krachtig in de zaak

Privacy is hot. Net als de bescherming van persoonsgegevens. Denk maar aan begrippen als ‘datalek’ en de ‘sleepwet’. Veel van de spelregels over hoe je moet omgaan met persoonsgegevens staan in de Wet bescherming persoonsgegevens. Alleen dat gaat veranderen. Over een half jaar krijgen we te maken met de Algemene Verordening Gegevensbescherming (AVG). Als je er op gaat letten, kom je er steeds meer over tegen. Vaak koppelt men er dan de vraag aan of u als bedrijf/organisatie al klaar bent voor de AVG. In een aantal bijdragen gaan we hier wat dieper op in. En je begint altijd met deel 1 dus dat doen we nu ook. Gewoon wat inleidende opmerkingen en begrippen.

Waarom nu ineens zoveel aandacht?
Waarom is er nu ineens zoveel aandacht voor de AVG? De AVG is al op 4 mei 2016 gepubliceerd in het publicatieblad van de Europese Unie. Dat komt omdat de AVG op 25 mei 2018 in werking treedt. En dus moeten we ons voor die datum allemaal voorbereiden op de komst van die nieuwe wetgeving. Tot 25 mei 2018 geldt in Nederland nog gewoon de Wet bescherming persoonsgegevens. Veel regels uit die wet blijven hetzelfde in de AVG. Wel betekent het dat er een wet moet worden ingetrokken (Wbp) en dat er tegelijk een nieuwe wet moet komen (AVG). Hoe wil de overheid dat doen?
 
Actuele status?
De bedoeling is om dit te regelen via de ‘Uitvoeringswet AVG’. Het voorstel voor die wet ligt bij de Raad van State. Uiteindelijk moet het nog langs de Tweede Kamer e.d. Kortom, het is de vraag of dit allemaal gaat lukken voor 25 mei 2018. Als het niet lukt is dat ook geen wereldschokkend probleem. De AVG is per die datum gewoon van kracht en is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens.
 
Persoonsgegevens en verwerking
Om de AVG wat meer te begrijpen is het belangrijk om van twee begrippen de definitie te geven. We moeten toch weten waar het precies over gaat en wat er wordt bedoeld.

1. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (…), zoals een naam, een identificatienummer, locatiegegevens (…).
2. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens (…), zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Wat komt daar bij kijken?
In de AVG staan zes uitgangspunten genoemd die belangrijk zijn bij het verwerken van persoonsgegevens. Zeg maar een soort randvoorwaarden die je in acht moet nemen. Persoonsgegevens moeten:

1. op een rechtmatige manier worden verwerkt
2. voor een uitdrukkelijk omschreven en gerechtvaardigd doel worden verzameld
3. worden beperkt tot wat noodzakelijk is voor het doel van de verwerking
4. juist en correct zijn
5. niet langer worden bewaard dan nodig is voor het doel van de verwerking
6. beveiligd worden bewaard en beschermd tegen ongeoorloofde verwerking of vernietiging

In de volgende bijdrage (deel 2) bespreken we de vraag wanneer je nu persoonsgegevens van mensen mag verwerken. Moet iemand daar toestemming voor geven?
 
De volledige wettekst van de AVG kunt u hier lezen.