De AVG wordt gehandhaafd vanaf mei 2018. Moeten alle persoonlijke gegevens in de database opnieuw worden afgewogen tegen de AVG (incl. de toestemmingen), of gelden de nieuwe regels alleen voor nieuwe persoonlijke gegevens?
Het klopt dat de AVG gehandhaafd wordt vanaf mei 2018. Echter, dit is het einde van de transitie periode van twee jaar, de tijd die organisaties hebben gehad om de AVG te implementeren. In die periode wordt van organisaties verwacht om de noodzakelijke stappen te zetten om te voldoen aan deze nieuwe wetgeving.
Acties voor mei 2018
De acties die de organisatie heeft ondernomen (mailings, belcampagnes, etc.) voor mei 2018 zullen niet worden beoordeeld onder de AVG, maar onder de regels die gelden tot mei 2018. Er is dus geen sprake van AVG boetes die opgelegd kunnen worden voor het gedrag van de organisatie voor mei 2018. De sancties die gelden tot mei 2018 zijn van toepassing op eventuele overtredingen voor mei 2018.
Andersom geldt natuurlijk dat acties na mei 2018 beoordeeld zullen worden vanuit de AVG en het daar geldende sanctieregime.
Het verwerkingsregister
Indien de organisatie, conform art. 30, verplicht zijn tot het bijhouden van een Register van de verwerkingsactiviteiten, dan moet dat register compleet zijn, dus inclusief de verwerkingen tot op dat moment. Het gaat hier dus niet om een register wat per mei 2018 opgestart wordt en de verwerkingen vanaf dat moment registreert, maar om een compleet beeld van de verwerkingen op enig moment. Uiteraard moet het Register ook na mei 2018 periodiek worden herzien en indien nodig aangepast worden.
Toestemming met terugwerkende kracht?
Voor verwerking van persoonsgegevens waarvoor, conform art. 6 en 7, toestemming is gekozen als de wettelijke basis, moet er per mei 2018 bewijs kunnen worden geleverd dat deze toestemming ook daadwerkelijk is gegeven. Indien dus in het verleden de toestemming wel is verkregen, maar niet is vastgelegd, dan doet de organisatie er goed aan om vast te stellen of deze toestemming alsnog kan worden bevestigd en vastgelegd. Dat zou kunnen door in bijvoorbeeld een mailing, met een link naar een webformulier, opnieuw de toestemming vast te leggen. Deze mailing zou op een positieve manier ook benut kunnen worden om de nieuw privacy policy en/of het privacy statement onder de aandacht te brengen. Iets wat veel grote bedrijven al hebben gedaan.
DPIA met terugwerkende kracht?
Door de Working Party 29 zijn richtsnoeren opgesteld voor het uitvoeren van gegevensbeschermingseffectbeoordelingen (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf). Op pagina 16 wordt ingegaan op de vraag of gegevensbeschermingseffectbeoordelingen met terugwerkende kracht moeten worden uitgevoerd, dus over al bestaande verwerkingen. Daarin wordt gesteld dat “De vereiste om een gegevensbeschermingseffectbeoordeling uit te voeren, geldt voor bestaande verwerkingen die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen en waarvoor de risico’s zijn veranderd, rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking”. Daarbij wordt er vanuit gegaan, dat de bestaande (hoog risico) verwerkingen al gecontroleerd zijn door de toezichthoudende autoriteit of door de functionaris voor gegevensbescherming. Indien dat niet het geval is, is het verstandig om ook de gegevensbeschermingseffectbeoordeling met terugwerkende kracht uit te voeren. Het inzicht wat hieruit ontstaat is weer de onderbouwing voor de organisatorische en technische maatregelen die getroffen zijn. Het heeft dus ook toegevoegde waarde om dit te doen.
Verstrekken informatie aan betrokkenen met terugwerkende kracht?
Moet de privacy notice, conform art. 13 en 14, alsnog worden verstrekt aan betrokkenen van wie persoonsgegevens zijn vastgelegd? De wet doet daar geen uitspraak over. Het lijkt er op dat dit niet noodzakelijk is, maar de organisatie doet er verstandig aan om het volgende te overwegen:
- Maak de informatie voor betrokkenen eenvoudig toegankelijk. Bijvoorbeeld door het op te nemen op de website, door het bij mailings standaard als link mee te nemen en door bijvoorbeeld in iedere mail handtekening tevens een link op te nemen.
- Overweeg of, bijvoorbeeld bij het opnieuw verzoeken om toestemming, meteen de privacy notice kan worden meegestuurd.
- Een duidelijke privacy notice draagt bij aan de transparantie die de organisatie betracht met betrekking tot het informeren van betrokkenen. Dit zal positief worden meegewogen indien het tot een onderzoek komt door de Autoriteit Persoonsgegevens en ook is het goed voor het vertrouwen van betrokkenen in de organisatie.
Ik ben benieuwd naar andere opinies of ervaringen. Commentaar is welkom!
Leuk die wet met terugwerkende kracht🤨.
Nu heb ik dus al meegemaakt dat iemand dus zijn verleden weg kan wissen, in bv de sportwereld, die nu een fantasieverhaal kan vertellen dat ie grootmeester is in van alles, en mensen die dat ook geloven.
Avg wet had nooit met terugwerkende kracht mogen uitgevoerd worden, zo zie je dat er dus ook misbruik van gemaakt wordt.
O, u wilt mij op deze foto houden van 1980?
Wat schuift het, of ik heb helemaal niet daar gewerkt.
Tegenwoordig wilt nu iedereen het verleden wissen, goed idee?nee.
Het verleden is juist dat het ons heeft gemaakt tot wat wij zijn, wis je het verleden uit, dan wis je niet alleen de slechte maar ook de goeie dingen uit.
Op zich ben ik niet tegen de wet, maar om het nu met tegenwerkendekracht te doen is dom, maar ook berekend, want bepaalde personen verdienen hier veel geld mee.
Weet dat dit nu ongelofelijk meer tijd kost als fotograaf of in de filmwereld.
Wordt jou beeld gebruikt ten onrechte door er veel geld mee te verdienen, dan is dat duidelijk reclame zonder jou toestemming.
Mensen willen graag overal controle over hebben, dit gaat uiteindelijk tegen je werken in de toekomst, let maar op, het is nu al zichtbaar.