De Europese Unie heeft 5 jaar geleden regels aangenomen over hoe persoonlijke informatie mag worden verzameld, verwerkt en gebruikt. Kernboodschap: doe het, maar doe het goed. De wet maakt het opslaan van gegevens en het rechtmatig gebruik van informatie mogelijk. Tegelijkertijd stelt het kaders. Dataverzameling moet een helder doel dienen, informatie die wordt gebruikt voor beslissingen moet kloppen en up-to-date zijn en natuurlijk moeten gevoelige gegevens worden beschermd tegen misbruik door derden. Dat is de kern van de Algemene verordening gegevensbescherming (AVG).
Persoonsgegevens verwerken
De AVG legt meer verantwoordelijkheden neer bij organisaties die persoonsgegevens verwerken. Mensen van wie gegevens worden verwerkt, hebben meer rechten gekregen. En alle Europese privacytoezichthouders hebben de bevoegdheid om boetes op te leggen aan organisaties die de regels overtreden.
De AVG geldt voor iedereen die persoonsgegevens verwerkt. Dus niet alleen voor grote bedrijven, maar ook voor kleine mkb’ers en zzp’ers. En voor de overheid. Verder geldt de AVG niet alleen voor organisaties, maar ook voor individuele personen die gegevens verwerken.
Zes basisprincipes
De AVG kent zes basisprincipes, in de AVG ‘beginselen’ genoemd. Elke organisatie die persoonsgegevens verwerkt, moet zich hieraan houden. En dit kunnen aantonen. Dat is de verantwoordingsplicht.
De zes AVG-beginselen zijn:
- rechtmatigheid, behoorlijkheid en transparantie;
- doelbinding;
- dataminimalisatie;
- juistheid;
- opslagbeperking;
- vertrouwelijkheid en integriteit.
Organisaties mogen persoonsgegevens alleen verwerken in overeenstemming met de wet. Dan is de verwerking rechtmatig. Een verwerking die niet aan de AVG voldoet, is dus onrechtmatig.
Voor betrokkenen moet het behoorlijk en transparant zijn hoe en waarom hun persoonsgegevens verwerkt worden. Zij moeten in ieder geval op de hoogte zijn van de identiteit van de organisatie die hun persoonsgegevens verwerkt. Ook moet het doel van de gegevensverwerking duidelijk zijn.
Organisaties mogen persoonsgegevens alleen verzamelen met een gerechtvaardigd doel. Dat doel moet specifiek zijn en vooraf uitdrukkelijk zijn omschreven.
Boete opleggen
Organisaties hebben door de AVG meer verantwoordelijkheden gekregen. Ook staat er meer op het spel, want zij kunnen een hoge boete krijgen als zij de AVG overtreden. De Autoriteit Persoonsgegevens kan een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Begrijpen, uitleggen en toepassen
De eerste 5 jaar van de AVG hebben in het teken gestaan van het begrijpen, uitleggen en toepassen van de wet. Bedrijven en overheidsorganisaties hebben grote inspanningen verricht om hun processen op orde te krijgen. Dat kostte het nodige werk en stelde hen voor basale vragen. Welke data hebben we precies? Waarom worden data eigenlijk zo lang bewaard? Zijn de risico’s van de verwerking niet te hoog?
De Autoriteit Persoonsgegevens (AP) heeft dit proces begeleid door te adviseren, aan te sturen en waar nodig handhavend op te treden. In 5 jaar is daardoor een enorme slag gemaakt en houden veel burgers, bedrijven en overheidsinstanties zich goed aan de wet.
Unique selling point
De komende 5 jaar gaat de Autoriteit de volgende stap zetten naar een samenleving waarin burgers en anderen zich vanzelfsprekend houden aan de regels. Niet alleen omdat het moet, maar omdat ze weten hoeveel schade daarmee wordt voorkomen. Een samenleving waarin bedrijven het gegevensbeschermingsrecht als ‘unique selling point’ inzetten en inzien dat een goede datahuishouding geen kostenpost is, maar bijdraagt aan een efficiënte bedrijfsvoering. Een samenleving waarin overheidsinstanties snappen dat de regels uit de AVG hen helpen om hun taken goed en adequaat uit te voeren.
Drie speerpunten
De rol van de AP zal de komende 5 jaar veranderen.
- Het gegevensbeschermingsrecht in de digitale samenleving is de hoeksteen van alle grondrechten. Het bevat de basisvoorwaarden voor een vrij en open debat, waakt tegen discriminatoire besluitvorming, geeft garanties voor eerlijke procedures, beschermt het privéleven en garandeert de individuele autonomie. De AP is daarom de hoeder van de democratische rechtsstaat als het gaat om datagedreven processen. Dat betekent onder meer dat de adviezen van de AP bij wetgevingstrajecten nog breder, fundamenteler en explicieter zullen worden.
- De AP heeft de afgelopen 5 jaar veel klachten van slachtoffers ontvangen. Naarmate digitalisering nog dieper op de levens van burgers ingrijpt en fouten nog grotere consequenties hebben, wordt het nog essentiëler om misstanden te voorkomen. Daarom zal de AP de komende jaren vaker proactief optreden, ambtshalve onderzoeken instellen en gegevensverwerkingsprocessen al dan niet tijdelijk stopzetten bij gebleken misstanden.
- Zowel in de private als de publieke sector wordt steeds meer gebruikgemaakt van algoritmes. Als algoritmetoezichthouder zal de AP zich de komende jaren niet alleen richten op de effecten van geautomatiseerde besluitvorming, maar ook onder de motorkap kijken: hoe worden algoritmes getraind, welke aannames zitten daarin verborgen en hoe zijn verantwoordelijkheden belegd? Leven in een vrije en open samenleving kan betekenen dat algoritmes niet kunnen worden ingezet, dat de overheid juist meer investeert in menselijk contact, dat iedere burger op zijn eigen merites wordt beoordeeld en niet als onderdeel van een algoritmische groep.
Bron: Blog Aleid Wolfsen, voorzitter AP op Autoriteit Persoonsgegevens.nl en De AVG in het kort
Volg ook de Online cursus Personeel en AVG/privacy met Frank Troost op 6 juni van 13.00-15.00 uur.
