Klaar voor de nieuwe privacywetgeving?

De Wet Bescherming persoonsgegevens (Wbp) is geen onbekende en zeker niet nieuw. Al bijna 20 jaar bestaat deze wet al als uitwerking van de oude Europese richtlijn op het beschermen van de persoonlijke levenssfeer. Vlak voor het millennium werd duidelijk dat de privacy en computers steeds meer met elkaar te maken zouden krijgen. Rond 2000 werd de Wbp vastgesteld. Momenteel is er geen nieuwspagina meer te bekijken of het gaat over digitale kwetsbaarheid van mensen, ondernemingen en overheidsorganisaties. Naast, en waarschijnlijk veroorzaakt door, allerlei technologische ontwikkelingen, de groei van de Europese markt en de waarde van informatie in het economisch verkeer is, privacybescherming een van de meest besproken onderwerpen.; en terecht. De wetgeving, en gelukkig op Europees niveau kon daar niet bij achterblijven en is grondig herzien.

Deze aandacht heeft geleid tot een voorstel van de Europese Commissie voor de General Data Protection Regulation (GDPR). In Nederland wordt deze ‘regulation’: Algemene Verordening Gegevensbescherming (AVG), genoemd. De AVG werd vorig jaar rond deze tijd reeds vast gesteld, maar treedt op 25 mei 2018 in werking. Dat gaf vanaf vorig jaar organisaties 2 jaar de tijd de bedrijfsvoering, rondom het vasthouden, bewerken en delen van persoonsgegevens, aan te passen.

De nieuwe privacywet is geen richtlijn of kader, maar een grondrecht van mensen met directe ankerpunten in de Nederlandse Grondwet (Artikel 10 lid 1), het Europees Verdrag voor de rechten van de mens (Artikel 8) en het Internationaal Verdrag inzake burgerrechten en politieke rechten (Artikel 17). Hiermee wordt ieders (grond)recht op privacy gewaarborgd.

Dat betekent dat feitelijk elke organisatie, privaat of publiek (enkele uitzonderingen daargelaten), de AGV moet gaan implementeren en dat je als privépersoon naar een organisatie een enorm krachtige positie krijgt. Hoe dát gaat uitwerken naar handhavingsprocessen kan op dit moment nog niet worden ingeschat.

De veranderingen van de nieuwe AVG ten opzichte van de bestaande Wbp zijn significant:

  • De nieuwe wet draait privacybescherming om. In de basis vertrouwt de wet niet meer op een goed gesprek en blauwe ogen, maar eist van de organisatie aantoonbare werking van de AVG. Laat het dus maar zien, dat jouw organisatie binnen de wettelijke kaders omgaat met persoonsgegevens
  • De boetes die de Autoriteit Persoonsgegevens kan opleggen zijn erg hoog en bedoeld als afschrikmiddel voor organisaties met grote  appetijt om informatie te bewaren, op te waarderen en te distribueren
  • Er wordt scherper gelet op de doelmatigheid van het bewaren van persoonsgegevens (doelbinding). Gegevens kunnen na verloop van tijd wél een andere doelbinding krijgen. Het wettelijk archiveren en historische – en statistisch onderzoek, wordt onder meer als een rechtmatige verandering van doelbinding beschouwd
  • Het recht op inzage (Artikel 15, AVG), recht op vergetelheid (Artikel 17, AVG) en recht op dataportabiliteit (Artikel  20, AVG), zijn grondrechten van mensen waardoor de IT-functie van een organisatie serieus aan de slag moet. IT-complexen zijn hier niet op ingericht, laat staan dat organisaties, in de zo langzamerhand weer ontluikende economie, financiële ruimte hebben om de IT-functie grondig te gaan herzien.

Dit vraagt om een serieuze aanpak en het regisseren van de noodzakelijke maatregelen. Als transitie partner staat Bauhaus ArtITech voor u klaar……..

Leave a comment