De AVG - wat houdt dat nu precies in..?

De AVG - wat houdt dat nu precies in..?

Het zal u niet zijn ontgaan dat per 25 mei 2018 de algemene verordening gegevensbescherming van toepassing is. Van links en rechts worden we gewaarschuwd en geïnformeerd, maar wat daarvan klopt en wat die verordening nou echt inhoudt voor u en uw onderneming blijft wellicht onduidelijk.

De verordening is een Europese verordening en dergelijke verordeningen hebben rechtstreekse werking. Dat wil zeggen dat ze direct van toepassing zijn in Nederland, ook al zijn ze niet omgezet in nationale wetgeving. Een verordening is vaak goed leesbaar (ook in het Nederlands) en via deze link kunt u de tekst zelf lezen.

De tekst begint met 173 overwegingen over de achtergronden en bedoelingen van de verordening en regelt vervolgens in 99 artikelen de gevolgen van de verordening. Voor wie de tekst niet helemaal wil doorlezen, zijn hieronder een aantal onderdelen van de verordening beschreven. 

In artikel 4 (blz. 33) kunt u onder meer lezen wat nu precies onder ‘persoonsgegevens’, ‘verwerking’ en ‘profilering’ wordt verstaan. Daaruit blijkt dat ‘gegevens’ al heel snel ‘persoonsgegevens’ zijn, dat al vrij snel over ‘verwerking’ daarvan kan worden gesproken en dat profilering ziet op het fenomeen dat gegevens worden verzameld om jouw interesses, locatie, voorkeuren, betrouwbaarheid en gedrag te voorspellen (denk hierbij aan je iPhone, die weet wanneer je naar de sportschool gaat en waar je auto geparkeerd staat). Vervolgens is in artikel 6 geregeld wanneer persoonsgegevens rechtmatig mogen worden verwerkt. Dat kan bijvoorbeeld als je daarvoor toestemming hebt gegeven, maar dan moet de gegevensverwerker later wel kunnen aantonen dat hij die toestemming heeft gekregen (artikel 7). Artikel 14 regelt de situatie waarin de informatie niet van betrokkene zelf is verkregen. 

Artikel 15 tot en met 21 regelen een aantal rechten van de betrokkene. Een opvallend recht is het ‘recht van vergetelheid’. Onder bepaalde omstandigheden hebben we dat recht, zo volgt uit artikel 17. Vervolgens is in artikel 22 geregeld onder welke omstandigheden profilering kan plaatsvinden. Die mogelijkheid is sterk beperkt en dat zal - voor de miljardenindustrie van ‘data brokers’ - een behoorlijke tegenslag kunnen zijn. In artikel 23 zijn de zogenoemde ‘beperkingen’ opgenomen. Dat zijn de gevallen waarin de rechten van de betrokkenen - zoals de verordening die regelt - mogen worden beperkt. De eerste en meest voor de hand liggende beperking is de ‘nationale veiligheid’. 

Vanaf artikel 24 (tot 32) wordt de verordening interessant voor het MKB. De verordening bepaalt in dit artikel dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen moet nemen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de verordening wordt uitgevoerd. In bepaalde gevallen zal daarvoor ook een gegevensbeschermingsbeleid moeten worden opgesteld. Verder is in artikel 28 geregeld dat de verwerking van persoonsgegevens door een derde (die in uw opdracht werkt) moet worden vastgelegd in een overeenkomst. Die overeenkomst moet aan bepaalde voorwaarden voldoen. Voor de tekst van deze overeenkomsten zijn op het internet inmiddels verschillende voorbeelden te vinden, maar een goede tekst is op maat gemaakt (afhankelijk van de branche en specifieke activiteiten van uw onderneming). 

Samengevat is de verordening een mooi stuk regelgeving, met de goede intentie om de privacy in Europa te waarborgen. Voor iedereen die als ‘gegevensverwerker’ wordt aangemerkt, zal dit echter tot de nodige rompslomp kunnen leiden.

Gerelateerde artikelen