mee?
Vertaling van de
regels naar de
complexe praktijk is
een grote opgave
2017-1 I Geo-Info
Geo-data zijn in toenemende mate herieidbaar tot persoonsgegevens.
element: 'locatiegegeven', nader omschreven
als een mogelijke 'identificator' waarmee een
persoon zou kunnen worden geïdentificeerd.
In dat geval moeten de regels van de AVG
gevolgd worden. Kijkend naar de zogenaamde
'overwegingen' bij de AVG, dan lijkt het erop
dat met dit begrip gedoeld wordt op de
locatie van een persoon of randapparatuur
(zoals bedoeld in de e-privacy Richtlijn) [4]
en niet op locatiegegevens in brede zin zoals
topografische informatie, gebouwgegevens,
en geologische gegevens.
Algemene beginselen
Ook waar het de algemene beginselen aangaat,
is er een hoge mate van continuïteit tussen
de Wbp en de AVG. Net als in de Wbp mogen
onder de AVG persoonsgegevens slechts wor
den verzameld voor welbepaalde, uitdrukkelijk
omschreven en gerechtvaardigde doeleinden
en mogen deze vervolgens niet verder op
een met die doeleinden onverenigbare wijze
worden verwerkt. De eisen die aan die verdere
verwerking worden gesteld, zijn in de AVG wel
wat verder uitgewerkt dan in de Wbp.
De 'accountability' is een van de belangrijkste
nieuwe aspecten van de AVG. Veel meer
dan onder de Wbp thans het geval is, moet
de verantwoordelijke steeds kunnen aanto
nen - dus vooral ook aan de voorkant van
verwerkingsprocessen - dat de verwerking van
persoonsgegevens in overeenstemming is
met de regels uit de AVG. Er moeten passende
organisatorische en technische maatregelen
zijn getroffen, verwerking moet plaatsvin
den voor vooraf welbepaalde doelen en de
gegevens mogen niet langer bewaard worden
dan strikt noodzakelijk is. En de verantwoorde
lijke moet vervolgens ook achteraf te kunnen
aantonen dat dit werkelijk gedaan is.
Daarmee verwant zijn de principes van
gegevensbescherming 'by design' en 'by default'
die de AVG introduceert. Dit verplicht de
verantwoordelijke voor iedere nieuwe verwer
king de bescherming van persoonsgegevens
vanaf het begin in het ontwerpproces mee te
nemen. Het principe van by default betekent
bijvoorbeeld dat de persoonsgegevens niet
toegankelijk mogen zijn voor een ongedefi
nieerd aantal individuen. De standaard wordt
dus: niet ongebreideld delen van persoonsge
gevens, tenzij. Ook de 'risk based approach' past
hierin: hierbij ligt de nadruk op enerzijds de
eigen verantwoordelijkheid van de verwerker
en anderzijds de verplichting tot het vooraf
inregelen van de juiste randvoorwaarden,
gestoeld op genoemde risico-inschatting.
Ook stelt de AVG strengere eisen aan de
verwerking voor persoonsgegevens 'voor de
publieke taak'. Indien namelijk de verwerking
noodzakelijk is om te voldoen aan een wet
telijke verplichting of noodzakelijk is voor de
vervulling van een taak van algemeen belang
dan moet het doel van de verwerking van de
persoonsgegevens bij wet worden vastgesteld.
Verder moet de verantwoordelijke een register
bijhouden van de verwerkingsactiviteiten die
onder zijn verantwoordelijkheid plaatsvinden.
Deze verplichting vervangt de meldplicht die
onder de Wbp gold. Tenslotte introduceert de
AVG de verplichte voorafgaande 'Persoonsge
gevensbescherming Impact Assessment' (ook
wel PIA's genoemd) voor verwerkingen met
een hoog risicogehalte.