AVG vervangt de Wbp, wat betekent dit voor de werkwijze van de directie P&O van de organisatie met betrekking tot de verwerking van persoonsgegevens
AVG vervangt de Wbp, wat betekent dit voor de werkwijze van de directie P&O van de organisatie met betrekking tot de verwerking van persoonsgegevens
Samenvatting
Aanleiding onderzoek
De Nederlandse Wet bescherming persoonsgegevens (Wbp) vervalt op 25 mei 2018. Deze wordt vervangen door een Europese Verordening: Algemene Verordening Gegevensbescherming (AVG) De AVG zal van toepassing zijn in alle Europese lidstaten. Er wordt een transitieperiode van twee jaar gehanteerd. Kort gezegd krijgt een lidstaat twee jaar de tijd om te voldoen aan de eisen van de AVG. De opdrachtgever voor dit onderzoek, de organisatie, is een anoniem organisatie met circa anoniem medewerkers, waaronder externen. Vanzelfsprekend heeft de directie Personeel en Organisatie (P&O) van de organisatie als werkgever een fors aantal persoonsgegevens te verwerken. Nu de implementatietermijn van de AVG loopt en ook de organisatie in mei 2018 een boete riskeert als zij niet voldoet aan de eisen van de AVG, wil de directie P&O van de organisatie weten wat zij moet aanpassen aan haar manier van werken met persoonsgegevens om te voldoen aan de AVG.
Doelstelling
Het doel van dit onderzoek is het schrijven van een advies voor de directie P&O van de organisatie over hoe te werken met de AVG. Het advies moet beschrijven wat de directie P&O van de organisatie moet aanpassen aan haar werkwijze in omgang met persoonsgegevens, om zo aan de eisen van de AVG te kunnen voldoen. Als wordt voldaan aan de AVG wordt de organisatie niet beboet.
Centrale vraag
Welk advies kan aan de directie P&O van de organisatie worden gegeven over het aanpassen van haar werkwijze met betrekking tot het verwerken van persoonsgegevens om te voldoen aan de eisen van de AVG aan de hand van afgenomen interviews, analyse van wet- en regelgeving en literatuuronderzoek?
Methoden van onderzoek
Ter beantwoording van de centrale vraag zijn vijf deelvragen gesteld.
Wat betreft het theoretisch-juridische onderzoeksgedeelte is ten eerste onderzocht hoe de huidige wetgeving rondom de bescherming van persoonsgegevens volgens de Wbp is vormgegeven. Ten tweede is gekeken wat de AVG inhoudt. Ten derde zijn verschillen tussen de Wbp en de AVG opgemerkt en uiteengezet. Hierbij is gebruik gemaakt van analyse van wet- en regelgeving en literatuuronderzoek. In het praktijkgericht onderzoeksgedeelte is door middel van interviews de huidige werkwijze van de directie P&O van de organisatie met betrekking tot verwerking van persoonsgegevens (in naleving van de Wbp) bij vier onderwerpen in kaart gebracht. De interviews zijn afgenomen onder experts op het gebied van gegevensverwerking binnen de directie P&O van de organisatie. Voor elk van de vier onderwerpen van gegevensverwerking is de functionaris (hierna participant) geïnterviewd die over het onderwerp gaat en met de systemen werkt. Daardoor was het mogelijk een volledig beeld van gegevensverwerking binnen de directie P&O van de organisatie te vormen. Dezelfde participanten zijn bevraagd over de impact van de verschillen tussen de Wbp en de AVG met als doel een beeld van de (toekomstige) werkwijze van de directie P&O van de organisatie aangaande persoonsgegevens in naleving van de AVG te vormen.
Om verbinding tussen het theoretisch-juridisch onderzoeksgedeelte en het praktijkgericht onderzoeksgedeelte te creëren, zijn drie verschillende ‘tools’ gebruikt:
1. Tabellen: De rollen binnen het proces van gegevensverwerking vanuit het theoretisch-juridisch onderzoeksgedeelte zijn voor elk van de vier onderwerpen ingevuld voor de directie P&O van de organisatie zodat er zicht is op wie welke rol uitoefent binnen het gegevensverwerkingsproces.
2. Formulering interviewvragen: De kennis over de Wbp die is verkregen via het theoretisch-juridisch onderzoeksgedeelte, is gebruikt bij de formulering van interviewvragen over de huidige werkwijze van de directie P&O van de organisatie. Over elk hoofdstuk uit de Wbp zijn vragen gesteld. Ook zijn vragen bij de verschillen tussen de Wbp en AVG uit het theoretisch-juridisch onderzoeksgedeelte bedacht en voorgelegd aan de participanten.
3. Tijdens afname van de interviews kwam naar voren dat door de participanten gebruik wordt gemaakt van intern beleid. Dit is beleid wat naast de Wbp een intern kader vormt voor gegevensverwerking binnen de directie P&O van de organisatie. Zodoende is het beleid gebruikt ter ondersteuning van de resultaten uit de interviews.
