De wet van minister Dekker (Rechtsbescherming) die uitvoering geeft aan de Algemene verordening gegevensbescherming is vandaag bij de Tweede Kamer ingediend. Doel van de Europese verordening is verdergaande harmonisatie van de regels rond de bescherming van persoonsgegevens en de bevordering van vrij verkeer van gegevens binnen de Unie. De verordening treedt op 25 mei 2018 in werking. Op hetzelfde tijdstip zal de Uitvoeringswet in werking moeten treden. De huidige Wet bescherming persoongegevens (Wbp) zal dan worden ingetrokken.

Nieuwe regels zijn noodzakelijk, omdat de uitwisseling van persoonsgegevens overal in de Europese Unie is toegenomen. Gegevensuitwisseling houdt niet op bij de landsgrenzen. Bovendien kunnen overheid en bedrijfsleven, dankzij nieuwe technologie, bij hun activiteiten meer dan ooit gebruik maken van persoonsgegevens. Minister Dekker: 'Mensen moeten er op kunnen vertrouwen dat bedrijven en overheden netjes met hun persoonsgegevens omgaan. Met de nieuwe regels ontstaat in de gehele Europese Unie een gelijk niveau van bescherming.'

De Uitvoeringswet is beleidsneutraal. Dat wil zeggen dat daar waar de verordening ruimte laat voor nationale keuzes, de bestaande regels die gelden op grond van de Wbp, zoveel mogelijk ongewijzigd worden overgenomen. Dat is bijvoorbeeld het geval bij de verwerking van bijzondere categorieën van persoonsgegevens zoals gegevens over geloof, over gezondheid of over etnische afkomst. Alle bestaande uitzonderingen op het verbod van verwerking van deze gegevens zijn immers om zwaarwegende maatschappelijke belangen opgenomen in de Wbp. Er is geen reden om daarvan af te wijken. Ook om de oude naar de nieuwe situatie zo soepel mogelijk te laten verlopen, is het aansluiten bij de huidige Wbp een voordeel. Hoe kleiner de verschillen, des te makkelijker de overgang.

Alle veranderingen in rechten en verplichtingen vloeien dus direct voort uit de verordening. Zo worden de rechten van burgers op het gebied van privacy versterkt door bijvoorbeeld het vastleggen van het recht om 'vergeten te worden' en het recht van burgers om van de overheid of een bedrijf hun persoonsgegevens in een standaardformaat te verkrijgen (dataportabiliteit).

Daarnaast moeten organisaties die persoonsgegevens verwerken rekening houden met nieuwe, strengere verplichtingen. Er wordt meer transparantie en verantwoording gevraagd. De verwerkingsverantwoordelijke moet aantonen dat hij in overeenstemming met de verordening handelt (verantwoordingsplicht) en moet een register bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Ook verplicht de verordening in meer gevallen een functionaris voor gegevensbescherming aan te wijzen. Het toezicht op de naleving van de verordening en de Uitvoeringswet is belegd bij de Autoriteit Persoonsgegevens. In de uitoefening van het toezicht is de Autoriteit strikt onafhankelijk.

Niet alleen de Autoriteit Persoonsgegevens, de Europese commissie en het ministerie van Justitie en Veiligheid, maar ook organisaties als VNO-NCW en de VNG zijn allerlei voorlichtingsactiviteiten gestart om verantwoordelijken wegwijs te maken in de nieuwe regels. Zo publiceert het ministerie binnenkort ook een uitgebreide 'Handleiding AVG' voor bedrijven, overheden en organisaties die persoonsgegevens verwerken.

Bron: Rijksoverheid

Add a comment

BLOG, 1 september 2017

 

Op 14 augustus las ik een artikel in het Financieel Dagblad met de kop:”Bedrijven in paniek over Europese privacywet”.  Een behoorlijk negatief verhaal met daarin een aantal zaken die mijn tenen deden krullen. In mijn beleving bangmakerij van de bovenste plank. Vervelend genoeg is dat niet alleen het geval in dit artikel, maar zie ik dit steeds meer langskomen. Maar wat moet je als bedrijf dan wel verwachten? Onderstaand haal ik een paar onderwerpen aan uit het artikel en breng een nuance aan.

“Vanaf eind mei 2018 dreigen sancties van de Privacy Toezichthouders”

Een bedrijf loopt het risico dat wanneer geen maatregelen zijn genomen die passend zijn om persoonsgegevens te beschermen, een sanctie te krijgen van de Autoriteit Persoonsbescherming (AP). De AVG vereist namelijk dat passende organisatorische en technische maatregelen worden genomen. Dit was echter ook al verplicht bij de Wet Bescherming Persoonsgegevens. Wanneer een bedrijf of organisatie voldeed aan die wetgeving en daardoor compliant was, dan zie ik niet in waarom dat nu niet meer zo zou zijn. De vraag mag echter terecht zijn of de meeste organisaties compliant zijn geweest of nu zelfs zijn. In die gevallen zijn er nog stappen te nemen. De AP verwacht dat gedocumenteerd is welk beleid en maatregelen gebruikt worden.

