image

Organisaties hoeven verwerking persoonsdata niet meer te melden

dinsdag 7 november 2017, 09:29 door Redactie, 9 reacties

Organisaties die persoonsgegevens verwerken hoeven dit niet meer bij de Autoriteit Persoonsgegevens (AP) te melden, zo heeft de toezichthouder bekendgemaakt. Voorheen was dit wettelijk verplicht, maar de toezichthouder zal niet meer handhaven op het naleven van deze meldplicht.

Alleen als er sprake is van een gegevensverwerking met een bepaald risico blijft een melding verplicht. Vervolgens doet de AP een voorafgaand onderzoek naar die gegevensverwerking. Dit houdt in dat de toezichthouder eerst onderzoekt of de verwerking aan de eisen van de Wet bescherming persoonsgegevens (Wbp) voldoet. Pas na goedkeuring door de toezichthouder mag een organisatie beginnen met de verwerking. Aanleiding dat er niet meer wordt gehandhaafd op de meldplicht is dat die door de Algemene verordening gegevensbescherming (AVG), die op 25 mei 2018 van kracht wordt, komt te vervallen.

Na 25 mei 2018 zijn organisaties verplicht een data protection impact assessment (DPIA) uit te voeren als het verwerken van persoonsgegevens grote risico's met zich meebrengt voor de rechten en vrijheden van de betrokken. Als uit de DPIA blijkt dat de verwerking inderdaad een hoog risico oplevert en een organisatie geen maatregelen neemt of kan nemen om dit risico te beperken, dan moet de verwerking voor dat die wordt toegepast eerst worden voorgelegd aan de Autoriteit Persoonsgegevens.

"De AVG legt meer dan nu de verantwoordelijkheid bij organisaties zelf om aan te tonen dat zij aan de nieuwe privacyregels voldoen. De regels dwingen organisaties om goed na te denken over hoe persoonsgegevens worden verwerkt en worden beschermd", aldus de toezichthouder.

Reacties (9)
07-11-2017, 10:11 door Anoniem
Eerst de burgers 'gerust' stellen met de mededeling dat bij invoering van de wet op de persoonsregistratie dat organisaties die dienen te melden bij de AP om vervolgens een paar jaar later die eis te laten vallen.

En dan gek vinden dat 'de Nederlander (m/v/gn)' de overheid niet betrouwbaar vindt.

"De AVG legt meer dan nu de verantwoordelijkheid bij organisaties zelf om aan te tonen dat zij aan de nieuwe privacyregels voldoen. De regels dwingen organisaties om goed na te denken over hoe persoonsgegevens worden verwerkt en worden beschermd", aldus de toezichthouder.

Ja ja, dat hebben we in het verleden al wel gezien hoe er met dat soort 'verantwoordlijkheden' omgegaan wordt.
07-11-2017, 10:51 door Anoniem
Alleen als er sprake is van een gegevensverwerking met een bepaald risico

Ik was benieuwd naar dat "bepaalde risico", maar kom dan terecht in een doolhof van wetgeving met verwijzingen naar 'eerste lid van...', en europese richtlijnen, allemaal in elkaar verweeft.

"Iedere Nederlander wordt geacht de wet te kennen" ,ofwel iedere Nederlander krijgt van de staat een gratis aangeboden opleiding tot jurist!

vanaf de AP site:
https://autoriteitpersoonsgegevens.nl/nl/nieuws/organisaties-hoeven-geen-melding-van-verwerking-gegevens-meer-te-doen
kom ik via de link "melden bij de AP" op deze site:
https://autoriteitpersoonsgegevens.nl/nl/melden/melden-verwerking-persoonsgegevens
daar gegoogled op de wet artikel 31 van de Wet bescherming persoonsgegevens (Wbp) en kom dan bij de algemene wbp uit:
http://wetten.overheid.nl/BWBR0011468/2016-01-01
die (btw) tevens verlopen schijnt te zijn:

Wet bescherming persoonsgegevens
Geldend van 01-01-2016 t/m 09-03-2017

Artikel 31

1 Het College stelt voorafgaand aan een verwerking een onderzoek in indien de verantwoordelijke:

a. een nummer ter identificatie van personen voornemens is te verwerken voor een ander doeleinde dan waarvoor het nummer specifiek bestemd is teneinde gegevens in verband te kunnen brengen met gegevens die worden verwerkt door een andere verantwoordelijke, tenzij het gebruik van het nummer geschiedt voor de gevallen als omschreven in artikel 24;

b. voornemens is gegevens vast te leggen op grond van het gericht verzamelen van informatie door middel van eigen onderzoek zonder de betrokkene daarvan op de hoogte te stellen, of

c. voornemens is ten behoeve van derden strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag te verwerken, anders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b.

2 Het eerste lid, onder b, is niet van toepassing op openbare registers die bij de wet zijn ingesteld.

3 Het eerste lid, onderdeel c, is niet van toepassing op gegevensverwerkingen die reeds door een andere verantwoordelijke voor voorafgaand onderzoek zijn voorgelegd en ten aanzien waarvan het College een verklaring als bedoeld in artikel 32, vijfde lid, heeft afgegeven.

