De Europese Algemene verordening gegevensbescherming (AVG) heeft gevolgen voor burgers, bedrijven en organisaties. De Tweede Kamer bespreekt het wetsvoorstel van minister Dekker van Rechtsbescherming waarmee de verordening van kracht wordt (Uitvoeringswet AVG). De minister legt uit. Op 13 maart wordt er gestemd over het wetsvoorstel.
Voor bedrijven die nu voldoen aan de Wet bescherming persoonsgegevens, zal er volgens de minister “geen aardverschuiving” plaatsvinden onder de AVG.
De bescherming van persoonsgegevens wordt in alle landen van de Europese Unie op dezelfde manier geregeld. Dat is het doel van de Algemene verordening gegevensbescherming (AVG). Met een uitvoeringswet regelt minister Dekker de concrete invoering in Nederland.
Gevolgen nieuwe wet
Minister Dekker constateert dat de AVG weliswaar nieuwe elementen bevat en ook wel hier en daar accenten verschuift, maar dat de basisbeginselen voor rechtmatige verwerking van persoonsgegevens zoals verankerd in de Wet bescherming
persoonsgegevens, dus de huidige wet, eigenlijk stevig overeind blijven staan.
Voor bedrijven en organisaties die al voldoende voldoen aan de eisen die op grond van de Wbp gelden, en die dus ook zelf goed inzicht hebben in hun eigen informatiestromen, is het nieuwe AVG-regime volgens Dekker helemaal geen grote aardverschuiving.
Bedrijven en organisaties moeten op grond van de AVG zorgvuldig omgaan met gegevens van burgers met wie zij te maken hebben. Wat betekent de verordening concreet? Bedrijven kunnen bijvoorbeeld verplicht worden om een functionaris voor de gegevensbescherming aan te stellen. Of een data protection impact assessment uit te voeren, waarmee vooraf de privacyrisico’s van gegevensverwerking duidelijk worden.
Minister Dekker zegt het volgende:
“Dit wetsvoorstel ziet toe op zorgvuldig beheer en goede beveiliging van persoonsgegevens. Ik ga er niet omheen draaien. Dit betekent voor heel veel organisaties dat zij eens goed moeten kijken naar de huidige manier waarop zij dat doen. Er zit echt een aantal nieuwe dingen in waarvoor ze aan de slag moeten, willen ze het goed regelen. Denk bij voorbeeld bij grote bedrijven en een ingewikkelde, complexe behandeling van persoonsgegevens aan zo’n gegevensfunctionaris. Voor vrij eenvoudige dingen moet je het in ieder geval in kaart gebracht en geregistreerd hebben. Zo is er een aantal nieuwe dingen in dit wetsvoorstel. Ik voorzie niet onmiddellijk dat dit voor een aantal van de reguliere dingen die we met zijn allen geregeld hebben een enorme beperking biedt, althans, dat is niet de intentie.”
Rol Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens zal volgens de minister in het eerste jaar dat de AVG van kracht is vooral voorlichten en bijsturen. Met de open normen in de verordening ligt het zijns inziens niet voor de hand dat de autoriteit direct hoge boetes gaat opleggen aan welwillende bedrijven en organisaties.
Verder wordt er praktische hulp verleend. In de praktijk zijn er voor het mkb een aantal concrete wijzigingen. Neem bijvoorbeeld het register van verwerkingsactiviteiten, het idee van privacy by design en by default, dat je er van tevoren bij nadenkt als je dingen ontwerpt, rond de registratie, et cetera.
Handleiding speciaal voor mkb
Het ministerie van Justitie en Veiligheid heeft onlangs een handleiding AVG gepubliceerd. Die handleiding is primair bedoeld voor bedrijven en organisaties die hun organisatie op de nieuwe wet- en regelgeving willen voorbereiden.
“Speciaal voor kleine ondernemers wordt eind maart ook nog eens een keer daarbovenop een praktische, compacte brochure uitgebracht, omdat je het niet alleen inzichtelijk wilt maken voor de juristen van grote bedrijven, maar ook voor bij wijze van spreken de detailhandel, midden- en kleinbedrijf.”
Zie ook Handleiding AVG en Uitvoeringswet AVG gepubliceerd
Wanneer functionaris gegevensbescherming?
Wanneer is zo’n functionaris gegevensbescherming nu precies verplicht?
