In 2018 nieuwe regels voor persoonsgegevens

De nieuwe documentatieplicht uit de Algemene verordening gegevensbescherming is van toepassing op de verwerking van persoonsgegevens door organisaties uit de Europese Unie (EU). Denk hierbij bijvoorbeeld aan het administreren van namen, adressen of IP-adressen. De documentatieplicht houdt in dat organisaties die persoonsgegevens verwerken, moeten aantonen dat zij organisatorische en technische maatregelen hebben genomen om de bescherming van deze gegevens te garanderen. De nieuwe verordening vervangt de Europese privacyrichtlijn uit 1995 en is direct van toepassing in de EU. De huidige Wet meldplicht datalekken blijft naast de nieuwe documentatieplicht bestaan.

Voorbeeldaanpassingen ter voorbereiding

De Autoriteit Persoonsgegevens (AP) heeft enkele voorbeeldaanpassingen op haar website gepubliceerd die organisaties nu alvast kunnen invoeren om zich voor te bereiden op de nieuwe regels voor persoonsgegevens:

• apps niet automatisch de locatie van gebruikers laten registreren als dat niet nodig is;
• op de website van uw organisatie niet automatisch aanvinken dat de bezoeker een nieuwsbrief wil ontvangen;
• bij de aanmelding voor een nieuwsbrief niet meer gegevens vragen dan nodig is.

Verplicht privacy assessment

Naast de documentatieplicht worden er per 25 mei 2018 nog drie wijzigingen doorgevoerd:

• organisaties hoeven bij de Autoriteit Persoonsgegevens geen melding meer te doen van de verwerking van persoonsgegevens;
• als er sprake is van een groot privacyrisico moeten organisaties per 25 mei 2018 verplicht een privacy assessment (PIA) uitvoeren;
• organisaties uit de overheidssector (met uitzondering van rechtbanken) of zorgsector moeten een functionaris voor de gegevensbescherming aanstellen. 

De Europese Commissie heeft onlangs een voorstel voor de e-privacyverordening gepubliceerd. Deze verordening staat los van de AVG en vult de AVG aan. In het nieuwsartikel E-privacyverordening vult regels AVG aan vindt u meer informatie hierover.