Awareness misverstand 9: 'Door de AVG mag ik helemaal niets meer'
'Door de AVG mag ik helemaal niets meer,' horen wij soms. Nou, dat is niet helemaal het geval hoor. Sinds de Algemene verordening gegevensbescherming (AVG) van toepassing is, zijn er een aantal dingen veranderd. Zo heb je als organisatie meer verantwoordelijkheden bij het verwerken van persoonsgegevens en zijn er een aantal rechten van betrokkenen bijgekomen.
Maar de meeste regels uit deze verordening zijn echter niet nieuw. Die stonden namelijk al in de Wet bescherming persoonsgegevens (Wbp). Zo bestonden er al voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens en moest de uitvoering van verwerkingen door een ‘bewerker’ toen ook al worden geregeld in een overeenkomst (of rechtshandeling). De kans is dus groot data als je denkt dat het ‘niet meer mag’, het vóór de AVG ook al niet mocht. Voor organisaties gelden er alleen meer verplichtingen om zorgvuldig met persoonsgegevens om te gaan. De AVG legt namelijk de verantwoordelijkheid bij de organisatie om aan te tonen dat het zich aan de wet houdt. Onder deze verantwoordingsplicht kun je bijvoorbeeld verplicht zijn om een data protection impact assessment (DPIA) uit te voeren, een functionaris voor de gegevensbescherming (FG) aan te stellen, of een verwerkingsregister bij te houden.
Door de digitalisering van de maatschappij en de toename van de klachten over privacyschendingen, is er gewoon meer aandacht voor het onderwerp. Echter moet de bewustwording over die rechten en plichten hierin wel meegroeien. En dat is nog niet altijd het geval. Zo hoef je bijvoorbeeld niet overal toestemming voor te vragen. of kun je je voor een eventfoto vaak beroepen op de journalistieke exceptie of jouw gerechtvaardigd belang (mits er een goede afweging is gemaakt tussen jouw belang en die van de personen van wie je persoonsgegevens verwerkt).
Zo hadden betrokkenen onder de Wbp ook al het recht op inzage en konden zij bijvoorbeeld verzoeken indienen om de betreffende persoonsgegevens te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist waren of niet relevant waren voor het doel van de verwerking, of als deze in strijd met de wet verwerkt werden. Onder de AVG zijn die rechten uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens ‘vergeten’ als je erom vraagt). Met de sterke toename van privacyklachten moeten organisaties alleen beter na gaan denken over structurele oplossingen zodat dit soort verzoeken adequaat kunnen worden behandeld.
En dát begint natuurlijk met de simpele bewustwording van werknemers dat betrokkenen deze rechten hebben. Dat mensen onder de AVG meer mogelijkheden hebben gekregen om voor zichzelf op te komen bij de verwerking van hun gegevens.
Op 30 september lanceren wij onze elearning 2.0 waarin we grote groepen nog sneller en beter bewust laten worden van de rechten en de plichten vanuit de AVG. Door awareness te creëren wordt er gefocust op het gedrag van werknemers en zullen werknemers beter op de hoogte zijn van de geldende normen. Zo ontstaan er minder snel kreten als ‘door de AVG mag ik helemaal niets meer.’ Kijk voor meer informatie over het creëren van bewustwording eens op onze e-learning pagina of neem contact met ons op.