De Algemene verordening gegevensbescherming (AVG).

TOELICHTING

Inleiding.

In Nederland wordt privacy beschermd door de Wet bescherming persoonsgegevens (Wbp).

Op 25 mei 2018 werd deze wet vervangen door een in heel Europa geldende verordening: een Europese wet die direct van toepassing is in alle landen van de Europese Unie.

In de basis verschilt de Wbp uit 2001 niet zoveel van de Algemene Verordening Gegevensbescherming (AVG). De AVG geeft betrokkenen meer rechten als het gaat om het verwerken van persoonsgegevens. Daarnaast wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om de wet na te leven, transparant te zijn over de omgang met persoonsgegeven én om te kunnen aantonen dat zij zich aan de wet houden.

De AVG werd per 25 mei 2018 van kracht. Op die datum dienenden organisaties die persoonsgegevens verwerken te voldoen aan de vereisten van de AVG. Een organisatie mag niet zomaar persoonsgegevens verwerken. Daarvoor moet een wettelijke grondslag zijn. De Algemene verordening gegevensbescherming (AVG) kent 6 grondslagen. Voor de Vereniging KBO Reeshof Tilburg is de grondslag “toestemming van de geregistreerde”, van belang.

Nieuwe verplichtingen (t.o.v. van de Wet bescherming persoonsgegevens).

De meest in het oog springende nieuwe verplichtingen zijn:

  1. Aanstelling functionaris voor gegevensbescherming: een organisatie kan verplicht zijn om een functionaris voor gegevensbescherming aan te stellen. Dit moet in ieder geval als sprake is van een overheidsinstantie of overheidsorgaan of grootschalige bijzondere persoonsgegevens worden verwerkt.

  2. Uitvoeren DPIA: een organisatie kan verplicht zijn een dataprivacy impact assessment (DPIA) uit te voeren. Hiermee wordt in kaart gebracht welke privacy risico’s er zijn met betrekking tot de gegevensverwerking, met als doel maatregelen te nemen om deze risico’s te verkleinen. De verplichting voor het uitvoeren van een DPIA bestaat altijd wanneer de verwerking van persoonsgegevens in een organisatie een hoog risico mee brengt. Of er sprake is van een hoog risico bepaalt de organisatie zelf. Hier is in ieder geval sprake van wanneer in de organisatie op grote schaal bijzondere persoonsgegevens worden verwerkt of wanneer op grote schaal personen worden geobserveerd in publieke ruimtes (bijv. cameratoezicht). Maar ook wanneer er persoonsgegevens worden doorgegeven aan landen buiten de EU.

  3. Registratie verwerkingsactiviteiten: een organisatie moet kunnen aantonen dat zij in overeenstemming met de AVG handelt. Bijvoorbeeld door een register bij te houden waarin alle in de organisatie uitgevoerde verwerkingsactiviteiten worden geregistreerd. De Autoriteit Persoonsgegevens is gerechtigd inzage te verlangen in dit register.

  4. Toepassen Privacy by Design en Privacy by Default: de organisatie is verplicht om Privacy by Design en Privacy by Default toe te passen. Dit betekent dat bijvoorbeeld bij het ontwerpen van applicaties of systemen voor gegevensverwerking al rekening moet houden met de bescherming van persoonsgegevens en de rechten van de betrokkene (de persoon wiens gegevens verwerkt worden). Bijvoorbeeld door afdoende beveiligingsmaatregelen in het systeem of de applicatie op te nemen. Ook kan dit doel bereikt worden door ervoor te zorgen dat de hoeveelheid data die voor het doel verwerkt moet worden zo klein mogelijk is (dataminimalisatie).

Gelet op de criteria van de AVG is één der bovengenoemde verplichtingen voor onze vereniging niet noodzakelijk. Immers er wordt een eenvoudige persoonsregistratie gevoerd die gematigde privacy-risico’s impliceert.

Toestemmingsvereiste.

De AVG schrijft niet precies voor in welke vorm toestemming moet worden gevraagd. Maar de manier waarop toestemming wordt gevraagd, moet wel voldoen aan een aantal specifieke eisen.

Rechtsgeldige toestemming voldoet aan de volgende eisen:

  • Vrijelijk gegeven: iemand mag niet onder druk worden gezet om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling.

Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. Het principe ‘wie zwijgt, stemt toe’ is niet toegestaan. Ook het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.

  • Geïnformeerd: mensen moeten worden geïnformeerd over:

    1. De identiteit van u als organisatie;

    2. Het doel van elke verwerking waarvoor u toestemming vraagt;

    3. Welke persoonsgegevens u verzamelt en gebruikt;

    4. Het recht dat zij hebben om de toestemming weer in te trekken. De informatie moet in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat er duidelijke en eenvoudige taal moet gebruiken.

  • Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien de organisatie bij de verwerking meerdere doeleinden heeft, dient u de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen.

  • Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.

  • Er moet kunnen worden aangetoond dat men een geldige toestemming heeft verkregen.

 

Rechten van betrokkenen (geregistreerde)

Onder de Algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Hun bestaande privacy-rechten worden uitgebreid. Bovendien hebben mensen recht op duidelijke informatie over wat er met hun persoonsgegevens wordt gedaan. Onder de AVG moet u aan een aantal specifieke eisen voldoen.

 

De AVG-privacy-rechten

Oftewel: het recht op een menselijke blik bij besluiten.

  • Het recht om bezwaar te maken tegen de gegevensverwerking.

Inzageverzoek

Wanneer iemand een inzageverzoek heeft gedaan moet voor die persoonsgegevens het volgende worden aangeven:

  • Waarom de persoonsgegevens zijn verwerkt;

  • Wat voor persoonsgegevens zijn verwerkt;

  • Met wat voor soort partijen worden de persoonsgegevens gedeeld;

  • Hoe lang worden de persoonsgegevens bewaard;

  • Dat de betrokkene het recht heeft gegevens te laten aanpassen of verwijderen en de verwerking te beperken of bezwaar te maken;

  • Dat de betrokkene het recht heeft een klacht in te dienen bij de toezichthouder;

  • Als de gegevens buiten de grenzen van EU/EER zijn gegaan, welke passende waarborgen zijn genomen.

 

Doel van de persoonsregistratie

Het doel van de persoonsregistratie van de vereniging is als volgt omschreven:

  1. De contributie op een gecontroleerde en efficiënte manier te kunnen innen.

  2. Ten behoeve van de oproeping van betrokkenen voor de activiteiten van de vereniging.

  3. Ten behoeve van de communicatie en publicaties tussen het bestuur en de leden.