Algemene verordening gegevensbescherming en andere regelgeving omtrent privacy
AVG: inleiding en beginselen
Met de komst van de Algemene Verordening Gegevensbescherming (AVG) ter vervanging van de Wet bescherming persoonsgegevens (Wbp) gaan er een aantal aspecten wijzigen v.w.b. de verwerking van persoonsgegevens. Er zijn vele blogposts aan besteed op het internet, door bedrijven variƫrend van advocatenkantoren en ziekenhuizen tot ict-bedrijven. Veel van deze blogposts raken slechts de oppervlakte, maar zij gaan niet in op de details en vermelden niet de artikelen waarin deze wijzigingen te vinden zijn. Met deze reeks blogposts wordt getracht ieder te informeren die met privacy te maken heeft. Daarnaast hopen wij enkele mythes bloot te leggen, zodat men zich goed kan voorbereiden op de AVG. Deze blogs zullen echter niet alle details bespreken. Het materiƫle en territoriale toepassingsgebied zal bijvoorbeeld niet worden besproken.
Deze blogs zijn bedoeld voor eenieder die te maken heeft met persoonsgegevens. Voorbeelden zullen wellicht meer worden gehaald uit de zorg, maar zijn op elke andere sector ook van toepassing. Specifiek zijn deze blogs bedoeld voor de functionaris voor de gegevensbescherming, systeembeheerders en andere geĆÆnteresseerden die niet alleen willen weten dat er zoiets bestaat als persoonsgegevens, verantwoordelijke, of het recht op overdraagbaarheid, maar ook willen weten wat deze begrippen inhouden. De teksten zijn enigszins juridisch van aard, omdat er reeds informatie te vinden is die, zoals gezegd, de oppervlakte raken, maar het van belang is om ook een meer diepgaander beeld te schetsen van de privacy regels.
Deze reeks is als volgt opgebouwd. Deze eerste blog zal een aantal rode lijnen van de AVG bespreken en dient als inleiding. De navolgende delen zullen diverse onderdelen behandelen die zullen veranderen, of die juist niet veranderen, maar die de kern van het privacyrecht raken. Niet alleen de AVG wordt behandeld, ook andere relevante wet- en regelgeving wordt aangehaald. Hieronder vindt u de links naar de andere onderwerpen:
- AVG: Inleiding en beginselen
- Definitie (bijzondere) persoonsgegevens
- Verwerkingsverantwoordelijke, verwerker en de verwerkingsovereenkomst
- Grondslag verwerking persoonsgegevens in de gezondheidszorg
- Autorisaties en uitwisseling van gegevens
- Burgerservicenummer
- Datalekken
- Rechten van de betrokkene
- Wetenschappelijk onderzoek
- Administratieve verplichtingen en conclusie
- Waarnemers, detachering, zzpāer en de maatschap
Beginselen van de AVG
De AVG is de opvolger van de huidige richtlijn 95/46/EG. De doelstellingen en beginselen van de richtlijn blijven echter gelden. Waar de richtlijn niet direct de beginselen benoemt, doet de AVG dit wel. Volgens deze beginselen moeten persoonsgegevens:
- worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (rechtmatigheid, behoorlijkheid en transparantie);
- welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (doelbinding);
- toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking);
- zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (juistheid);
- worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is (opslagbeperking); en
- door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid).1
Deze beginselen hebben betrekking op de daadwerkelijke verwerking van persoonsgegevens. Daarnaast geldt voor de verwerkingsverantwoordelijke dat deze verantwoordelijk is voor de naleving van de bovenstaande beginselen en dit moet kunnen aantonen (verantwoordingsplicht). Deze begrippen worden later verder uitgelegd.
Deze beginselen zijn echter dermate abstract dat er geen directe regels uit vallen af te leiden. Naast deze beginselen staan er derhalve ook meer concrete regels in de AVG. Uit het beginsel dat persoonsgegevens rechtmatig moeten worden verwerkt, volgt bijvoorbeeld de regel dat er een aantal gronden zijn waarop organisaties persoonsgegevens mogen verwerken, bijvoorbeeld het geven van toestemming door de betrokkene.
Privacy by design en privacy by default
Naast deze beginselen introduceert de AVG ook een tweetal andere begrippen; privacy by design en privacy by default. De Nederlandse vertaling hiervan is het ietwat saaie gegevensbescherming door ontwerp en door standaardinstellingen.2 Deze twee begrippen lijken wellicht op elkaar, maar betekenen niet hetzelfde. Privacy by design (gegevensbescherming door ontwerp) houdt in dat, bijvoorbeeld bij het ontwikkelen van software, van het begin af aan rekening ermee moet worden gehouden dat de privacy moet worden gewaarborgd. Hierbij kan gedacht worden aan het toepassen van versleuteling van gegevens. Een veelvoorkomend voorbeeld is dat wachtwoorden van gebruikers in de database niet integraal als tekst moeten worden opgeslagen, maar gehashed. Dit betekent dat het wachtwoord āP@ssw0rd!ā niet als āP@ssw0rd!ā moet worden opgeslagen, maar als ā$2y$10$am89JmTnD51gAuOULkOzEeJV7zAf.67rTBKDbSNNdxaSzWadz8TlKā.3
Een ander voorbeeld kan zijn dat niet alle gebruikers dezelfde rechten in het systeem hebben. De ene gebruiker mag in een elektronisch patiƫnten dossier (EPD) bijvoorbeeld de gegevens van de psycholoog lezen, terwijl de andere dit juist niet mag. Meer hierover in deel 5 van deze reeks.
Privacy by default (gegevensbescherming door standaardinstellingen) wil zeggen dat bijvoorbeeld bij het aanmaken van een nieuwe gebruiker (zorgverlener) in een EPD, deze gebruiker niet standaard alle autorisaties al heeft. De vinkjes voor het toekennen van deze autorisaties moeten dan ook standaard uit staan.