Procedures van Autoriteit Persoonsgegevens aangepast

12 februari 2018Informatiemaatschappij, Justitie, vrijheid en veiligheid

Op 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de huidige Wet bescherming persoonsgegevens (Wpb). Daarmee veranderen verschillende verplichtingen voor organisaties, waaronder ook voor decentrale overheden. In de voorbereiding op deze overgang van Wbp naar AVG past de Autoriteit Persoonsgegevens (de nationale toezichthouder) een aantal van haar procedures aan. Eind 2017 liet de nationale toezichthouder al weten dat organisaties geen melding meer hoeven te doen als zij persoonsgegevens verwerken. Vanaf 27 april 2018 neemt de Autoriteit Persoonsgegevens geen verzoeken voor voorafgaand onderzoek bij risicovolle verwerkingen meer in behandeling.

Voorafgaand onderzoek vervalt

Onder de Wbp was voor verschillende soorten verwerkingen een voorafgaand onderzoek van de Autoriteit Persoonsgegevens (AP) vereist. Bij de verwerking van persoonsgegevens met een bepaald risico dienen organisaties – op grond van artikel 31 Wbp – een melding te maken bij de AP. Het gaat daarbij om:

  • verwerkingen van een persoonsnummer (zoals het BSN) voor een ander doel dan waar het nummer specifiek voor bestemd is;
  • persoonsgegevens die verwerkt worden uit heimelijke observatie, zoals bij gebruik van een verborgen camera;
  • de verwerking van strafrechtelijke gegevens.

Wanneer deze verwerkingen geen grondslag in de wet kennen, onderzoekt de AP of de verwerking aan alle eisen van de Wbp voldoet.

Onder de AVG vervalt dit voorafgaand onderzoek. Organisaties worden dan geacht bij risicovolle verwerkingen een Data protection impact assessment (DPIA) uit te voeren en eventueel een voorafgaande raadpleging aan te vragen bij de AP. De AP heeft daarom besloten nu al de procedure voor voorafgaande onderzoeken aan te passen. Voor meldingen van een verwerking (op grond van artikel 31 Wbp) die binnenkomen tussen 1 februari en 27 april 2018 bekijkt de AP per geval hoe deze melding het beste behandeld kan worden. Meldingen na 27 april 2018 worden niet meer door de AP behandeld.

Data protection impact assessment (DPIA)

De verantwoordelijkheid van het voorafgaand onderzoek verschuift met de AVG van de AP naar de organisaties zelf. Vanaf 25 mei verplicht artikel 35 AVG organisaties namelijk een DPIA uit te voeren wanneer er sprake is van een mogelijk hoog risico voor de rechten en vrijheden van de betrokkenen bij een verwerking van persoonsgegevens. Indien uit de DPIA blijkt dat de verwerking een hoog risico oplevert en dit risico niet wordt weggenomen door het nemen van risico-beperkende maatregelen door de organisatie, moet de verwerking worden gemeld bij de AP. Voordat er met de verwerking begonnen kan worden, moet volgens artikel 36 AVG de AP hier eerst een positief advies over geven. Dit wordt de voorafgaande raadpleging genoemd. Over voorafgaande raadplegingen in de zin van de AVG die nu al bij de AP worden gemeld, wordt pas na 25 mei 2018 een besluit genomen.

Alle nationale toezichthouders van de Europese lidstaten, verenigd in de Artikel 29-werkgroep, hebben in oktober 2017 richtsnoeren vastgesteld over de DPIA. Hiermee worden organisaties geholpen met het bepalen of een verwerking een hoog risico in de zin van de AVG betreft. Meer informatie over een DPIA kunt u ook in deze praktijkvraag op onze website vinden.

Gedragscodes

Ook veranderen onder de AVG de vereisten die gesteld worden aan een gedragscode. Een gedragscode wordt door een branche of sector opgesteld om normen uit de AVG te concretiseren. Gedragscodes die op grond van artikel 40 AVG zijn opgesteld kunnen momenteel ook al gemeld worden bij de AP voor goedkeuring. Net als bij een verzoek om voorafgaande raadpleging neemt de AP pas na 25 mei 2018 een besluit.

Regelhulp bij de AVG

Onlangs heeft de Autoriteit Persoonsgegevens ook een regelhulp voor de AVG opgezet. Met deze digitale regelhulp kunnen onder andere decentrale overheden die persoonsgegevens verwerken een overzicht krijgen van de voortgang van de implementatie van de AVG in hun organisatie. Naast een overzicht van de stappen die zij al hebben ondernomen, wordt middels de regelhulp ook duidelijk waar organisaties nog aandacht aan moeten besteden voor de AVG op 25 mei 2018 van toepassing wordt.

Door:

Matthijs Binnema & Juliëtte Fredriksz

Bronnen:

Aanpassing procedures Autoriteit Persoonsgegevens tot startdatum AVG, nieuwsbericht Autoriteit Persoonsgegevens
Organisaties hoeven geen melding van verwerking gegevens meer te doen, nieuwsbericht Autoriteit Persoonsgegevens

Meer informatie:

Privacy, Themapagina Europa decentraal
Privacy: de Algemene verordening gegevensbescherming, Europa decentraal
(Hoe) Moeten wij als gemeente de PIA uitvoeren?, Europa decentraal
Regelhulp Algemene Verordening Gegevensbescherming, Autoriteit Persoonsgegevens

 

 

 

X