Nieuwe privacywet, top 10 veranderingen

woensdag 22 november 2017

 

De nieuwe privacywet: de top 10 veranderingen


In deze serie blogs geven wij aan wat de tien belangrijkste veranderingen zijn die de nieuwe Europese privacywet, de "Algemene Verordening Gegevensbescherming (AVG)" met zich meebrengt.

1. Bewerkersovereenkomsten uitbreiden
2. Nieuwe regels over gegevens van kinderen
3. Datamap aanleggen
4. Toestemmingseisen worden strenger
5. Regels over profilering
6. Soms is een Privacy Impact Assessment (PIA) verplicht
7. Soms is een Functionaris Gegevensbescherming (FG) verplicht
8. Het recht op "dataportabiliteit"
9. Waar mogelijk "privacy by design" en "privacy by default" toepassen
10. Privacyverklaring moet uitgebreider

In dit blog: wanneer is uw organisatie verplicht een "Functionaris Gegevensbescherming" te benoemen?

___________________


Nummer 8: het nieuwe recht op "data-portabiliteit" of "gegevensoverdracht"


Wat is er nieuw aan het recht op data-portabiliteit of gegevensoverdracht?

Het is letterlijk een nieuw recht: in de bestaande privacywet (de Wet bescherming persoonsgegevens/Wbp) bestaat het recht niet.


Wat zijn dan de bestaande rechten?

De personen wiens persoonsgegevens worden verwerkt, hebben op basis van de Wbp de volgende rechten met betrekking tot hun persoonsgegevens: 

1. het recht op inzage in hun gegevens (in de praktijk inclusief het recht op een kopie van de gegevens);

2. het recht om onjuiste gegevens te laten corrigeren;

3. het recht om onvolledige gegevens aan te laten vullen;

4. onder voorwaarden: het recht om gegevens te laten verwijderen;

5. onder voorwaarden: het recht om gegevens te laten "beperken";

6. het recht om eenmaal gegeven toestemming weer in te trekken;

7. onder voorwaarden: het recht om bezwaar te maken, waaronder bezwaar tegen direct marketing.

In de nieuwe privacywetgeving (de Algemene Verordening Gegevensbescherming) staan de bovenstaande rechten ook. Kijk voor meer informatie hierover in het Factsheet Verzoeken.

Onder de nieuwe privacywet blijven de rechten voor een groot deel hetzelfde (welke rechten de personen onder de nieuwe privacywet hebben en hoe daar mee om te gaan staat uitgewerkt in ons Draaiboek Verzoeken). 


Wat houdt het recht op "data-portabiliteit" of "gegevensoverdracht" dan in?

Het recht op data-portabiliteit of gegevensoverdracht houdt kort gezegd in dat de personen wiens persoonsgegevens worden verwerkt onder bepaalde voorwaarden recht hebben om die gegevens in een "gangbaar format" mee te krijgen.

Dit zijn de voorwaarden waaronder de persoon dit kan vragen:

als het verwerken van de persoonsgegevens:

- is gebaseerd op toestemming of noodzakelijk is voor het uitvoeren van een overeenkomst met of ten behoeve van de persoon;

- de persoonsgegevens geautomatiseerd (dat wil zeggen: digitaal of elektronisch) worden verwerkt;

en

- het gaat om persoonsgegevens die zij zelf hebben verstrekt of hebben gegenereerd (denk hierbij bijvoorbeeld aan het invullen van een formulier, een bestelgeschiedenis of gegevens die via het gebruik van een app of social media platform worden gegenereerd); 

dan moet uw organisatie:

1. de persoonsgegevens van de persoon aan de persoon overdragen in een gestructureerd, gangbaar en machineleesbare vorm; 

en

2. indien mogelijk, op verzoek van de betrokkene ook zo overdragen aan een andere partij.


Wat is een "gestructureerd, gangbaar en machineleesbare" vorm? 

Een duidelijk voorbeeld voor overdracht in een gestructureerd, gangbaar en machineleesbare vorm is de persoonsgegevens meegeven in een Excel of Word bestand.

Maar, uw organisatie kan (maar hoeft niet) bijvoorbeeld ook een automatic programming interface (API) bouwen om de gegevens aan de persoon mee te kunnen geven. 


Wanneer zijn gegevens nodig voor het uitvoeren van de overeenkomst?

Om vast te stellen welke persoonsgegevens echt nodig zijn voor het uitvoeren van de overeenkomst, kunt u het beste nagaan of u uw diensten aan de persoon zou kunnen leveren of producten zou kunnen verkopen zonder de gegevens. Als dat niet kan zonder de gegevens dan zijn ze nodig voor het uitvoeren van de overeenkomst.

Bijvoorbeeld: als u online producten verkoopt, zult u de NAW gegevens van uw klanten nodig hebben om die producten te verzenden. De bestelgeschiedenis is nodig om de persoon te kunnen laten zien welke bestellingen hij heeft gedaan. 


Hoe kan ik mijn organisatie hier op voorbereiden?

Hieronder een stappenplan:

1. Inventariseer in welke gevallen een persoon de persoonsgegevens verstrekt, dan wel deze genereert (bijvoorbeeld door het gebruik van een apparaat);

2. Ga na welke gegevens geautomatiseerd (elektronisch / digitaal) worden verwerkt;

3. Ga na voor welke gegevens toestemming wordt gevraagd en welke gegevens nodig zijn voor het uitvoeren van de overeenkomst;

4. Aan de hand van deze inventarisatie heeft u als het goed is vast gesteld welke persoonsgegevens onder het recht op "data-portabiliteit" of "gegevensoverdracht vallen;

5. Zorg dat de gegevens op een makkelijke manier uit het systeem kunnen worden gehaald en in een bestand kunnen worden gezet. Breng de medewerkers er van op de hoogte dat de personen hier om kunnen vragen. U kunt de persoon dat ook zelf laten doen, via een online account.
 

Actiepunt: zorgen dat het recht op data-portabiliteit/gegevensoverdracht wordt gefaciliteerd.

 

__________________


Weten hoe uw organisatie onder de nieuwe privacywet moet reageren op de verzoeken van personen, waaronder het recht op data-portabiliteit en gegevensoverdracht?

Bestel ons Draaiboek Verzoeken.


Plaats uw commentaar