NAJK over…de nieuwe privacywet

Informatie voor AJK, JAV en provinciale AJK bestuurders

Op 25 mei 2018 treedt de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), in werking. Deze wet vervangt de Nederlandse Wet bescherming persoonsgegevens. Hierdoor gelden straks in alle landen van de Europese Unie dezelfde privacyregels. NAJK treft voorbereidingen om te voldoen aan de vereisten van de AVG.

Waarom komt er een nieuwe privacywet?

De huidige wetgeving is gebaseerd op de privacyrichtlijn uit 1995. Internet en social media is in de jaren daarna een steeds grotere rol gaan spelen. Mensen laten op internet bewust en onbewust veel persoonsgegevens achter. Organisaties mogen persoonsgegevens niet zomaar gebruiken. De AVG richt zich op het gebruik van persoonsgegevens in het huidige tijdperk.

Wat verandert er met de nieuwe wet?

Bedrijven en organisaties krijgen met de wet meer verplichtingen en moeten in heldere taal uitleggen welke gegevens ze precies gebruiken en wat ze ermee doen. Hierbij gaat het om persoonsgegevens die zowel online, als offline worden verkregen. Ook krijgt de burger meer rechten. Op deze manier wordt een burger beter beschermt. Daarnaast kan de Autoriteit Persoonsgegevens sneller en hogere boetes uitdelen wanneer er slordig en/of verkeerd omgegaan wordt met privacygegevens. Hier hoeft geen waarschuwing aan vooraf te gaan. De nieuwe wet geldt niet alleen voor gegevens die verkregen zijn nadat de nieuwe wet is ingegaan, maar geldt ook voor eerder verkregen persoonsgegevens.

Wat zijn persoonsgegevens?

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (art. 4 definities). Het is dus informatie die direct over iemand gaat of naar een persoon te herleiden is. Voorbeelden van persoonsgegevens zijn; naam, adres, woonplaats, telefoonnummer, foto’s en email. Je bent dus bijvoorbeeld al met persoonsgegevens bezig als je een mailtje en nieuwsbrief stuurt naar leden, aanmeldingen voor bijeenkomsten verzamelt en de ledenadministratie bijhoudt.

Wat zijn de privacyrechten van een persoon?

  • Het recht op dataportabiliteit.

Dit is het recht dat een organisatie of bedrijf persoonsgegevens moet overdragen aan een andere organisatie wanneer de persoon erom vraagt.

  • Het recht op vergetelheid

Dit is het recht om ‘vergeten’ te worden, dus dat de organisatie persoonsgegevens definitief verwijdert.

  • Het recht op inzage

Dit is het recht dat mensen eigen persoonsgegevens mogen inzien.

  • Het recht op rectificatie en aanvulling

Dit is het recht dat mensen eigen persoonsgegevens mogen wijzigen die van hen bewaard worden.

  • Het recht op beperking van de verwerking

Dit is het recht om minder gegevens te laten verwerken.

  • Het recht met betrekking tot geautomatiseerde besluitvorming en profilering

Dit is het recht om een besluit te laten heroverwegen door een mens als een besluit eerder is gemaakt op basis van automatisch verwerkte gegevens.

  • Het recht om bezwaar te maken tegen gegevensverwerking

Als iemand bezwaar maakt tegen het verwerken van zijn persoonsgegevens, dan moet je hiermee stoppen.

Wanneer mag je als organisatie persoonsgegevens verwerken?

Als vereniging, organisatie of bedrijf mag je niet zomaar persoonsgegevens verwerken. Dit mag alleen als:

  1. De betrokken persoon toestemming heeft gegeven
  2. De gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst.

Bijvoorbeeld in verband met een arbeidsrelatie, huurcontract of online verkoop van een product.

  1. De gegevensverwerking noodzakelijk is voor het nakomen van een wettelijke verplichting.

Bijvoorbeeld in verband bij loonaangifte of een bewaarplicht.

  1. De gegevensverwerking noodzakelijk is ter bescherming van de vitale belangen.

Bijvoorbeeld bij een grootschalige ramp en ander acuut gevaar. Deze grondslag is aan de orde als het belangrijk is voor iemands leven of gezondheid en die persoon niet om toestemming gevraagd kan worden.

  1. De gegevensverwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag

Bijvoorbeeld het ophangen van camera’s door gemeenten voor de openbare veiligheid. Organisaties met een publieke taak of organisaties die een taak van algemeen belang uitoefenen kunnen hierop beroepen.

