Nieuwe regels voor persoonsgegevens in 2018

Het duurt nog even, maar op 25 mei 2018 gelden er nieuwe regels voor de administratieve verwerking van persoonsgegevens. Dat is het gevolg van de Algemene verordening gegevensbescherming.
Er komen veranderingen in het administreren van namen, adressen of IP-adressen. De nieuwe regels zullen ook voor de ondernemingsraad van belang zijn. De OR heeft immers instemmingsrecht op het wijzigen van een regeling omtrent de bescherming van persoonsgegevens.
 
In de Algemene verordening gegevensbescherming – toepassing inde gehele Europese Unie (EU) – wordt vooral de documentatieplicht verder uitgewerkt. De documentatieplicht houdt in dat organisaties die persoonsgegevens verwerken, moeten aantonen dat zij organisatorische en technische maatregelen hebben genomen om de bescherming van deze gegevens te garanderen. De nieuwe verordening vervangt dan de Europese privacyrichtlijn uit 1995. De huidige Wet meldplicht datalekken blijft naast de nieuwe documentatieplicht bestaan.
 
Voorbeeldaanpassingen ter voorbereiding
De Autoriteit Persoonsgegevens (AP) heeft inmiddels al enkele voorbeeldaanpassingen op haar website gepubliceerd. Organisaties kunnen die nu alvast kunnen invoeren om zich voorbereid te zijn op de nieuwe regels voor persoonsgegevens:
  • apps mogen niet automatisch de locatie van gebruikers registreren als dat niet nodig is;
  • op de website mag niet alvast zijn aangevinkt dat een bezoeker een nieuwsbrief o.i.d. willen ontvangen;
  • bij de aanmelding voor een nieuwsbrief mogen niet meer gegevens gevraagd worden dan strikt nodig is.
 
Nog drie wijzigingen
Naast de documentatieplicht worden er per 25 mei 2018 nog drie wijzigingen doorgevoerd:
  1. organisaties hoeven bij de Autoriteit Persoonsgegevens geen melding meer te doen van de verwerking van persoonsgegevens. Die melding is nu nog verplicht;
  2. als er sprake is van een groot privacyrisico moeten organisaties per 25 mei 2018 verplicht een z.g. privacy assessment (PIA) uitvoeren;
  3. organisaties uit de overheidssector (met uitzondering van rechtbanken) of zorgsector moeten een functionaris voor de gegevensbescherming aanstellen.
 
Al deze veranderingen zullen t.z.t. middels een instemmingsverzoek ook de ondernemingsraad bereiken.
 
Meer informatie over de Autoriteit Persoonsgegevens? Klik hier  
Als OR aan de slag met de bescherming van persoonsgegevens? Klik hier