De AVG wordt gehandhaafd vanaf mei 2018. Moeten alle persoonlijke gegevens in de database opnieuw worden afgewogen tegen de AVG (incl. de toestemmingen), of gelden de nieuwe regels alleen voor nieuwe persoonlijke gegevens?

Het klopt dat de AVG gehandhaafd wordt vanaf mei 2018. Echter, dit is het einde van de transitie periode van twee jaar, de tijd die organisaties hebben gehad om de AVG te implementeren. In die periode wordt van organisaties verwacht om de noodzakelijke stappen te zetten om te voldoen aan deze nieuwe wetgeving.

Acties voor mei 2018

De acties die de organisatie heeft ondernomen (mailings, belcampagnes, etc.) voor mei 2018 zullen niet worden beoordeeld onder de AVG, maar onder de regels die gelden tot mei 2018. Er is dus geen sprake van AVG boetes die opgelegd kunnen worden voor het gedrag van de organisatie voor mei 2018. De sancties die gelden tot mei 2018 zijn van toepassing op eventuele overtredingen voor mei 2018.

Andersom geldt natuurlijk dat acties na mei 2018 beoordeeld zullen worden vanuit de AVG en het daar geldende sanctieregime.

Het verwerkingsregister

Indien de organisatie, conform art. 30, verplicht zijn tot het bijhouden van een Register van de verwerkingsactiviteiten, dan moet dat register compleet zijn, dus inclusief de verwerkingen tot op dat moment. Het gaat hier dus niet om een register wat per mei 2018 opgestart wordt en de verwerkingen vanaf dat moment registreert, maar om een compleet beeld van de verwerkingen op enig moment. Uiteraard moet het Register ook na mei 2018 periodiek worden herzien en indien nodig aangepast worden.

Toestemming met terugwerkende kracht?

Voor verwerking van persoonsgegevens waarvoor, conform art. 6 en 7, toestemming is gekozen als de wettelijke basis, moet er per mei 2018 bewijs kunnen worden geleverd dat deze toestemming ook daadwerkelijk is gegeven. Indien dus in het verleden de toestemming wel is verkregen, maar niet is vastgelegd, dan doet de organisatie er goed aan om vast te stellen of deze toestemming alsnog kan worden bevestigd en vastgelegd. Dat zou kunnen door in bijvoorbeeld een mailing, met een link naar een webformulier, opnieuw de toestemming vast te leggen. Deze mailing zou op een positieve manier ook benut kunnen worden om de nieuw privacy policy en/of het privacy statement onder de aandacht te brengen. Iets wat veel grote bedrijven al hebben gedaan.

DPIA met terugwerkende kracht?

Door de Working Party 29 zijn richtsnoeren opgesteld voor het uitvoeren van gegevensbeschermingseffectbeoordelingen (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf). Op pagina 16 wordt ingegaan op de vraag of gegevensbeschermingseffectbeoordelingen met terugwerkende kracht moeten worden uitgevoerd, dus over al bestaande verwerkingen. Daarin wordt gesteld dat “De vereiste om een gegevensbeschermingseffectbeoordeling uit te voeren, geldt voor bestaande verwerkingen die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen en waarvoor de risico’s zijn veranderd, rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking”. Daarbij wordt er vanuit gegaan, dat de bestaande (hoog risico) verwerkingen al gecontroleerd zijn door de toezichthoudende autoriteit of door de functionaris voor gegevensbescherming. Indien dat niet het geval is, is het verstandig om ook de gegevensbeschermingseffectbeoordeling met terugwerkende kracht uit te voeren. Het inzicht wat hieruit ontstaat is weer de onderbouwing voor de organisatorische en technische maatregelen die getroffen zijn. Het heeft dus ook toegevoegde waarde om dit te doen.

Verstrekken informatie aan betrokkenen met terugwerkende kracht?

Moet de privacy notice, conform art. 13 en 14, alsnog worden verstrekt aan betrokkenen van wie persoonsgegevens zijn vastgelegd? De wet doet daar geen uitspraak over. Het lijkt er op dat dit niet noodzakelijk is, maar de organisatie doet er verstandig aan om het volgende te overwegen:

• Maak de informatie voor betrokkenen eenvoudig toegankelijk. Bijvoorbeeld door het op te nemen op de website, door het bij mailings standaard als link mee te nemen en door bijvoorbeeld in iedere mail handtekening tevens een link op te nemen.
• Overweeg of, bijvoorbeeld bij het opnieuw verzoeken om toestemming, meteen de privacy notice kan worden meegestuurd.
• Een duidelijke privacy notice draagt bij aan de transparantie die de organisatie betracht met betrekking tot het informeren van betrokkenen. Dit zal positief worden meegewogen indien het tot een onderzoek komt door de Autoriteit Persoonsgegevens en ook is het goed voor het vertrouwen van betrokkenen in de organisatie.

Ik ben benieuwd naar andere opinies of ervaringen. Commentaar is welkom!