“Een belangrijk uitgangspunt bij de verordening is de risicogerichte benadering. Dat betekent dat verenigingen van vrijwilligers, die als het ware niets bijzonders doen met persoonsgegevens, die wel een ledenbestand en dat soort dingen hebben, maar geen gekke dingen, beduidend minder aandacht hoeven te besteden aan deze verordening dan bijvoorbeeld bedrijven die op heel grote schaal aan complexe gegevensverwerking doen.”
Een functionaris gegevensbescherming is verplicht bij:
- overheidsinstanties.
- grootschalige verwerkingen wegens regelmatige en stelselmatige observatie van personen.
- grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens.
“Dat geeft al wel een beetje aan dat het gaat om de wat zwaardere verwerkingen. Of een verwerking grootschalig is,
hangt met name af van de aantallen waar betrokkene mee werkt. Voor een gemiddelde sportvereniging zal dit naar mijn oordeel niet snel aan de orde zijn, hoewel ik natuurlijk niet volledig kan overzien wat zich daar in de praktijk voordoet.”
Hoe zit het met de registratieplicht?
Maar dan de registratie. Dat is een ander verhaal.
Minister Dekker zegt het volgende hierover:
“Hoe zit het nu met die grens van 250 werknemers in artikel 30? Is dat werkbaar? Daarop is een eerlijk antwoord dat de Europese regelgeving eigenlijk zegt: zolang en zodra er sprake is van systematische gegevensverwerking, moet je dat goed registreren, ook beneden die 250 medewerkers.
Ik denk dus dat vrijwel iedere organisatie de facto eigenlijk verplicht is om daar waar zij persoonsgegevens verwerkt, dat te registreren en in kaart te brengen wat zij precies doet, waarom zij dat doet en waarom het precies noodzakelijk is dat die gegevens worden verwerkt.
Nu zal dat voor een kleine organisatie of voor een mkb’er, zoals de slager op de hoek, natuurlijk een relatief beperkt iets zijn. Als je een klantenbestand hebt omdat je in de zomer barbecuevlees moet afleveren en de rekening moet versturen, dan kan zo’n register bij wijze van spreken op een half A4’tje. Voor grote bedrijven is dat anders. Die hebben met veel meer verwerkingsactiviteiten te maken. Daar zal zo’n register veel substantiëler zijn.”
Naar aanleiding hiervan wordt gevraagd of het niet mogelijk is om artikel 30, lid 5 zo te lezen dat een bedrijf niet registerplichtig is als het minder dan 250 werknemers heeft maar geen risicovolle verwerkingen doet?
“Want wat is eigenlijk het nut van een register van de slager om de hoek als het gaat om 30 mensen in zijn buurt die vlees bestellen voor de barbecue in de zomer of om het bijhouden van een salarisadministratie voor zijn vijf personeelsleden?”
De minister antwoordt:
Ik denk dat het ook voor die slager om de hoek op zich goed is om zich te realiseren dat dit nuttig is als hij werkt met een bestand van gegevens en rekeningnummers; ik weet niet precies wat daar dan in zit. Bij het aanleggen van zo’n register denk je, als je het even op papier zet: potverdorie, ja, ik doe wel het een en ander met die gegevensverwerking; het is goed dat ik daarover nadenk, dat ik dat ook netjes doe en dat ik dat op mijn eigen computer bijvoorbeeld goed heb beveiligd. Dat zou ik zelf prettig vinden en ook niet disproportioneel.
Meer duidelijkheid nodig
Er is nog onvoldoende duidelijkheid over een aantal punten die met de invoering van de AVG samenhangen, menen alle woordvoerders.
- wat kunnen topsportclubs met gezondheidsgegevens van hun leden?
- hoe werkt de klachtenprocedure van de Autoriteit Persoonsgegevens?
- welke ruimte is er voor het gebruik van persoonsgegevens in de journalistiek?
- hoe werkt de leeftijdsgrens voor kinderen in een online-omgeving?
- wat gebeurt er met de gezondheidsgegevens van zieke werknemers?
Omdat er over veel onderwerpen nog onduidelijkheid heerst, vragen alle woordvoerders minister Dekker om daarover een halfjaar na inwerkingtreding van de Algemene verordening gegevensbescherming te rapporteren. Dat zegt hij toe.
Bron: Over Salaris.nl