AVG, Deel 2

AVG, Deel 2

In deel 1 van dit artikel waarschuwden we voor de naderende deadline van 25 mei 2018, de datum waarop de Algemene Verordening Gegevensbescherming (AVG) afdwingbaar wordt. Deel 1 van het artikel had betrekking op het toepassingsgebied van de AVG. Het besprak ook hoe de AVG een enkele reeks regels invoert die in de hele EU van toepassing zijn, wat de wettelijke grondslagen zijn voor de verwerking van persoonsgegevens en over de verantwoordelijkheden van partijen.

In deel 2 van dit artikel gaan we eerst nader in op de belangrijkste ‘Digitale Rechten’ die de AVG introduceert: het recht van inzage (art. 15), het recht op rectificatie (art. 16) en het recht op gegevenswissing (art. 17), en het recht op overdraagbaarheid van gegevens (art. 20). Vervolgens zullen we nader bekijken welke veranderingen in CICERO LawPack zijn doorgevoerd als gevolg van de AVG.

Het recht van inzage van de betrokkene (artikel 15): zoals de titel suggereert, is het recht van inzage (ook recht van toegang genoemd) een recht van de betrokkene. Het geeft inwoners van de EU het recht om toegang te krijgen tot hun persoonlijke gegevens en om informatie te krijgen over de manier waarop deze persoonsgegevens worden verwerkt. Op verzoek van de betrokkene moet de voor de verwerking verantwoordelijke een overzicht verstrekken van de categorieën gegevens die worden verwerkt (artikel 15, lid 1, onder b)), evenals een kopie van de feitelijke gegevens (artikel 15, lid 3). Daarnaast moet de verantwoordelijke voor de verwerking de betrokkene informeren over de details van de verwerking, zoals wat het doel van de verwerking is (artikel 15, lid 1, onder a), met wie de gegevens worden gedeeld (artikel 15, lid 1, onder c) en hoe de gegevens zijn verkregen (artikel 15, lid 1, onder g).

Het recht op rectificatie (artikel 16) en het recht op gegevenswissing (artikel 17): zoals het geval was onder de oude gegevensbeschermingsrichtlijn, hebben de betrokkenen ook het recht om zonder onnodige vertraging van de voor de verwerking verantwoordelijke te verkrijgen dat onjuiste gegevens worden gecorrigeerd en dat onvolledige gegevens worden aangevuld (artikel 16). In een baanbrekend arrest had het Hof van Justitie in 2014 geoordeeld dat inwoners van de EU ook een recht hadden om te worden vergeten (het zgn. ‘recht op vergetelheid’). Dit recht op vergetelheid werd afgezwakt tot een beperkter recht op gegevenswissing (soms ook ‘recht of schrapping’ genoemd) in de versie van de AVG die het Europees Parlement in maart 2014 heeft aangenomen. Artikel 17 geeft de betrokkene een aantal gronden om de verwijdering te verzoeken van hem betreffende persoonsgegevens. Daaronder valt bijv. de niet-naleving van artikel 6.1 (wettigheid) die een geval (f) omvat waarin de legitieme belangen van de voor de verwerking verantwoordelijke zwaarder wegen dan de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen.

Het recht op overdraagbaarheid van gegevens (artikel 20): (de literatuur gebruikt ook de termen dataportabiliteit en gegevensportabiliteit). Het Britse Information Commissioner’s Office (ICO) omschrijft het recht op overdraagbaarheid van gegevens a.v.: het “stelt natuurlijke personen in staat om hun persoonsgegevens op te vragen en om die dan voor hun eigen doeleinden opnieuw te kunnen gebruiken voor andere diensten. Het stelt hen in staat om persoonlijke gegevens eenvoudig van de ene IT-omgeving naar de andere te verplaatsen, te kopiëren of over te dragen op een veilige manier, zonder dat dit de bruikbaarheid in de weg staat. Het stelt consumenten in staat om gebruik te maken van toepassingen en diensten die deze gegevens kunnen gebruiken om betere deals te vinden, of om hen te helpen hun bestedingsgewoonten te begrijpen.” Het recht slaat zowel op de informatie die door de betrokkene zelf verstrekt werd, als op andere gegevens die door de dienstenleveranciers verzameld werden, zoals bijv. informatie m.b.t. online gedragspatronen van de betrokkene. De verantwoordelijke moet aan de verzoeken van de betrokkene voldoen, en moet de gegevens ter beschikking stellen in een gestructureerde en algemeen gebruikte elektronische open standaard.

De AVG bevat nog veel meer bepalingen, bijv. m.b.t. inbreuken m.b.t. de persoonsgegevens (art. 33-34), de zgn. ‘functionaris voor gegevensbescherming’, m.b.t. sancties en pseudonimisering, enz., doch deze vallen buiten het bestek van dit artikel.

Implementatie van de AVG in CICERO LawPack

Ten einde te voldoen aan de bepalingen van de AVG moesten bepaalde onderdelen van CICERO LawPack aangepast worden, bijv. m.b.t. het encrypteren van de gegevens. Daarnaast biedt CICERO LawPack ook een aantal extra functionaliteiten aan die het voor de gebruikers makkelijker maken om aan de AVG te voldoen.

Het Webview portaal wordt uitgebreid om alle in CICERO LawPack geregistreerde partijen toe te laten om in te loggen en inzage te krijgen in de gegevens die in het programma bijgehouden en verwerkt worden. Daarnaast is het mogelijk om een verzoek in te dienen om informatie te corrigeren, aan te vullen of te wissen, voor zover dit mogelijk is: er zijn immers bepaalde wettelijke implicaties voor lopende dossiers.

Gebruikers van CICERO LawPack zullen ook de opties hebben om zelf bepaalde gebruiker-specifieke gegevens te verwijderen, en om ‘policies’ in te stellen die bepalen welke categorieën van informatie m.b.t. welke types van personen bijgehouden kunnen worden. Dit laat toe om ervoor te zorgen dat echt alleen die gegevens vastgelegd worden die nodig zijn voor het invoeren van een dossier. Het is eveneens mogelijk om rapporten aan te laten maken die inzicht geven in het gebruik van die gegevens ten gevolge van de ingestelde ‘policies’.

Voor wat onze cloud provider betreft, hebben we een concept klaar voor een overeenkomst m.b.t. de verwerking van persoonsgegevens. Die overeenkomst wordt momenteel getoetst. Voor hosting providers zullen mogelijk nog aanpassingen aan de regelgeving doorgevoerd worden omdat de huidige wet op bepaalde vlakken tekortschiet c.q. onwerkbare situaties afdwingt.

 

Bronnen:

Deel dit artikel:

Share on linkedin
Share on facebook
Share on twitter