Op 6 november is het bericht naar buiten gekomen dat in het vervolg geen melding meer gedaan hoeft te worden aan de Autoriteit Persoonsgegevens (AP) voor verwerkingen van persoonsgegevens. Met de komst van de Algemene Verordening Gegevensbescherming (AVG) zal deze meldplicht vanaf 25 mei 2018 komen te vervallen. De AP heeft bovendien aangegeven dat zij vanaf nu deze meldplicht niet meer zal handhaven.
Verlichting administratieve lasten
De versoepeling in de wetgeving brengt met zich mee dat organisaties niet meer in alle gevallen gehouden zijn om een melding te maken aan de AP. Deze constante stroom aan meldingen droeg namelijk niet per definitie bij aan een betere bescherming van persoonsgegevens. Dit levert zowel een administratieve als financiële lastenverlichting op voor organisaties, maar ook voor de AP zelf. Het blijft voor organisaties tot 25 mei 2018, wanneer de nieuwe AVG definitief van toepassing wordt, mogelijk om melding aan de AP te doen van een gegevensverwerking.
Verplichte melding bij risicovolle verwerking
Wanneer een verwerking gepaard zal gaan met een verhoogd risico voor de rechten en vrijheden van natuurlijke personen, zal de organisatie verplicht blijven om een melding te maken bij de AP. Van een verhoogd risico kan sprake zijn wanneer een aanzienlijke hoeveelheid personen nadelige gevolgen kan ondervinden of wanneer het gaat om gegevens van gevoelige aard. Hierbij kan worden gedacht aan een gemeente die de persoonsgegevens van haar inwoners zal gaan gebruiken in een nieuw administratiesysteem. Na de melding zal de AP vervolgens zelf een onderzoek opstarten en kijken of deze voldoet aan de eisen van de Wet bescherming persoonsgegevens (Wbp). Pas na goedkeuring van de AP mag de verwerking vervolgens worden uitgevoerd.
Vanaf mei 2018 zijn organisaties voortaan zelf verplicht om een Data Protection Impact Assessment (DPIA) (ook wel Privacy Impact Assessment genoemd) te laten uitvoeren. Hierbij zal dan moeten worden geëvalueerd wat de oorsprong, aard, het specifieke karakter en de ernst van de risico’s zijn. Aan de hand van de resultaten zullen vervolgens maatregelen moeten worden genomen om een juiste verwerking van de persoonsgegevens te kunnen garanderen. Mogelijke maatregelen kunnen zijn dat er door de organisatie minder gegevens opgevraagd mogen worden of dat de organisatie de kwaliteit van zijn beveiligingssoftware zal moeten verbeteren.
Wanneer een DPIA uitwijst dat een verwerking gepaard gaat met mogelijk grote risico’s die redelijkerwijs niet kunnen worden beperkt door de organisatie, moet vóór de specifieke verwerking contact op worden genomen met de AP. Dit zou bijvoorbeeld kunnen voorkomen wanneer het voor een organisatie financieel niet haalbaar is om aan de veiligheidsvereisten van de verwerking van persoonsgegevens te voldoen.
Bijhouden register
De AGV legt nu meer verantwoordelijkheid bij de organisatie zelf door de DPIA in risicovolle gevallen te verplichten. Dit dwingt de organisatie tot het nemen van meer initiatief op het gebied van privacybescherming. Om dit op termijn te kunnen controleren, moet er door organisaties een register worden bijgehouden van verwerkingsactiviteiten die hebben plaatsgevonden. Dit register zal vervolgens desgevraagd overhandigd moeten kunnen worden aan de AP.
In het register moeten alle verwerkingsactiviteiten worden opgenomen die onder de verantwoordelijkheid van de organisatie plaatsvinden. Hieronder vallen dus ook verwerkingen die namens een andere organisatie worden uitgevoerd. In de registers zal onder meer moeten worden opgenomen met wie de persoonsgegevens zullen worden gedeeld, eventuele beveiligingsmaatregelen en de termijnen waarbinnen de persoonsgegevens bewaard mogen worden.
Meer weten over privacywetgeving?
ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen, dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.
Daarnaast is het ook mogelijk om per e-mail of telefonisch contact met ons op te nemen wanneer u rondloopt met een vraag over de gesteldheid van privacy binnen uw organisatie.
