U bent hier
Vijf vragen aan Alexandra Piksen: 'Strengere eisen aan verwerking persoongegevens'
Op 25 mei 2018 begint de Nederlandse Autoriteit Persoonsgegevens met de handhaving van de Algemene Verordening Gegevensbescherming (AVG), die op 24 mei 2016 in werking trad. Alexandra Piksen, directeur juridische zaken van de NOB, schreef de brochure Handreiking ter voorbereiding op de Algemene Verordening Gegevensbescherming – te downloaden van de website.
Hoe typeer je de AVG in enkele zinnen?
‘Ze vervangt de Wet bescherming persoonsgegevens. In vergelijking daarmee zijn de rechten van de betrokkenen stevig versterkt en gelden behoorlijk strengere verplichtingen voor degenen die verantwoordelijk zijn voor de gegevensverwerking. Daarnaast kunnen aanzienlijk hogere boetes worden opgelegd.’
Kernbegrip in de AVG is de verantwoordingsplicht of accountability. Wat houdt die in?
‘De verantwoordelijkheid voor het voldoen aan de beginselen uit de AVG ligt expliciet bij de verwerkingsverantwoordelijke. Die moet er niet alleen op toezien dat die beginselen worden nageleefd, maar moet dat ook kunnen aantonen.’
Over welke beginselen hebben we het dan?
‘Persoonsgegevens moeten worden verwerkt op een manier die ten opzichte van de betrokkenen rechtmatig, eerlijk en transparant is. Dat betekent kort gezegd dat ze alleen mogen worden verzameld voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden en daarna niet mogen worden verwerkt op een manier die niet met die doeleinden te verenigen is. Daarnaast moeten de gegevens zo nodig worden bijgewerkt, mogen ze niet langer bewaard worden dan noodzakelijk en moeten ze passend worden beveiligd.’
In bepaalde gevallen moet de verwerkingsverantwoordelijke een register bijhouden. Voor wie geldt die verplichting?
‘In de AVG staat daarover dat dit alleen geldt voor organisaties met meer dan tweehonderdvijftig werknemers en voor organisaties die risicovolle verwerkingen uitvoeren, structureel persoonsgegevens verwerken of dat met gevoelige gegevens doen. Omdat zowat alle belastingadviseurs structureel persoonsgegevens verwerken – vooral financiële, dus gevoelige – mag ervan worden uitgegaan dat elke belastingadviespraktijk, ongeacht de omvang, een register moet bijhouden. De AVG bevat overigens geen voorschriften over de manier waarop zo’n register moet worden opgezet. In onze brochure geven we als bijlage een format waarvan de leden gebruik kunnen maken.’
Die brochure bevat ook een plan van aanpak?
‘Ja, daarin wordt stapsgewijs aangegeven hoe je de AVG het best tegemoet kunt treden. Dat loopt van ‘Inventarisatie verwerkingen’ tot en met ‘Privacybeleid’.’