De AVG introduceert
niet alleen meerdere nieuwe rechten en verplichtingen, maar breidt een
aantal van de bestaande verplichtingen (behoorlijk) uit. Zo geldt dat
zowel onder de huidige privacywetgeving, de Wet bescherming
persoonsgegevens (hierna “de Wbp”), als de AVG organisaties verplicht
zijn om informatie te geven aan personen van wie zij persoonsgegevens
gebruiken.

Onder de Wbp moeten
organisaties die persoonsgegevens gebruiken in ieder geval de naam en
het adres van de organisatie laten weten en waarvoor de organisatie de
gegevens gebruikt. Daarnaast moet de organisatie nadere informatie
verstrekken “voor zover dat gelet op de aard van de gegevens, de
omstandigheden waaronder zij worden verkregen of het gebruik dat ervan
wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en
zorgvuldige verwerking te waarborgen
”. Meer zegt de Wbp niet over de
informatieplicht. De AVG daarentegen is daar concreter in. Organisaties
moet dan in ieder geval de volgende informatie verstrekken:

  • de identiteit en de contactgegevens van de verantwoordelijke;
  • de contactgegevens van de functionaris voor gegevensbescherming;
  • de doeleinden van en de rechtsgrond voor het gebruik van de gegevens;
  • de gerechtvaardigde belangen van de verantwoordelijke, indien de verwerking op het gerechtvaardigd belang is gebaseerd;
  • de ontvangers of categorieën van ontvangers van de persoonsgegevens; en
  • of de gegevens (zullen) worden doorgegeven aan een land buiten de EU;

Naast bovengenoemde
informatie, moet organisaties de volgende aanvullende informatie
verstrekken om een behoorlijke en transparante verwerking te waarborgen:

  • de bewaartermijn van de gegevens;
  • dat
    betrokken het recht hebben om inzage van en rectificatie of wissing van
    de gegevens of beperking van de hem betreffende verwerking, alsmede het
    recht tegen de verwerking bezwaar te maken en het recht op
    gegevensoverdraagbaarheid;
  • dat de betrokkene het recht heeft om zijn verleende toestemming in te trekken;
  • dat de betrokkene het recht heeft een klacht in te dienen bij de toezichthouder;
  • of
    de verstrekking van persoonsgegevens een wettelijke of contractuele
    verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst
    te sluiten, en of de betrokkene verplicht is de persoonsgegevens te
    verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet
    worden verstrekt;
  • het bestaan van profiling of geautomatiseerde besluitvorming;
  • indien de gegevens niet van de betrokkene worden verkregen, de bron waar de persoonsgegevens vandaan komen.

Volgens de AVG moet
bovenstaande informatie eenvoudig toegankelijk en begrijpelijk zijn, en
moet duidelijke en eenvoudige taal worden gebruikt. Het moge duidelijk
zijn dat de hoeveelheid te verstrekken informatie en de criteria waaraan
die informatie moet voldoen behoorlijk verschil ten opzichte van de
Wbp. Veel organisaties zullen hun privacy statement dienen aan te passen
en dit is niet onbelangrijk. Op het niet hebben van een (volledig)
privacy statement staat straks namelijk een maximale boete van
20.000.000 euro of 4% van de wereldwijde omzet (als dat laatste hoger
is).

Bron: Solv.nl