Op 25 mei 2018 gaat de nieuwe Privacywet in, die voor de gehele Europese Unie zal gelden. Deze wet – de Algemene verordening gegevensbescherming (AVG) – gaat veel verder dan de huidige, Nederlandse wet op de bescherming van persoonsgegevens. Deze AVG geeft mensen daarom meer rechten en organisaties meer plichten om zorgvuldig met persoonsgegevens om te gaan.
Eén van de grootste verzamelaars en verwerkers van persoonsgegevens is de gemeente. De gemeente Tilburg zegt in reactie op vragen dat zij op schema zit met het voorbereiden op de nieuwe Europese Privacywet. Zij is bezig om de meest privacy kritische afdelingen in kaart te brengen en het daarbij uitvoeren van de bij wet voorgeschreven taken.
De Autoriteit Persoonsgegevens heeft voor organisaties een stappenplan opgesteld. Deze 10 stappen zijn bedoeld voor alle organisaties die met gegevens van mensen werken, van grote bedrijven en overheden tot en met sportverenigingen en stichtingen.

De gemeentewoordvoerster zegt: “De Algemene Verordening Gegevensbescherming brengt relatief gezien weinig nieuwe dingen. De meeste normen die bij wet gesteld zijn volgen immers al uit de Wet bescherming persoonsgegevens en alle relevante aanhangende wetgeving, zoals de Wet basisregistratie personen. Wat de wet wel met zich meebrengt is dat we in staat moeten zijn om aan te tonen dat we aan de wet voldoen, én dat we in staat zijn om blijvend aan de wet te voldoen, ook daar waar we nieuwe producten en diensten ontwikkelen. Dat is iets wat in de kern van de organisatie moet worden ingebed, voor die taak staan we nu ook. Dat houdt onder meer in, dat we meer aandacht besteden aan privacy by design, maar ook aan training en awareness [= bewustwording – red.].”
wanneer je je abonneert op een digitale nieuwsbrief, is daarvoor alleen een e-mailadres echt nodig om deze e-mails te versturen en zijn alle andere gegevens (leeftijd, geslacht en dergelijke) geheel overbodig.
Privacy by design wordt een verplichting in de nieuwe wet en houdt in dat een organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel ‘privacy enhancing technologies’ (PET) genoemd. Ten tweede houdt de organisatie rekening met dataminimalisatie: dat betekent dat er zo min mogelijk persoonsgegevens worden verwerkt. Dus echt alleen de gegevens die noodzakelijk zijn voor het doel.

De wet vereist dat organisaties transparant zijn over wat ze doen met persoonsgegevens. De woordvoerster van de gemeente Tilburg: “Op onze website staat bijvoorbeeld een privacyverklaring, maar we denken ook aan andere manieren van informatieoverdracht, dat kan zowel mondeling als via bijvoorbeeld (online) folders. Dat is nog niet voor ieder proces bepaald en zal gedurende de jaren ook aan verandering onderhevig zijn. Zoals aan het eerder gezonden stappenplan te zien is zijn we bezig met de verbeteringen daarvan. (…) Het doel is om dit uiteindelijk allemaal duidelijk en transparant inzichtelijk te maken, zonder dat mensen overdonderd worden door enorme hoeveelheden tekst. We houden hierbij rekening met webrichtlijnen voor de overheid, en de transparantieprincipes uit de wet, waaronder teksten die in een voor de doelgroep geschikte taal moeten zijn geschreven.”

De gemeente heeft geen plan om over de Privacywet te communiceren met de inwoners. De gemeente vertrouwt wat dat betreft op de landelijke communicatie campagne zoals die door de Autoriteit Persoonsgegevens wordt gevoerd. Ook nationale programma’s zoals alert online moeten hieraan gaan bijdragen. Internationaal doet ook de Europese Unie dat met een eigen website.
Om te zorgen dat er intern toezicht op wordt gehouden moeten overheidsorganen een Functionaris voor de gegevensbescherming aanstellen per 25 mei 2018. In de gemeente Tilburg is deze op dit moment nog niet aangesteld, dat zal voor 25 mei geregeld zijn. Daarnaast worden er op diverse terreinen audits uitgevoerd. De auditcommissie van de gemeenteraad is daarbij betrokken.
De Autoriteit Persoonsgegevens (AP)
De Autoriteit Persoonsgegevens (AP) is in Nederland belast met de handhaving van deze Privacywet. Burgers die een klacht hebben over de manier waarop een organisatie of bedrijf omgaat met persoonsgegevens, kunnen dat bij de Autoriteit Persoonsgegevens melden. De AP is verplicht om alle klachten in behandeling te nemen.
Overtreedt een organisatie straks de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
Bronnen: Gemeente Tilburg | Autoriteit Persoonsgegevens |
Recente reacties