of 59162 LinkedIn

De AVG in de publieke sector

De AVG in de publieke sector. Een overzicht van de grootste en kleinste veranderingen
Deloitte Reageer

Een overzicht van de grootste en kleinste veranderingen

Hoe dichterbij 25 mei 2018 ons nadert hoe vaker we het horen: de GDPR of in het Nederlands de Algemene Verordening Gegevensbescherming komt eraan. Met strengere regelgeving voor dataverzameling en hogere boetes wilt de EU een sterke boodschap uitstralen: privacy moet serieus genomen worden. Hoe is deze nieuwe regelgeving van toepassing op publieke organisaties? Een aantal onderwerpen vragen hier extra aandacht.

Belang van AVG in de publieke sector

Vanaf 25 mei 2018 moeten alle organisaties, en dus ook publieke organisaties voldoen aan de AVG eisen. Hier wordt de laatste maanden enorm veel over geschreven, met een uitleg van de mogelijke gevolgen. We zien echter dat veel artikelen zich richten op generieke informatie en gevolgen, terwijl bijvoorbeeld in de publieke sector aspecten van de AVG belangrijker zijn en andere juist minder belangrijk. We zetten de belangrijkste implicaties voor publieke organisaties op een rij:

 

Kleinere veranderingen binnen de AVG

Niet alle veranderingen zijn voor publieke organisaties even relevant, zoals het recht om vergeten te worden en het overdragen van data.

 

Data portabiliteit

Het recht van Data Portabiliteit houdt in dat de betrokkene gestructureerd en machinaal zelf toestemming heeft gegeven om data over te dragen aan de andere partij. Echter kunnen publieke organisaties vaak ook niet vrijelijke toestemming gebruiken - door de sterke positie van de overheid – en is data portabiliteit alleen van toepassing in contractuele relaties. Doordat data om een andere reden verwerkt dient te worden dan bij private organisaties, zoals in publiek belang, speelt dit item dus een minder grote rol in de publieke sector.

 

Recht om vergeten te worden

Het recht om vergeten te worden speelt ook een kleinere rol bij publieke sector organisaties. De regel is namelijk niet van toepassing wanneer de verwerking van gegevens plaatsvindt voor de uitvoering van een taak van openbaar belang of het uitoefenen van openbaar gezag. Daarnaast is het ook niet van toepassing wanneer de verwerking wordt uitgevoerd voor de naleving van de wettelijke verplichting van een lidstaat van de EU. Dit komt relatief vaak voor in de publieke sector.

 

One-stop-shop

Een andere nieuwe mogelijkheid van de GDPR is de zogeheten ‘one-stop-shop’. Dit zorgt ervoor dat organisaties die in meerdere landen binnen de EU opereren slechts met één gegevensbeschermingsautoriteit van doen hebben, in plaats van een autoriteit per land. Veel publieke organisaties opereren echter slechts in één land, waardoor deze mogelijkheid geen grote rol speelt.


Grotere veranderingen binnen de AVG

Er zijn ook een aantal bepalingen die specifiek van belang zijn voor publieke organisaties. We lichten de belangrijkste hieronder toe.

 

Functionaris voor de Gegevensbescherming

Publieke organisaties die persoonlijke data verwerken zijn verplicht om een FG ofwel Data Protection Officer (DPO) aan te wijzen. Dit is verschillend in de private sector, waar een FG alleen nodig is als er aan bepaalde criteria wordt voldaan. Het is mogelijk om een FG te delen met andere organisaties of agentschappen, zolang de organisatiestructuur en grootte soortgelijk is. Raadpleeg ook de lokale wetgeving om te zien of er aanvullende eisen zijn, zoals de registratie van een DPO in een overheidsregister.

 

Legitiem belang als grond voor verwerking

De AVG beperkt publieke organisaties om legitiem belang te gebruiken als reden om persoonlijke gegevens te verwerken. Dit betekent dat deze organisaties een andere rechtsreden moeten vinden voor situaties waar nu nog legitiem belang wordt gebruikt. Het is nodig om de verwerkingsactiviteiten te controleren en te bepalen of deze op een andere wettige basis kunnen worden verwerkt, of dat ze al zijn vrijgesteld. Als dit niet mogelijk is, kunnen de persoonlijke gegevens mogelijk niet verwerkt worden.


Toestemming voor (internationale) gegevensoverdracht

Zoals aangegeven bij data portabiliteit staat de AVG enkel toe dat gegevensoverdracht alleen kan plaatsvinden met toestemming van de betrokkene, echter kunnen publieke organisaties deze regel vaak niet gebruiken. De reden hiervoor is de ongebalanceerde relatie tussen de overheid en haar burgers, die de eis dat toestemming ‘vrijelijk’ moet worden gegeven belemmerd. Zo heeft de overheid recht op sommige informatie van burgers, zolang de wet daar bevoegdheid voor geeft. De AVG biedt een speciale optie voor overheidsinstanties om ook gegevens uit te wisselen met andere landen zonder passende voorzorgsmaatregelen. Dit is mogelijk als er een juridisch bindend en afdwingbare afspraak is tussen de overheidsinstanties.

 

Conclusie

Binnen de AVG zijn er een aantal belangrijke wijzigingen en beperkingen die binnen de publieke sector van meer of minder belang zijn. Geadviseerd wordt om een zorgvuldige beoordeling uit te voeren en goed te kijken naar de uitzonderingen voordat de algemene regel wordt toegepast. Wij raden ook aan de lokale wetgeving raad te plegen.

 

Wilt u meer informatie? Neem dan contact op met Niek IJzinga. nijzinga@deloitte.nl

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Contactgegevens

AfbeeldingDeloitte 
Wilhelminakade 1 
3072 AP, Rotterdam
Tel.nr. 088 288 2888
www.deloitte.nl/publiekesector 
rdubbeldeman@deloitte.nl

Meer nieuws

Opleidingen

Women on Boards Publieke Sector

Vergroot uw impact

in de bestuurskamer

24/25 januari, 12 februari, 5 maart, 16/17 mei '19

diverse locaties