Privacy

Filter op:

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

privacy

 

De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Een aantal rechten in de Wbp blijft gelden, ze worden aangevuld met nieuwe rechten. En van groot belang is ook dat de toezichthouder Autoriteit Persoonsgegevens zwaardere bevoegdheden krijgt en extreem hoge boetes kan uitdelen. 

Vanaf inwerkingtreding op 25 mei kunnen organisaties bovendien verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Andere belangrijke verandering: De Algemene verordening gegevensbescherming (AVG) legt meer verantwoordelijkheid bij de organisatie om aan te tonen dat het aan de privacyregels voldoet; men moet daarover een rapportage kunnen overleggen aan de Autoriteit Persoonsgegevens.

NB: Als men helemaal voldoet aan de AVG is men er nog niet: voor diverse vormen van marketing gelden nog andere regels waarin de privacy is geregeld, zoals de Telecomwet (telemarketing, e-mailmarketing en cookies), het wettelijk bel-me-niet register, de gedragscode Promotionele Kansspelen en een aantal reclamecodes.

De AVG zorgt onder meer voor:
- versterking en uitbreiding van privacyrechten
- meer verantwoordelijkheden voor organisaties
- dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid.

Bestaande/blijvende rechten van de Wbp:

1. Recht op informatie

Organisaties zijn wettelijk verplicht informatie te geven aan personen van wie zij persoonsgegevens gebruiken. Zij moeten deze mensen informeren welke gegevens zij gebruiken en met welk doel. Ook moeten zij informatie geven over hun identiteit (naam en adres van de organisatie) en of zij de gegevens aan andere organisaties verstrekken.

2. Recht op inzage
Mensen hebben recht op inzage in hun persoonsgegevens. Dat houdt in dat zij een organisatie mogen vragen of deze persoonsgegevens van hen heeft vastgelegd en zo ja, welke. Zij hoeven geen reden te geven voor een inzageverzoek.

3. Recht op correctie en verwijdering
 Mensen hebben het recht om correctie van hun persoonsgegevens te vragen. Dat houdt in dat zij een organisatie mogen vragen hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen.

4. Recht van verzet
Mensen hebben het recht aan een organisatie te vragen hun persoonsgegevens niet meer te gebruiken. Dit heet het recht van verzet. Het is ten eerste van toepassing als een organisatie persoonsgegevens gebruikt voor marketingdoeleinden. Ten tweede kan iemand ook om bijzondere persoonlijke redenen van het recht van verzet gebruikmaken. Wie bezwaar heeft tegen het gebruik van zijn gegevens voor commerciële doeleinden, kan hiertegen verzet aantekenen. Organisaties moeten dit verzet altijd respecteren. Iemand kan verzet aantekenen vanwege bijzondere persoonlijke omstandigheden. Bijvoorbeeld als diegene als patiënt mee heeft gedaan aan een medisch onderzoek en er later achter komt dat een bekende als onderzoeker bij dat centrum werkt. Deze persoon kan er dan belang bij hebben dat zijn gegevens worden verwijderd of niet meer tot hem zijn te herleiden.

5. Klaagrecht
Personen met klachten moeten die eerst melden bij het bedrijf zelf; het is zaak daarvoor een procedure in te richten. Leidt de klacht bij het bedrijf niet tot een oplossing, dan kan de klager naar de rechter stappen. Ook is het mogelijk een tip in te dienen bij de Autoriteit Persoonsgegevens.

Nieuwe rechten
Naast versterking van de bestaande rechten zoals hierboven beschreven krijgen mensen door de AVG ook een aantal nieuwe rechten.

6. Recht op vergetelheid:
Mensen hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

7. Recht op dataportabiliteit
Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

Grondslagen
Onder de Algemene verordening gegevensbescherming (AVG) mag u nog steeds niet zomaar persoonsgegevens verwerken. U moet daarvoor, net als in de Wbp, een wettelijke grondslag hebben. Daarom is het goed om vooraf inzicht te hebben in het type persoonsgegevens dat u wilt verwerken. Zodat u weet welke AVG-regels er voor u gelden. Er bestaan drie typen persoonsgegevens: gewone, bijzondere en strafrechtelijke gegevens.

Gewone persoonsgegevens
U mag alleen ‘gewone’ persoonsgegevens verwerken wanneer u de gegevensverwerking op minimaal 1 van de 6 AVG-grondslagen kunt baseren.

Bijzondere en strafrechtelijke persoonsgegevens
De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én op 1 van de 6 grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

Grondslagen voor verwerking
U bent zelf verantwoordelijk om te beoordelen of u zich voor een verwerking van persoonsgegevens kunt baseren op één van de volgende zes grondslagen. U moet een keuze maken voor een grondslag, achteraf wisselen is niet mogelijk, dus wees hierbij zorgvuldig. Bedenk bijvoorbeeld dat toestemming voor commerciële berichten ingetrokken kan worden en dat die persoon dan niet meer benaderd mag worden, ook niet als u vindt dat u daarbij een gerechtvaardigd belang heeft:

  1. Toestemming van de betrokken persoon.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.


Bijzondere en strafrechtelijke gegevens
Het verwerken van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij u voldoet aan een aantal strengere eisen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid. Strafrechtelijke persoonsgegevens zijn bijvoorbeeld gegevens over strafrechtelijke veroordelingen.

Functionaris gegevensbescherming
De verplichting om een FG aan te stellen geldt voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. Ook zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Verantwoordingsplicht/rapportage
De Algemene verordening gegevensbescherming (AVG) legt meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. De nieuwe regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen.

U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:

  • rechtmatigheid;
  • transparantie;
  • doelbinding;
  • juistheid.


Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen. U bent verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt.

Deze teksten zijn grotendeels overgenomen van de website van de Autoriteit Persoonsgegevens. Op deze site is ook uitgebreidere informatie te vinden in het dossier AVG’

Privacystatement RAI Vereniging
Ook RAI Vereniging verwerkt persoonsgegevens van (contactpersonen van) leden, bestuursleden en stakeholders, zowel belangenorganisaties als de politiek. Wij doen dit met oog op onze maatschappelijke rol en om onze leden zo goed mogelijk van dienst te zijn en onze statutaire doelstellingen te bereiken. In ons privacystatement (hiernaast te downloaden) leggen we uit waarom en hoe we persoonsgegevens verwerken, wat we ermee doen, op welke wijze wij inzage geven, welke andere partijen daar toegang toe hebben, hoe lang we ze bewaren en hoe de gegevens zijn beveiligd.

Contactpersoon