar vanaf 25 mei 2018 moeten naast bedrijven ook gemeenten, provincies en waterschappen zich aan de nieuwe Europese regels omtrent privacy houden. Kortom: wanneer persoonsgegevens verwerkt worden, moeten de bepalingen uit de Algemene verordening gegevensbescherming (AVG) toegepast worden. Iedere gemeente, provincie of waterschap verwerkt namelijk persoonsgegevens. Gemeenten hebben bijvoorbeeld de wettelijke verplichting om de Basisregistratie Personen (BPR) te beheren. Maar ook bij het afgeven van vergunningen worden persoonsgegevens verzameld.

De nieuwe regels hebben ook gevolgen voor gemeenten, provincies en waterschappen. Zo moeten zij voor 25 mei 2018 een Functionaris voor Gegevensbescherming (FG) aanstellen. Het schenden van verplichtingen uit de verordening, zoals het recht van een burger om vergeten te worden, kan een boete tot gevolg hebben.

Wet bescherming persoonsgegevens

Momenteel wordt de bescherming van persoonsgegevens onder andere nationaal geregeld in de Wet bescherming persoonsgegevens (Wbp). Deze wet implementeert de Europese richtlijn 95/46/EG betreffende de bescherming van persoonsgegevens, welke vervangen wordt door de AVG. De bepalingen van een verordening werken rechtstreeks door, de AVG is dus direct van kracht in iedere lidstaat van de EU. Dat betekent dat de bepalingen van de AVG zonder tussenkomst van de nationale wetgever, door de decentrale overheden toegepast moeten worden.

25 mei 2018

In de AVG is een overgangstermijn van twee jaar ingebouwd. Decentrale overheden hebben tot 25 mei 2018 de tijd om hun privacy-beleid aan te passen aan deze nieuwe Europese verordening. Bijvoorbeeld door de verplichte FG in dienst te nemen. Hoewel de AVG op 25 mei 2016 al in werking is getreden, hoeft deze momenteel dus nog niet toegepast te worden.

Rechten van de betrokkene en verplichtingen voor de verwerker

Er moeten passende maatregelen genomen worden om de rechten van diegene waarvan persoonsgegevens verwerkt worden, te beschermen. Welke rechten heeft de betrokkene? Onder andere het recht op inzage in de gegevens, het recht op verbetering van onjuiste persoonsgegevens en het recht om vergeten te worden. Naast deze rechten van de betrokkene, heeft de decentrale overheid als verwerker van persoonsgegevens ook verplichtingen. Op de website van Europa decentraal leest u daar meer over.

Functionaris voor Gegevensbescherming

Volgens de AVG dienen alle (decentrale) overheden een nieuwe functie binnen hun organisatie te creëren: de FG. Zij hoeven dit niet zelfstandig te doen, verschillende overheidsinstanties kunnen samen één functionaris delen. Deze functionaris is onder andere verantwoordelijk voor het privacy-bewustzijn in de organisatie. Zo is het de taak van de functionaris om toe te zien op de naleving van de AVG en om de medewerkers binnen de organisatie te informeren en adviseren over de verplichtingen die zij hebben als verwerker van persoonsgegevens.

Wet meldplicht datalekken

Wanneer er een inbreuk in verband met persoonsgegevens plaatsvindt, moet een gemeente of provincie dit melden bij de Autoriteit Persoonsgegevens (AP). De betrokken (decentrale) overheid moet een dergelijk datalek binnen 72 uur melden bij de AP. Wanneer de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkene, dient deze persoon in duidelijke en eenvoudige taal ingelicht te worden.

Hoewel dit eerder niet opgenomen was in de oude Europese richtlijn bescherming persoonsgegevens (die de AVG vervangt), is dit in Nederland overigens niet nieuw. Per 1 januari 2016 geldt namelijk de Wet meldplicht datalekken. De gevolgen van een datalek kunnen dankzij de wet zoveel mogelijk beperkt worden voor de betrokkenen. Ook wordt er een bijdrage geleverd aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Meldplicht vooraf verdwijnt – Register in de plaats

Ingevolge de Wbp moeten decentrale overheden momenteel de verwerkingen van persoonsgegevens vooraf melden bij de Autoriteit Persoonsgegevens of bij de FG. Deze meldplicht verdwijnt met de komst van de AVG, en dus per 25 mei 2018. Elke verwerkingsverantwoordelijke moet echter wel een register bijhouden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid vallen (art. 30 AVG).

PIA

De AVG verplicht gemeenten en provincies om in bepaalde gevallen een zogenoemde ‘gevensbeschermings-effectbeoordeling’ uit te voeren. Dit wordt in de praktijk ook wel een Privacy Impact Assessment (PIA) genoemd. Een PIA wordt aangeraden als de verwerking van persoonsgegevens gepaard gaat met hoge risico’s in verband met de rechten en vrijheden van personen. In de verordening worden drie voorbeelden genoemd van wanneer het doen van een PIA verplicht is. Bijvoorbeeld wanneer er een grootschalige verwerking van bijzondere categorieën van persoonsgegevens gaat plaatsvinden. Onder andere de impact van de verwerking en de risico’s voor de natuurlijke personen moet onderzocht worden. Ook moet de overheidsinstantie nagaan of er een aanpak is die minder gevolgen heeft voor de privacy van de betrokkenen.

Tot slot

Hoewel het dus een ver-van-mijn-bed-show kan lijken, brengt de AVG binnen afzienbare tijd wel degelijk grote veranderingen met zich mee. Hierboven zijn slechts enkele verplichtingen geschetst. Wanneer een gemeente of provincie zich niet aan de AVG houdt, kan de Autoriteit Persoonsgegevens hoge boetes opleggen, die op kunnen lopen tot € 20 miljoen. Heeft u vragen over de doorwerking van deze verordening in uw organisatie? Neem dan contact op met Europa decentraal.

Door:

Femke Salverda, Europa decentraal

X