Sinds 25 mei geldt de nieuwe Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Daarmee krijgen mensen meer en sterkere privacyrechten. En gelden voor organisaties meer verplichtingen om zorgvuldig met persoonsgegevens om te gaan. De Autoriteit Persoonsgegevens (AP) gaat bij het toezicht op de naleving van de nieuwe regels in eerste instantie de focus leggen op de naleving van de verantwoordingsplicht van organisaties, de beveiliging van medische gegevens en de handel in persoonsgegevens. Voorzitter Aleid Wolfsen: “Dit is een historisch moment. We hebben nu in de hele EU dezelfde privacyregels. De privacywetgeving is aangepast aan deze tijd en geeft mensen meer zeggenschap over hun persoonsgegevens. Hiermee is ieders grondrecht op bescherming van je persoonsgegevens beter verankerd.”
Mensen hebben meer en sterkere privacyrechten
Niet iedereen is zich ervan bewust, maar iedereen heeft privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn nu uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als erom vraagt. De regels voor toestemming zijn ook verscherpt: als je toestemming moet geven voor het gebruik van jouw gegevens, mag je die bijvoorbeeld meer niet ongemerkt geven. En je moet je toestemming ook weer makkelijk kunnen intrekken.
Die rechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen. Vanaf vandaag zijn die rechten versterkt: iedereen kan nu ook een privacyklacht indienen bij de AP. De AP zet zich in om mensen bewuster te maken van hun rechten. De toezichthouder is begin dit jaar een uitgebreide voorlichtingscampagne gestart, met onder meer radiospots, informatie op de website en een filmpje.
Voor organisaties gelden nieuwe privacyregels
Organisaties moeten op een verantwoorde manier omgaan met de persoonsgegevens van hun personeel, klanten of de mensen aan wie zij een dienst verlenen. Zij hebben een verantwoordingsplicht: ze moeten bijvoorbeeld goed vastleggen welke gegevens zij verwerken, met welk doel, hoe lang zij die gegevens bewaren, dat zij de gegevens goed beveiligen en met wie ze de gegevens delen. Privacy-instellingen moeten ook zo privacyvriendelijk mogelijk zijn; mensenmoeten er bewust voor kunnen kiezen om iets aan te vinken, in plaats van iets te moeten uit vinken. En een groot aantal organisaties is met de nieuwe wetgeving verplicht om een functionaris gegevensbescherming (FG) te benoemen, een interne toezichthouder.
De AP biedt organisaties praktische hulpmiddelen om aan de wet te voldoen, zoals de regelhulp en het 10-stappenplan. En geeft uitgebreide informatie over de AVG via haarwebsite. Daarnaast is de AP 5 dagen per week bereikbaar voor vragen als organisaties in de praktijk tegen problemen aanlopen.
AP ziet toe op naleving van de AVG met nieuw toezichtkader
De AVG brengt ook veranderingen mee voor het toezicht en de toezichthouder. De AP krijgt er nieuwe taken en bevoegdheden bij, onder meer op het gebied van Europese samenwerking en bij de behandeling van klachten van burgers. In lijn hiermee heeft de AP het afgelopen jaar een reorganisatie doorgemaakt; de nieuwe organisatie heeft een nieuwe missie, een grotere omvang, een andere structuur en een nieuw toezichtkader.
De focus in het toezicht op de naleving van de wetgeving ligt de komende jaren op de naleving van de verantwoordingsplicht door organisaties, door onderzoeken en voorlichting. Maar ook door te controleren of de organisaties die verplicht zijn een FG aan te stellen, zoals overheden en zorginstellingen, op 25 mei een FG hebben. Andere aandachtspunten zijn de beveiliging van medische gegevens, de niet gemelde datalekken en de handel in persoonsgegevens. Daarnaast blijft de AP vanzelfsprekend alert op onderwerpen die actueel zijn en veel mensen raken.