PRIVACYRECHT
Het recht op privacy is een grondrecht, ondermeer vastgelegd in artikel 8 lid 1 van het Handvest van de grondrechten van de Europese Unie en sinds 2018 verwerkt in de Algemene verordening gegevensbescherming (AVG) die voor alle EU lidstaten geldt. De AVG heeft de rechten van burgers aanzienlijk versterkt om de regie te houden over hun persoonsgegevens, waaronder het recht op rectificatie en wissing van gegevens. La Raison is specialist op het gebied van privacyrecht. Zij heeft ervaring met handhavingsverzoeken bij de Autoriteit Persoonsgegevens en met rechterlijke procedures krachtens de AVG, waaronder verzoeken tot verwijdering persoonsgegevens (b.v. bij Google) en procedures tot vergoeding van materiële en immateriële schade.
Het privacyrecht is sterk in opkomst. De snelle digitalisering brengt met zich mee dat persoonsgegevens wereldwijd kunnen worden verwerkt, bewaard en verhandeld, vaak zonder toestemming van de persoon om wie het gaat.
Mensen willen hun privacy beschermen in een wereld waarin er digitaal zoveel persoonlijke informatie beschikbaar is die economisch wordt gebruikt. La Raison behandelt verschillende zaken; van verwijderingsverzoeken bij Google tot geschillen over beveiligingscamera’s versus privacy. Procedures zowel bij de Autoriteit Persoonsgegevens als bij de civiele rechter. Bedrijven adviseren we ook over het naleven van de privacywetgeving.
Algemene Verordening Gegevensbescherming (AVG)
Vanaf 25 mei 2018 moeten alle organisaties in de Europese Unie voldoen aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). De AVG breidt de privacyrechten van burgers uit en legt extra verplichtingen op aan organisaties die persoonsgegevens verwerken. Bij overtreding kunnen boetes oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. De Autoriteit Persoonsgegevens (AP) oefent toezicht uit. Verstandig dus om als bedrijf om na te gaan of je voldoet aan de strengere eisen van de AVG. En als burger of je privacy wel is gewaarborgd.
1. Onder de AVG heeft een bedrijf verantwoordingsplicht en moet kunnen aantonen dat de organisatie in control is op het gebied van privacy bijvoorbeeld met een register van verwerkingsactiviteiten.
2. Organisaties die grootschalig met data werken zijn verplicht een Functionaris voor de Gegevensbescherming (FG) aan te stellen en een data protection impact assessment (DPIA) uit te voeren. Dat geldt ook bij verwerking van bijzondere persoonsgegevens (etniciteit, seksuele voorkeur, godsdienst, politieke overtuiging, medische gegevens etc.).
3. Bij uitbesteding van de verwerking van persoonsgegevens blijft de verwerker verantwoordelijk.
4. In de digitale wereld worden er veel (ook bijzondere) persoonsgegevens bewaard. Eén van de meest krachtige rechten van de burger onder de AVG is het recht op vergetelheid; het recht om persoonsgegevens in te zien, te wijzigen of te laten verwijderen. Bij inbreuk op de AVG kan schadevergoeding worden geëist. Uitspraken van het Europees Hof zijn hierop van toepassing. Zelf voerde ik ettelijke procedures tegen Google op grond van het recht op vergetelheid.
Persoonsgegevens patiënten
In de medische wereld gebeurt het nogal eens dat persoonsgegevens van patiënten te makkelijk worden gedeeld. Ziekenhuizen die medische gegevens lieten scannen draaiden op voor hoge boetes van de AP toen het door hen ingehuurde scanbedrijf per ongeluk de medische rapporten openbaar maakten via een link.
Het scannen van identiteitsdocumenten
Een transportbedrijf maakte scans van de identiteitsdocumenten van vrachtwagenchauffeurs die goederen kwamen laden en bewaarde deze in het eigen computersysteem voor onbepaalde tijd. Dat is niet toegestaan, zeker niet als er (online) geen extra beveiliging is om identiteitsfraude tegen te gaan. De Autoriteit Persoonsgegevens eiste beëindiging van de overtreding op straffe van een last onder dwangsom.
