Zoals inmiddels welbekend, is de nieuwe Europese privacyverordening (de algemene verordening gegevensbescherming – hierna “de AVG”) op 25 mei 2016 in werking getreden. Alle organisaties in zowel de publieke en private sector worden geacht om vanaf die datum hun bedrijfsvoering met de AVG in overeenstemming te brengen en krijgen daarvoor tot 25 mei 2018 de tijd, vanaf dan geldt nog maar één privacywet in de hele EU.
De AVG introduceert niet alleen meerdere nieuwe rechten en verplichtingen, maar breidt een aantal van de bestaande verplichtingen (behoorlijk) uit. Zo geldt dat zowel onder de huidige privacywetgeving, de Wet bescherming persoonsgegevens (hierna “de Wbp”), als de AVG organisaties verplicht zijn om informatie te geven aan personen van wie zij persoonsgegevens gebruiken.
Onder de Wbp moeten organisaties die persoonsgegevens gebruiken in ieder geval de naam en het adres van de organisatie laten weten en waarvoor de organisatie de gegevens gebruikt. Daarnaast moet de organisatie nadere informatie verstrekken “voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen”. Meer zegt de Wbp niet over de informatieplicht. De AVG daarentegen is daar concreter in. Organisaties moet dan in ieder geval de volgende informatie verstrekken:
· de identiteit en de contactgegevens van de verantwoordelijke;
· de contactgegevens van de functionaris voor gegevensbescherming;
· de doeleinden van en de rechtsgrond voor het gebruik van de gegevens;
· de gerechtvaardigde belangen van de verantwoordelijke, indien de verwerking op het gerechtvaardigd belang is gebaseerd;
· de ontvangers of categorieën van ontvangers van de persoonsgegevens; en
· of de gegevens (zullen) worden doorgegeven aan een land buiten de EU;
Naast bovengenoemde informatie, moet organisaties de volgende aanvullende informatie verstrekken om een behoorlijke en transparante verwerking te waarborgen:
· de bewaartermijn van de gegevens;
· dat betrokken het recht hebben om inzage van en rectificatie of wissing van de gegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
· dat de betrokkene het recht heeft om zijn verleende toestemming in te trekken;
· dat de betrokkene het recht heeft een klacht in te dienen bij de toezichthouder;
· of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
· het bestaan van profiling of geautomatiseerde besluitvorming;
· indien de gegevens niet van de betrokkene worden verkregen, de bron waar de persoonsgegevens vandaan komen.
Volgens de AVG moet bovenstaande informatie eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Het moge duidelijk zijn dat de hoeveelheid te verstrekken informatie en de criteria waaraan die informatie moet voldoen behoorlijk verschil ten opzichte van de Wbp. Veel organisaties zullen hun privacy statement dienen aan te passen en dit is niet onbelangrijk. Op het niet hebben van een (volledig) privacy statement staat straks namelijk een maximale boete van 20.000.000 euro of 4% van de wereldwijde omzet (als dat laatste hoger is).