Melding van verwerking gegevens aan Autoriteit Persoonsgegevens niet meer verplicht

Met ingang van 6 november 2017 hoeven organisaties, waaronder gemeenten, in de praktijk geen melding meer te doen als zij persoonsgegevens verwerken, zo meldt de Autoriteit Persoonsgegevens (AP) op haar website. Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Met de AVG vervalt de meldplicht. Tot 25 mei kunnen organisaties nog steeds een melding doen van een verwerking van persoonsgegevens, maar de toezichthouder zal per 6 november 2017 niet handhaven op naleving van deze meldplicht. Alleen als er sprake is van een gegevensverwerking met een bepaald risico, blijft een melding verplicht. De administratieve lasten voor verantwoordelijken worden hiermee aanzienlijk verlicht.

Risicovolle verwerking altijd melden

Organisaties moeten een verwerking van persoonsgegevens met een bepaald risico (artikel 31, Wet bescherming persoonsgegevens) nog steeds melden bij de AP. Vervolgens doet de AP een voorafgaand onderzoek naar die gegevensverwerking. Dit houdt in dat de AP eerst onderzoekt of de verwerking aan de eisen van de Wbp voldoet. Pas na goedkeuring door de AP mag een verantwoordelijke beginnen met de verwerking.

Na 25 mei 2018 zijn organisaties verplicht een data protection impact assessment (DPIA) uit te voeren als een verwerking mogelijk een hoog risico inhoudt voor rechten en vrijheden van de betrokkenen. Als uit de DPIA blijkt dat de verwerking inderdaad een hoog risico oplevert en een organisatie geen maatregelen neemt of kan nemen om dit risico te beperken, dan moet de verwerking voor toepassing eerst worden voorgelegd aan de AP (de zogeheten voorafgaande raadpleging).

Baselinetoets gemeenten

Vooruitlopend op de AVG komen er wijzigingen op de huidige regelingen. De AP zal binnenkort bekendmaken wat dat voor welke regeling betekent. In de periode tot aan 25 mei 2018 raadt de VNG gemeenten aan om bij nieuwe gegevensverwerkingen met een hoog risico middels de baselinetoets van de IBD te bekijken of een DPIA moet worden uitgevoerd.

Verantwoordingsplicht onder AVG

De AVG legt meer dan nu de verantwoordelijkheid bij organisaties zelf om aan te tonen dat zij aan de nieuwe privacyregels voldoen. De regels dwingen organisaties om goed na te denken over hoe persoonsgegevens worden verwerkt en worden beschermd.

FAQ
Wanneer doe ik een PIA?

Om te bepalen of een PIA noodzakelijk is kunt u gebruik maken van de Baselinetoets BIG van de IBD.

De Baselinetoets BIG is bijgewerkt naar versie 1.3. Deze versie is in lijn gebracht met de AVG. Het tabblad “privacy” van de baselinetoets helpt u te bepalen of een Data protection impact assessment(DPIA) noodzakelijk is. U moet vanaf 25 mei 2018 een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.

Wanneer is een verwerkersovereenkomst nodig?

Gemeenten hebben steeds vaker (een deel van) hun persoonsgegevens buiten de deur staan bij een derde partij of maken gebruik van derden die in opdracht van deze gemeenten persoonsgegevens verwerken. Een verwerkersovereenkomst tussen twee partijen is nodig indien een verantwoordelijke partij (gemeente) persoonsgegevens laat verwerken door een verwerker. Elke keer dat een verantwoordelijke partij het verwerken van persoonsgegevens ‘uitbesteedt’ is een schriftelijke overeenkomst noodzakelijk. Voor meer informatie zie de ‘factsheet verwerkersovereenkomsten’.

Wanneer ben ik een verwerkersverantwoordelijke?

De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon (een bedrijf, een stichting, een overheidsorgaan etc.) die alleen of samen met anderen het doel en de middelen vaststelt voor de verwerking. Om te bepalen wie verantwoordelijk is voor een verwerking is het antwoord op de onderstaande vraag doorslaggevend:
Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?
Wanneer u degene bent die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit gebeurt en de manier waarop dit plaatsvindt (met welke middelen), dan bent u de verwerkingsverantwoordelijke. Voorbeelden van verschillende soorten verwerkersverantwoordelijken kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Bekijk meer gerelateerde FAQ