  1. De gegevensverwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen.

Bijvoorbeeld het voeren van een personeelsadministratie. De verwerking van gegevens moet aantoonbaar noodzakelijk zijn om de (bedrijfsactiviteiten) uit te voeren.

Als organisatie ben je zelf verantwoordelijk voor het beoordelen of je gegevens verwerkt op basis van één van de zes hierboven beschreven grondslagen.

Wat is je verantwoordelijkheid als organisatie?

Als organisatie moet je aantonen dat je je bij verwerking van gegevens aan de regels van de AVG houdt. Hierbij moet je aan kunnen geven dat je aan de belangrijkste beginselen van verwerking voldoet:

  • Rechtmatigheid

Je moet de aan kunnen geven dat persoonsgegevens op basis van een van de zes grondslagen worden verwerkt.

  • Transparantie

Het moet duidelijk zijn dat persoonsgegevens verzameld worden en hoe ermee omgegaan wordt.

  • Doelbinding

Gegevens mogen niet zomaar verzameld worden, ze moeten een doel dienen.

  • Minimale gegevensverwerking.

Er mogen niet meer gegevens gevraagd worden dan nodig.

  • Juistheid

Persoonsgegevens moeten juist worden en zo nodig geactualiseerd worden

Ook moet je als organisatie kunnen laten zien dat de juiste technische en organisatorische maatregelen zijn genomen om persoonsgegevens te beschermen. Bijvoorbeeld een goede virusscan en afscherming van gegevens voor onbevoegden.

Wat zijn de spelregels bij schadeclaims?

Wanneer een organisatie beschuldigd wordt van slordig en onjuist omgaan met persoonsgegevens, moet de organisatie aantonen dat zij wel zorgvuldig omgaan met persoonsgegevens. Hier is dus sprake van omgekeerde bewijslast. De organisatie is ook aansprakelijk wanneer er onbewust verkeerd omgegaan is met de gegevens. Als laatste is de bestuurder hoofdelijk aansprakelijk.

Wat moet je als provinciale AJK, AJK en JAV doen?

Ga na welke persoonsgegevens je verwerkt, waar die worden bewaard en wie erbij kunnen. Bedenk of je deze gegevens wel moet opslaan, je er toestemming voor hebt en controleer of de gegevens kloppen. Bijvoorbeeld paspoorten die je hebt gebruikt voor een reis die je georganiseerd heb, zijn niet meer nodig en moeten naderhand dus verwijderd worden en telefoonnummers met 9 cijfers zijn natuurlijk onjuist.

Daarna moet je registreren welke persoonsgegevens je verwerkt, waar die worden bewaard en wie erbij kunnen. NAJK begrijpt dat dit veel werk is voor jullie. Bovendien komt het grootste gedeelte hiervan op landelijk, provinciaal en lokaal niveau overeen. NAJK treft daarom, ook voor lokale en provinciale AJK’s voorbereidingen om te voldoen aan de vereisten van de AVG. NAJK maakt een privacybeleid die voor alle provinciale AJK’s, AJK’s en JAV’s geldt. Deze plaatsen we op www.najk.nl. Hier moet naar verwezen worden als iemand zich inschrijft als lid. Dit privacybeleid ontvangen jullie binnenkort. Mocht dit privacybeleid van NAJK niet alles dekken, dan moeten jullie zelf een aanvullend privacybeleid schrijven.

Dus:

  • Controleer welke persoonsgegevens je verwerkt
  • Controleer waar je die bewaardt
  • Controleer wie erbij kan
  • Controleer of je alle gegevens die je vraagt wel nodig hebt, je er toestemming voor hebt en controleer of de gegevens kloppen, anders moeten ze verwijderd of aangepast worden
  • Loop je bestanden door en verwijder persoonsgegevens wanneer nodig
  • Ga na of al jouw benodigde privacygegevens door het privacybeleid van NAJK gedekt zijn. Indien dit niet het geval is moet je zelf aanvullend privacybeleid schrijven. Uiteraard kan het privacybeleid van NAJK hiervoor als voorbeeld dienen.

Nog vragen of onduidelijkheden?

Hiervoor kun je contact opnemen met Neline Both, algemeen secretaris NAJK via 030-2769864 of nboth@najk.nl. Ook is er zeer veel informatie over de nieuwe privacywet op de website van Autoriteit Persoonsgegevens en via google te vinden.