Privacy heeft het afgelopen jaar veel aandacht gekregen van de meeste gemeenten, ingegeven door de inwerkingtreding van de Wet meldplicht datalekken in januari 2016. Deze meldplicht is een aanvulling op de bestaande wetgeving, de Wet Bescherming Persoonsgegevens (Wbp) uit 2001. Ook in 2017 zal het privacy-domein weer de nodige aandacht vragen; nu in het licht van de Algemene Verordening Gegevensbescherming (AVG). De AVG valt onder de Europese wetgeving en vervangt de Europese privacyrichtlijn uit 1995. Deze nieuwe Europese wet zal, in afwijking van de richtlijn uit 1995, direct van toepassing zijn. De Wbp komt hiermee te vervallen. De ingangsdatum van de AVG is 25 mei 2018. Wat zijn de verschillen tussen de AVG en de Wbp en hoe kunt u zich op de komst van de nieuwe wet voorbereiden? Hieronder een aantal tips!
Toezicht
Een belangrijk verschil met de Wbp zit hem in de lijn van verantwoording en toezicht. Op dit moment is de Autoriteit Persoonsgegevens (AP) toezichthouder in het kader van de Wbp. Deze rol verandert niet met de komst van de AVG. Wat wel verandert is de verplichte benoeming van een Functionaris Gegevensbescherming (FG) binnen de gemeente. De FG heeft een adviserende, informerende rol met toetsende taken en wordt daarmee een soort ‘toezichthouder’ binnen de gemeente. Om goed invulling te geven aan zijn taken zal de FG de samenwerking met de AP zoeken en het contact hiermee onderhouden. De FG adviseert over alle vraagstukken ten aanzien van gegevensverwerking en ziet toe op de juiste uitvoering van de AVG. De wetgeving stelt verschillende eisen aan de FG:
- De belangrijkste eis is dat de FG onafhankelijk gepositioneerd is in de organisatie.
- De FG moet op basis van vakinhoudelijke kwaliteiten benoemd worden.
- Hij rapporteert direct aan de hoogste leidinggevende.
- De FG moet goed ondersteund worden bij de uitvoer van zijn taken.
Uiteraard kan de rol gecombineerd worden met andere taken, maar mag nooit tot een belangenconflict leiden. Om de onafhankelijkheid te borgen wordt er in de wet ook gesproken over ontslagbescherming en bescherming tegen straffen als gevolg van de uitvoering van taken.
Verantwoording
De FG zal onder andere adviseren bij en toezien op de uitvoer van een PIA (Privacy Impact Analyse). Deze PIA wordt in de AVG verplicht voor nieuwe verwerkingen waarbij persoonsgegevens betrokken zijn. Dit gaat niet alleen om gegevensbestanden in de conventionele benadering maar ook om zaken als cameratoezicht. De AP zal, in overleg met de andere toezichthoudende partijen in de andere lidstaten, nog met een lijst komen van alle soorten verwerkingen waarbij een PIA noodzakelijk is. Indien uit de PIA blijkt dat het risico van verwerking hoog is, zal de organisatie schriftelijk advies moeten vragen aan de toezichthouder (de AP). Hiertegenover staat dat de gemeente niet meer iedere gegevensverwerking waar persoonsgegevens in opgenomen zijn hoeft te melden bij de AP. Wel moet de gemeente gedocumenteerd aan kunnen tonen dat zij voldoende technische en organisatorische maatregelen heeft genomen om aan de AVG te voldoen. Dit wordt ook wel de ‘documentatieplicht’ genoemd.
Recht op correctie en verwijdering
In de AVG is vastgelegd dat iedereen het recht heeft om zijn gegevens te laten rectificeren of te laten verwijderen: ‘het recht op vergetelheid’. Concreet betekent dit dat de betrokkene het recht heeft om zijn gegevens te laten wissen en niet verder te laten verwerken wanneer deze niet langer nodig zijn voor het doel waarvoor ze verzameld zijn. In de huidige processen worden deze gegevens binnen de gemeente vaak (te) lang bewaard. Bij een melding openbare ruimte worden vaak de persoonsgegevens geregistreerd om de terugmelding van afhandeling te kunnen doen. De betrokkene kan dus eisen dat deze persoonsgegevens na afmelding verwijderd worden. Om dit te kunnen faciliteren zal in veel gevallen een aanpassing van systemen nodig zijn.
Daarnaast is in de huidige situatie de Wbp niet van toepassing op de Basisregistratie Personen (BRP). De AVG zal hier wel op van toepassing zijn, wat mogelijk vraagt om aanpassing van de Wet BRP.
Waar te beginnen?
Om goed voorbereid te zijn op de AVG is het van belang te beginnen met het aanwijzen van één persoon in de organisatie die zich gaat richten op de implementatie van de wet. Het meest voor de hand liggend is natuurlijk om de beoogd FG deze rol te geven. Zodoende wordt hij direct het ‘privacy-gezicht’ in de organisatie. Deze persoon kan de implementatie echter niet in zijn eentje vormgeven. De FG zal dus een team moeten formeren met een brede vertegenwoordiging in de organisatie. Voor zover dit plaatje nog niet geschetst is, begint de implementatie met het in kaart brengen van alle registraties waar persoonsgegevens in ondergebracht zijn. Vergeet hierbij de kerstkaartenadministratie van het college niet…
Meer weten?
Voor meer informatie kunt u contact opnemen met Arno van Waesberghe via tel. nr. 06 39 06 62 58 of via e-mail: a.v.waesberghe@telengy.nl.