Onderzoeksresultaten
Uit het praktijkgericht onderzoeksgedeelte komt naar voren dat de directie P&O van de organisatie haar huidige werkwijze met betrekking tot het verwerken van persoonsgegevens in naleving van de Wbp op zo een manier heeft ingevuld dat voldaan wordt aan de Wbp. Alle onderdelen van de
3
Wbp zijn geïntegreerd in de werkwijze en worden nageleefd. Een voorbeeld hiervan is dat in de naleving algemene beginselen van gegevensverwerking, het doel van een verwerking van persoonsgegevens, maar ook de controle en de wijze van beveiliging worden vastgelegd in een intern document. De participanten hebben een positief beeld voor ogen over de hoeveelheid aanpassingen die de huidige werkwijze van de directie P&O van de organisatie nodig heeft om ‘AVG-proof´ te worden. Als naar het totaalbeeld van de elf verschillen waarover participanten zijn bevraagd gekeken wordt, vinden participanten dat de meeste verschillen geen of beperkte verandering met zich meebrengen. De verschillen zijn onderverdeeld in de categorieën: geen invloed, beperkte invloed en invloed op de werkwijze.
Conclusie
Voorop staat dat de organisatie anoniem een voorbeeldfunctie heeft met betrekking tot verwerking van persoonsgegevens en privacy. Dit omdat de organisatie anoniem Anoniem
De huidige werkwijze van de directie P&O van organisatie met betrekking tot verwerking van persoonsgegevens voldoet aan de eisen van de Wbp, de huidige wetgeving. Dit is vastgesteld op basis van de informatie die naar voren is gekomen uit de interviews met de functionarissen binnen de directie P&O van organisatie die zich bezig houden met gegevensverwerking.
De AVG verschilt op een aantal punten met de Wbp. Het gaat dan om -kort gezegd- de volgende verschillen:
Toestemming betrokkene aantonen
Controle van toestemming ouder bij verwerking gegevens kind
Meer verplichtingen verwerkingsverantwoordelijke en verwerker
Uitbreiding rechten van betrokkene
Verandering uitgangspunt meldplicht datalekken
Vaststellen bewaartermijn persoonsgegevens
Toename instrumenten doorgifte gegevens naar derde landen
Privacy by design & privacy by default
Verplichting werken Data Privacy Impact Assessment (D)PIA)
Meldplicht wordt documentatieplicht
Verplichting functionaris gegevensbescherming
De participanten zijn bevraagd over deze verschillen tussen de Wbp en de AVG.
Uit de interviews komt naar voren dat de werkprocessen bij de directie P&O van organisatie op een aantal onderdelen moeten worden aangepast. Voor wat betreft twee verschillen geldt dit niet. Het gaat dan om de verplichting om te werken met een (D)PIA. Dit gebeurt al bij de directie P&O van de organisatie. En verder om de verplichting een functionaris gegevensbescherming te benoemen. De organisatie heeft al een functionaris gegevensbescherming. De directie P&O van de organisatie zou om te voldoen aan de overige verschillen moeten nagaan hoe bestaande inrichting van processen kan worden aangepast en deze aanpassingen vervolgens moeten vastleggen en uitvoeren. Vanuit de AVG wordt zwaar aangestuurd op accountability, de manier van werken en afwegingen voor bepaalde keuzes moeten inzichtelijk zijn en vaststaan. De directie P&O van de organisatie moet om te voldoen aan de AVG aandacht besteden aan de verschillen 7.1 tot en met 7.8 en 7.10 (zie hoofdstuk 7).
Aanbevelingen
Voor elk van de verschillen is een aanbeveling opgenomen voor de directie P&O van de organisatie over hoe hier mee om te gaan (ook voor de twee punten waar de directie P&O van de organisatie al aan voldoet). De aanbevelingen zijn onderverdeeld in algemene en concrete aanbevelingen. In totaal is sprake van elf concrete aanbevelingen en vier algemene.
Een selectie van de aanbevelingen:
- Algemeen: Vervang de huidige interne Wbp-handenboeken in handboeken over de AVG en zorg daarin voor verwijzingen naar artikelen uit de AVG;
- Concreet, toestemming betrokkene: Neem een clausule op in documenten/formulieren waarin de betrokkene toestemming geeft voor gegevensverwerking (aanstellingsformulier). Doe dit zodat helder is waarvoor de betrokkene precies zijn toestemming geeft;
Concreet, uitbreiding rechten van betrokkene: Licht betrokkene in over zijn nieuwe rechten: vergetelheid en dataportabiliteit. Kaart aan in welke gevallen vergetelheid gerechtvaardigd is en wat de betrokkene moet doen om dit recht te kunnen genieten. Geef aan dat het recht op dataportabiliteit geen verandering met zich meebrengt en dat persoonsgegevens reeds mobiel zijn via het Anoniem.
Organisatie | Hogeschool Leiden |
Opleiding | HBO-Rechten |
Afdeling | Faculteit M&B |
Datum | 2017-03-20 |
Type | Bachelor |
Taal | Nederlands |