AP maakt handhavingsprioriteiten bekend

Sinds 25 mei jl. is de Europese privacy verordening AVG een feit. De AP liet diezelfde dag meteen van zich horen en maakte de handhavingsprioriteiten voor de komende tijd bekend. De AVG geldt voor de hele Europese Unie en kent natuurlijke personen meer en sterkere privacyrechten toe. Dat betekent ook dat er meer verplichtingen met betrekking tot persoonsgegevens gelden voor organisaties die gegevens van bijvoorbeeld klanten, personeel of andere personen uit de EU verzamelen of verwerken. De wet geldt voor alle bedrijven en organisaties, dus ook voor zzp’ers, klein en groot mkb, scholen, zorginstellingen, verenigingen en stichtingen.

Wie houdt toezicht op de AVG?
Toezicht op naleving van de nieuwe regels gebeurt in Nederland door de Autoriteit Persoonsgegevens (AP). Door de nieuwe regelgeving heeft de AP nieuwe bevoegdheden (waaronder de mogelijkheid tot het opleggen van boetes) en taken gekregen, onder meer bij de behandeling van klachten van burgers. De focus zal in eerste instantie worden gelegd op de naleving van de verantwoordingsplicht van organisaties (het principe van accountability), de beveiliging van medische gegevens, de handel in persoonsgegevens en of organisaties die daartoe verplicht zijn op 25 mei een functionaris  voor de gegevensbescherming (FG) hebben aangesteld.

Wat zijn de rechten van personen onder de AVG?
Privacyrechten van personen zijn door de AVG op een aantal punten sterk uitgebreid. Een aantal van de belangrijkste rechten zijn onder andere het recht op inzage, het recht op dataportabiliteit, het recht op vergetelheid en het recht om gegeven toestemming op ieder moment weer in te trekken. Dat laatste moet bijvoorbeeld ook net zo eenvoudig kunnen als dat de toestemming kon worden gegeven. Personen kunnen deze rechten zelf uitoefenen, maar ze kunnen ook een klacht indienen bij de AP. Een of meerdere klachten kunnen aanleiding zijn voor de AP om een onderzoek te starten.

Wat zijn de verplichtingen voor organisaties onder de AVG?
Organisaties moeten de manier waarop ze met persoonsgegevens omgaan aantoonbaar kunnen verantwoorden: zij hebben een verantwoordingsplicht. Er moet bijvoorbeeld duidelijk worden vastgelegd welke persoonsgegevens er worden verwerkt (de registerplicht van art. 30 AVG). Een aantal andere zaken die ook moeten worden vastgelegd zijn het doel van de verwerkingen, de bewaartermijnen, hoe de gegevens worden beveiligd en met wie de gegevens worden gedeeld. Wat het beleid van uw organisatie ook is, u ontkomt er niet aan een aantal zaken op papier te regelen.

Silvia Vinken / Marco van Zutphen
Onlangs is de tweede druk van het boek ‘Checklist Privacy AVG, privacybeleid in 46 checklists’ verschenen. Het boek biedt ondersteuning bij het voldoen aan de eisen van de AVG. Indien u interesse heeft in het boek kunt u mailen naar privacy@banning.nl.

Indien u meer wilt weten over de AVG en op welke wijze u compliant kunt zijn: schroom niet om vrijblijvend contact op te nemen met de Praktijkgroep Privacy  van BANNING.