“Zo hoeven middelgrote en kleine ondernemingen (minder dan 250 werknemers) geen ‘Data Protection Officer’ aan te stellen, tenzij hun kernactiviteiten de verwerking van gevoelige gegevens op grote schaal noodzakelijk maken.”

Waar de auteur deze conclusie op baseert weet ik niet. Er zijn drie situaties waarin een  DPO of Functionaris voor de Gegevensbescherming (FG) verplicht is.

  1. Overheden en publieke organisaties

Overheidsinstanties en publieke organisaties altijd verplicht om een DPO/FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een DPO/FG niet.

  1. Observatie


De verplichting om een DPO/FG aan te stellen geldt voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.

Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. 

  1. Bijzondere persoonsgegevens


Ten derde zijn organisaties verplicht een DPO/FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Indien een organisatie 250 medewerkers of meer heeft is er tevens een verplichting om een DPO/FG aan te stellen.

“ Wie nu nog moet beginnen is te laat”

Ook hierbij wordt voorgeschoteld dat er schijnbaar enorm veel gedaan moet worden als organisatie om te voldoen aan de bepalingen uit de AVG. Dat is afhankelijk van elke organisatie. Er wordt gesproken over een “Goede implementatie die zeker één of twee jaar” zou duren.

“Cultuuromslag noodzakelijk”

Met dit punt ben ik het eens. Het beschermen van persoonsgegevens heeft nooit de aandacht gekregen die het nodig heeft. De AVG verplicht, maar dat is niet perse een kwalijke zaak. Ook als medewerker in een organisatie verwacht je dat andere organisaties jouw persoonlijke gegevens zorgvuldig hanteert. Dat mag iedereen verwachten, dus ook de mensen waarvan uw de gegevens hanteert.

Om inzicht te geven wat u als organisatie nu echt moet regelen heb ik een whitepaper geschreven. Hierin komen de verschillende aspecten naar voren die vanuit de AVG nieuw zijn ten opzichte van de WBP. U kunt deze downloaden via de volgende link: http://dataprotection.support/DPS/index.php/download-3

 

Add a comment

Eerste Kamer akkoord met Wet gegevensverwerking en meldplicht cybersecurity

Nieuws | 12-07-2017

De Eerste Kamer heeft gisteren het eerste wetsvoorstel aangenomen dat specifiek over cybersecurity gaat. De verwachting is dat deze Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) in het najaar van 2017 in werking kan treden.

 

Het is belangrijk dat het Nationaal Cyber Security Centrum (NCSC) goed zicht heeft op grote digitale veiligheidsincidenten. Dit geldt met name voor incidenten bij de Rijksoverheid en vitale aanbieders, aangezien deze incidenten grote consequenties voor onze samenleving en economie kunnen hebben. Het NCSC informeert organisaties over deze dreigingen en biedt waar nodig ondersteuning. De Wgmc vormt een belangrijke basis voor deze publiek-private samenwerking. Zo biedt de wet een kader voor de wijze waarop het NCSC met vertrouwelijke informatie moet omgaan. Daarnaast worden nu ook de wettelijke grondslag van de taken en bevoegdheden van het NCSC vastgelegd.

 

Add a comment

AP roept scholen op zorgvuldig om te gaan met beeldmateriaal van leerlingen

De Autoriteit Persoonsgegevens (AP) krijgt regelmatig vragen over scholen die foto’s van leerlingen online publiceren. In de Wet bescherming persoonsgegevens (Wbp) zijn hiervoor regels opgenomen. Die regels zijn niet altijd bekend en er is onzekerheid over de toepassing ervan. Scholen moeten bijvoorbeeld toestemming vragen voor het gebruik van de foto’s. En zij moeten gepubliceerde foto’s goed beveiligen. De AP reikt in een brief aan koepelorganisaties de scholen handvatten aan. Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens: “Kinderen zijn een kwetsbare groep. In deze tijd is het extra belangrijk dat er zorgvuldig met hun gegevens wordt omgegaan.”

Foto’s en video’s van leerlingen zijn persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (Wbp). Het publiceren van beeldmateriaal van leerlingen op een internetpagina of op social media is een vorm van verwerken van persoonsgegevens. Dat betekent dat de regels van de Wbp van toepassing zijn. Met ingang van 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG).

Add a comment

© 2017 DataProtection.Support. All Rights Reserved. Designed By JoomShaper