8 maart 2018

Invoering van de Algemene Verordening Gegevensbescherming (AVG) – Wat verandert er voor uw bedrijf? Een greep uit de praktijk

Categorie: Privacyrecht

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Vanaf dat moment geldt in de gehele Europese Unie (EU) dezelfde privacywetgeving. De Wet bescherming persoonsgegevens (Wbp) geldt vanaf dat moment niet meer. Dit brengt dan ook de nodige veranderingen met zich mee. Bedrijven krijgen meer verantwoordelijkheden en lopen het risico bij niet-naleving van hun verplichtingen uit de AVG om boetes opgelegd te krijgen tot 20 miljoen euro.

In een eerder blog besprak ik drie belangrijke veranderingen die de AVG teweeg zal brengen. Ik zal in dit blog aan de hand van een casus, afgeleid van een rapport van de Autoriteit Persoonsgegevens van 2 oktober 2017 bespreken wanneer bedrijven te maken kunnen krijgen met deze veranderingen.

Wat voor bedrijf is assessmentbureau BrainCompass?

BrainCompass is een specifiek assessmentbureau. BrainCompass maakt in opdracht van bijvoorbeeld werkgevers uitgebreide profielen van mensen (zoals potentiële werknemers) waarbij persoonlijke en biologische gegevens worden gebruikt. Hiervoor worden gegevens over het ras van de deelnemer, gewicht en lengte, DNA-gegevens en psychologische gegevens verzameld en met elkaar in verband gebracht.

De Autoriteit Persoonsgegevens (AP) heeft getoetst of BrainCompass zich aan de privacywetgeving heeft gehouden volgens de (oude) wettelijke regeling, de Wbp. Zo toetste de AP onder andere of er sprake was van een verantwoordelijke, van verwerking van persoonsgegevens en van verwerking van bijzondere persoonsgegevens. En daarvan was sprake! De begrippen in de AVG verschillen inhoudelijk weinig van de begrippen in de Wbp. Een vergelijkbare toets zal dus ook kunnen plaatsvinden onder de AVG. BrainCompass zal dan ook moeten voldoen aan de privacywetgeving onder de AVG.

Nieuwe verplichtingen voor BrainCompass onder de AVG?

De AVG brengt voor BrainCompass waarschijnlijk een aantal veranderingen met zich mee. De vragen die BrainCompass zichzelf kan stellen zijn of zij vanaf 25 mei een register van verwerkingsactiviteiten moeten gaan bijhouden, of zij een gegevensbeschermingseffectbeoordeling moeten uitvoeren en of zij een functionaris voor de gegevensbescherming moeten aanstellen.

Moet BrainCompass een register van verwerkingsactiviteiten gaan bijhouden?

Iedere ‘verwerkingsverantwoordelijke’ (onder de Wbp nog ‘verantwoordelijke’) moet als grondregel een register van verwerkingsactiviteiten bij gaan houden. Een bedrijf wordt al snel aangemerkt als verwerkingsverantwoordelijke, zo ook BrainCompass. Het MKB lijkt te zijn uitgezonderd op de verplichting om een register van verwerkingsactiviteiten bij te houden. Zo blijkt uit de AVG dat bedrijven of organisaties met minder dan 250 personen in dienst niet hoeven te voldoen aan deze verplichting. Maar, schijn bedriegt! Deze uitzondering heeft namelijk – hoe kan het ook anders – zelf ook weer een uitzondering. Deze uitzondering op de uitzondering ziet met name op verwerkingen met een hoog risico en niet-incidentele verwerkingen. Kortom, bedrijven met minder dan 250 personen in dienst die een klantenbestand of salarisadministratie bijhouden zullen ook een register van verwerkingsactiviteiten moeten gaan bijhouden. Ook BrainCompass zal een register van verwerkingsactiviteiten moeten gaan bijhouden, de door BrainCompass verwerkte gegevens kunnen namelijk worden aangemerkt als ‘hoog risico’. Bovendien zal BrainCompass een klantenbestand of salarisadministratie bijhouden en ook daarom een register van verwerkingsactiviteit moeten gaan bijhouden.

Moet BrainCompass een uitgebreide gegevensbeschermingseffectbeoordeling: DPIA uitvoeren?

Naast het register van verwerkingsactiviteiten kan een bedrijf worden verplicht om een gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment, DPIA) uit te voeren. BrainCompass zal zichzelf dan de vraag moeten stellen of hun gegevensverwerking waarschijnlijk een hoog privacyrisico vormt voor personen, dat zij op grote schaal bijzondere persoonsgegevens verwerken of op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied. Omdat BrainCompass systematisch en uitvoerig persoonlijke aspecten evalueren én mogelijk op grote schaal bijzondere persoonsgegevens verwerkt, zal BrainCompass een DPIA moeten uitvoeren.

Moet BrainCompass ook een functionaris voor de gegevensbescherming aanstellen?

De AVG geeft aan wanneer een bedrijf een functionaris voor de gegevensbescherming moet aanstellen. Dat is op het moment dat het bedrijf (of de organisatie) een overheid of publieke organisatie is, als het bedrijf als kernactiviteit én op grote schaal individuen volgt of in het geval dat het bedrijf op ‘grote schaal’ bijzondere persoonsgegevens verwerkt én dit een kernactiviteit is. Het zou zo kunnen zijn dat BrainCompass onder de laatstgenoemde categorie zou vallen. Is er echter wel sprake van ‘op grote schaal’? Dat zal nog moeten blijken uit de rechtspraak. Door de AP worden wel richtlijnen gegeven voor het begrip ‘op grote schaal’, ook worden voorbeelden genoemd: ziekenhuizen die patiëntgegevens verwerken, grote marktonderzoekers, verzekeringsmaatschappijen, zoekmachines en telefoonproviders. In het kader van better safe than sorry is het BrainCompass dan ook aan te raden om een functionaris voor de gegevensbescherming aan te stellen, zelfs als BrainCompass een kleiner bedrijf is. De boetes kunnen immers hoog uitvallen, evenals de kosten van een procedure om deze boete van tafel te krijgen.

Tot slot

Vraagt u zich af of uw bedrijf een register van verwerkingsactiviteiten moet gaan bijhouden en hoe dit er dan uit moet komen te zien? Moet u verplicht een DPIA uitvoeren en hoe moet dat dan? Moet uw bedrijf een functionaris voor de gegevensbescherming aanstellen? Al deze vragen kunt u stellen aan Blenheim Advocaten. Vraag naar een van de advocaten van de privacydesk.