4 Bij wet of algemene maatregel van bestuur kunnen andere gegevensverwerkingen die een bijzonder risico inhouden voor de persoonlijke rechten en vrijheden van de betrokkene worden aangewezen waarop het eerste lid van toepassing is. Het College geeft in zijn jaarverslag aan in hoeverre naar zijn oordeel een dergelijke aanwijzing wenselijk is.

5 Het College meldt een verwerking als bedoeld in het eerste lid, onder c, bij de Europese Commissie.

maar de algemene WPB kan niet de "bepaalde risico" omvatten, want dan zou er tóch niets veranderen(?)

Iemand , die kan aangeven wat deze 'bepaalde risico' omvat?
Of is dit de manier van AP om de verantwoordelijkheid Geheel bij de 'gegevensverwerker' neer te leggen die dit adhv DPIA moet doen en mocht er dan toch iets voorvallen, gelijk boetes uitgedeeld kan worden, want dan zal de 'gegevensverwerker' de DPIA wel niet goed hebben toegepast.
Of, andere reden waarom AP dit doet?
07-11-2017, 11:24 door Anoniem
Weer typisch: "Als het kalf verdronken is, dempt men de put".

Soms helpt dan crisismanagement niet eens meer, want dan is het kwaad al geschiedt
en heeft het vertrouwen bij de burger opnieuw een fikse knauw opgelopen.

Garantie voor een nieuwe reeks 'data-breaches' van allerlei aard.
We kijken echt nergens meer van op, toch?
07-11-2017, 11:52 door Anoniem
Ja ja, dat hebben we in het verleden al wel gezien hoe er met dat soort 'verantwoordlijkheden' omgegaan wordt.

De regelgeving wordt veel strenger, met ook veel hogere boetes. Sommige mensen willen per definitie alles negatief zien.
07-11-2017, 12:18 door Krakatau
Door Anoniem:
Alleen als er sprake is van een gegevensverwerking met een bepaald risico

Ik was benieuwd naar dat "bepaalde risico", maar kom dan terecht in een doolhof van wetgeving met verwijzingen naar 'eerste lid van...', en europese richtlijnen, allemaal in elkaar verweeft.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/data-protection-impact-assessment-dpia
07-11-2017, 15:21 door Anoniem
Dat bepaalde risico word bepaald door de Privacy Baseline, dat is een onderdeel van GDPR / AVG.
Je functionaris voor gegevensbescherming kan je daar alles over vertellen ;)

Je doet namelijk een privacy baseline, dat zijn vaste vraagstukken endat bepaald je risico.is dat risico er moet je een DPIA (in NL ook wel PIA) etc. etc.

Ik begrijp het doolhof niet, GDPR is vrij straight forward kwa hoe en wat te doen.
07-11-2017, 15:48 door Anoniem
Garantie voor een nieuwe reeks 'data-breaches' van allerlei aard. We kijken echt nergens meer van op, toch?

Leg uit, hoe gaat de nieuwe wet zorgen voor *meer* breaches ? De wet wordt strenger, en boetes worden veel hoger.
07-11-2017, 16:24 door Anoniem
Door Anoniem:
Ja ja, dat hebben we in het verleden al wel gezien hoe er met dat soort 'verantwoordlijkheden' omgegaan wordt.

De regelgeving wordt veel strenger, met ook veel hogere boetes. Sommige mensen willen per definitie alles negatief zien.

Is niet een kwestie van negatief iets zien maar leren van de ervaringen uit het verleden. Laat het ze eerst maar zien.
Slagers die hun een vlees keuren gaan per definitie niet goed, reden GELD
07-11-2017, 18:40 door karma4 - Bijgewerkt: 07-11-2017, 18:58
Door Anoniem:
Is niet een kwestie van negatief iets zien maar leren van de ervaringen uit het verleden. Laat het ze eerst maar zien.
Slagers die hun een vlees keuren gaan per definitie niet goed, reden GELD
Staat nergens dat er niets meer geldig is De regels zijn netjes in wettelijke termen beschreven Het is niet een detaillistische werkopdracht zoals de technische fanaat soms eist omdat hij niets anders aan kan. Dat betekent dat de feitelijke interpretatie door jurisprudentie ingevuld gaat worden.
Die kan door de veranderende ontwikkelingen in de tijd gemakkelijk mee veranderen. Dat gaat met een detaillistische uitwerking echt niet.

Een probleem kan wel zijn: al die negatievelingen die nooit iets goed vinden en alleen maar lopen te zeuren.

Simpeler is om de uitersten te benoemen. De minimale persoonsgegeven om bestelde waren betaald te krijgen en te kunnen afleveren mag je intern voor het eigen werk gebruiken zolan dat relevant vereist is. In dat geval geen meldplicht. Daarmee ontlast je een boel onzin meldingen.
Wil je met ras uiterlijk en geloofszaken persoonlijke gezondheid met derden aan de slag dan is dat een hoog risico die je eerst maar eens goed moet uitleggen.
Een verplicht epd door een bevoegd arts is natuurlijk weer niet meldingsplichtig. Hoe moeilijk kan zoiets nu zijn?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.