De pricavy wet in een notendop

Op 25 mei 2018 is de AVG (algemene verordening gegevensbescherming) van kracht geworden in Nederland. De AVG is de Nederlandse versie van de GDPR (general data protection regulation) die voor de gehele EU van kracht is geworden. WIE WORDT BESCHERMD TEGEN WIE? Doel van deze verordeningen is om de privacy van de EU burger te beschermen tegen data verzamelende- en data verwerkende ondernemingen (of natuurlijke personen) die gevestigd zijn in de EU, of die gevestigd zijn buiten de EU, maar actief zijn binnen de EU. WELKE SPELERS OP HET BORD? Binnen de AVG worden de rollen controller (hoofdverantwoordelijke) en processor (verwerker) gehanteerd om onderscheid te maken tussen de hoofdverantwoordelijke gebruiker en de uitvoerende partij. Denk bij uitvoerende partij bijvoorbeeld aan een ingehuurde dienstverlenende partijen of aan leveranciers van online digitale tools. Wij voegen hier nog de data-eigenaar (data-owner) aan toe. WELKE SOORTEN PERSOONLIJKE DATA? De AVG onderscheid drie soorten persoonlijke data:

  1. Normale data, zoals naam, adres en woonplaats en bankrekeningnummer.
  2. Gevoelige data (denk aan: fraude gevoelig) zoals ID gegevens, BSN, Pincodes, DigiD machtigingen, inlogs, etc.
  3. Bijzondere data (denk aan: discriminatie gevoelig) zoals ras, ziektehistorie, seksuele geaardheid, geloof, persoonlijk fotomateriaal, etc.

ZES LEGALE REDENEN VOOR GEBRUIK VAN PERSOONLIJKE DATA In de AVG worden 6 juridische grondslagen genoemd op grond waarvan data verwerkt mag worden

  1. Contract gebonden data. Voor vrijwel ieder contract is noodzakelijkerwijs persoonsgebonden data (soort normaal en soort gevoelig) nodig. Denk bijvoorbeeld aan een koopovereenkomst of aan een lening.
  2. Data met instemming vooraf (informed consent data). Specifiek benoemde data mag voor specifiek benoemde doelen gebruikt worden indien vooraf aantoonbaar goed geïnformeerd is en aantoonbaar toestemming verkregen is. Denk bijvoorbeeld aan data om persoonlijke (geprofileerde) nieuwsbrieven te versturen.
  3. Wet gebonden data. Denk aan eisen die bijvoorbeeld fiscale wetten of strafrechtelijke wetten stellen (bewijsmateriaal).
  4. Veiligheid gebonden data. Denk aan data die het verschil kan maken tussen leven en dood bij ongelukken en medische verzorging.
  5. Data nodig om publieke taken te vervullen. Denk aan demografisch of medisch onderzoek. Het bewaken van de veiligheid op straat. Etc.
  6. Data nodig voor een ander gerechtvaardigd belang. Dit zullen vaak private belangen zijn, zoals bedrijfsbeveiliging of marktonderzoek. Dit gerechtvaardigde belang moet afgewogen zijn tegen én zwaarder wegen dan de algemene privacy principes en privacyrechten van de data-eigenaar, zoals genoemd in de AVG/GDRP.

PRIVACY PRINCIPES ALS VERTREKPUNT De AVG gaat uit van drie belangrijke algemene principes.

  • Privacy by default (alleen doelgericht gebruik).
  • Accountability (verantwoorden door transparantie).
  • Privacy by design (alleen onmisbare data / goede beveiliging).

VERTALING NAAR CONCRETE RECHTEN VOOR DE DATA-OWNER Concreet heeft een data-eigenaar de volgende rechten: Inzichtrecht:

  • Welke persoonlijke data van mij wordt bewaard?
  • Voor welk doel wordt die data gebruikt?
  • Op basis van welke grondslag?
  • Waar wordt die data opgeslagen?
  • Hoe lang wordt die data opgeslagen?
  • Wie kan bij die data?
  • Hoe wordt die data beveiligd?

Correctie en verwijderingsrecht (voor zover niet in strijd met wettelijke vereisten):

  • Om foute data aan te (laten) passen.
  • Om persoonlijke data te laten verwijderen.

Informatierecht

  • Bij een eventueel datalek heeft de data eigenaar het recht hier meteen over geïnformeerd te worden.

Bezwaarrecht

  • Het recht om via een transparante procedure/route bezwaar aan te tekenen bij de controller tegen bepaald data gebruik en daar (dus) binnen een redelijke termijn een reactie op te krijgen.

Klachtrecht

  • Het recht om bij een nationale toezichthouder, de Autoriteit Persoonsgegevens, een klacht in te dienen.

Ons privacy statement thermieq hanteert vanaf haar oprichting geheimhoudingsgarantie voor zowel persoonlijke als zakelijke data. We verwelkomen en ondersteunen de AVG en blijven alles wat redelijkerwijs in ons vermogen ligt doen om zorgvuldig om te gaan met alle data die ons is toevertrouwd. Meer weten? Lees ons privacy statement hier.