Organisaties hoeven verwerking persoonsdata niet meer te melden
Organisaties die persoonsgegevens verwerken hoeven dit niet meer bij de Autoriteit Persoonsgegevens (AP) te melden, zo heeft de toezichthouder bekendgemaakt. Voorheen was dit wettelijk verplicht, maar de toezichthouder zal niet meer handhaven op het naleven van deze meldplicht.
Alleen als er sprake is van een gegevensverwerking met een bepaald risico blijft een melding verplicht. Vervolgens doet de AP een voorafgaand onderzoek naar die gegevensverwerking. Dit houdt in dat de toezichthouder eerst onderzoekt of de verwerking aan de eisen van de Wet bescherming persoonsgegevens (Wbp) voldoet. Pas na goedkeuring door de toezichthouder mag een organisatie beginnen met de verwerking. Aanleiding dat er niet meer wordt gehandhaafd op de meldplicht is dat die door de Algemene verordening gegevensbescherming (AVG), die op 25 mei 2018 van kracht wordt, komt te vervallen.
Na 25 mei 2018 zijn organisaties verplicht een data protection impact assessment (DPIA) uit te voeren als het verwerken van persoonsgegevens grote risico's met zich meebrengt voor de rechten en vrijheden van de betrokken. Als uit de DPIA blijkt dat de verwerking inderdaad een hoog risico oplevert en een organisatie geen maatregelen neemt of kan nemen om dit risico te beperken, dan moet de verwerking voor dat die wordt toegepast eerst worden voorgelegd aan de Autoriteit Persoonsgegevens.
"De AVG legt meer dan nu de verantwoordelijkheid bij organisaties zelf om aan te tonen dat zij aan de nieuwe privacyregels voldoen. De regels dwingen organisaties om goed na te denken over hoe persoonsgegevens worden verwerkt en worden beschermd", aldus de toezichthouder.
En dan gek vinden dat 'de Nederlander (m/v/gn)' de overheid niet betrouwbaar vindt.
"De AVG legt meer dan nu de verantwoordelijkheid bij organisaties zelf om aan te tonen dat zij aan de nieuwe privacyregels voldoen. De regels dwingen organisaties om goed na te denken over hoe persoonsgegevens worden verwerkt en worden beschermd", aldus de toezichthouder.
Ja ja, dat hebben we in het verleden al wel gezien hoe er met dat soort 'verantwoordlijkheden' omgegaan wordt.
Ik was benieuwd naar dat "bepaalde risico", maar kom dan terecht in een doolhof van wetgeving met verwijzingen naar 'eerste lid van...', en europese richtlijnen, allemaal in elkaar verweeft.
"Iedere Nederlander wordt geacht de wet te kennen" ,ofwel iedere Nederlander krijgt van de staat een gratis aangeboden opleiding tot jurist!
vanaf de AP site:
https://autoriteitpersoonsgegevens.nl/nl/nieuws/organisaties-hoeven-geen-melding-van-verwerking-gegevens-meer-te-doen
kom ik via de link "melden bij de AP" op deze site:
https://autoriteitpersoonsgegevens.nl/nl/melden/melden-verwerking-persoonsgegevens
daar gegoogled op de wet artikel 31 van de Wet bescherming persoonsgegevens (Wbp) en kom dan bij de algemene wbp uit:
http://wetten.overheid.nl/BWBR0011468/2016-01-01
die (btw) tevens verlopen schijnt te zijn:
Wet bescherming persoonsgegevens
Geldend van 01-01-2016 t/m 09-03-2017
Artikel 31
1 Het College stelt voorafgaand aan een verwerking een onderzoek in indien de verantwoordelijke:
a. een nummer ter identificatie van personen voornemens is te verwerken voor een ander doeleinde dan waarvoor het nummer specifiek bestemd is teneinde gegevens in verband te kunnen brengen met gegevens die worden verwerkt door een andere verantwoordelijke, tenzij het gebruik van het nummer geschiedt voor de gevallen als omschreven in artikel 24;
b. voornemens is gegevens vast te leggen op grond van het gericht verzamelen van informatie door middel van eigen onderzoek zonder de betrokkene daarvan op de hoogte te stellen, of
c. voornemens is ten behoeve van derden strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag te verwerken, anders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b.
2 Het eerste lid, onder b, is niet van toepassing op openbare registers die bij de wet zijn ingesteld.
3 Het eerste lid, onderdeel c, is niet van toepassing op gegevensverwerkingen die reeds door een andere verantwoordelijke voor voorafgaand onderzoek zijn voorgelegd en ten aanzien waarvan het College een verklaring als bedoeld in artikel 32, vijfde lid, heeft afgegeven.
4 Bij wet of algemene maatregel van bestuur kunnen andere gegevensverwerkingen die een bijzonder risico inhouden voor de persoonlijke rechten en vrijheden van de betrokkene worden aangewezen waarop het eerste lid van toepassing is. Het College geeft in zijn jaarverslag aan in hoeverre naar zijn oordeel een dergelijke aanwijzing wenselijk is.
5 Het College meldt een verwerking als bedoeld in het eerste lid, onder c, bij de Europese Commissie.
maar de algemene WPB kan niet de "bepaalde risico" omvatten, want dan zou er tóch niets veranderen(?)
Iemand , die kan aangeven wat deze 'bepaalde risico' omvat?
Of is dit de manier van AP om de verantwoordelijkheid Geheel bij de 'gegevensverwerker' neer te leggen die dit adhv DPIA moet doen en mocht er dan toch iets voorvallen, gelijk boetes uitgedeeld kan worden, want dan zal de 'gegevensverwerker' de DPIA wel niet goed hebben toegepast.
Of, andere reden waarom AP dit doet?
Soms helpt dan crisismanagement niet eens meer, want dan is het kwaad al geschiedt
en heeft het vertrouwen bij de burger opnieuw een fikse knauw opgelopen.
Garantie voor een nieuwe reeks 'data-breaches' van allerlei aard.
We kijken echt nergens meer van op, toch?
De regelgeving wordt veel strenger, met ook veel hogere boetes. Sommige mensen willen per definitie alles negatief zien.
Ik was benieuwd naar dat "bepaalde risico", maar kom dan terecht in een doolhof van wetgeving met verwijzingen naar 'eerste lid van...', en europese richtlijnen, allemaal in elkaar verweeft.
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/data-protection-impact-assessment-dpia
Je functionaris voor gegevensbescherming kan je daar alles over vertellen ;)
Je doet namelijk een privacy baseline, dat zijn vaste vraagstukken endat bepaald je risico.is dat risico er moet je een DPIA (in NL ook wel PIA) etc. etc.
Ik begrijp het doolhof niet, GDPR is vrij straight forward kwa hoe en wat te doen.
Leg uit, hoe gaat de nieuwe wet zorgen voor *meer* breaches ? De wet wordt strenger, en boetes worden veel hoger.
De regelgeving wordt veel strenger, met ook veel hogere boetes. Sommige mensen willen per definitie alles negatief zien.
Is niet een kwestie van negatief iets zien maar leren van de ervaringen uit het verleden. Laat het ze eerst maar zien.
Slagers die hun een vlees keuren gaan per definitie niet goed, reden GELD
Is niet een kwestie van negatief iets zien maar leren van de ervaringen uit het verleden. Laat het ze eerst maar zien.
Slagers die hun een vlees keuren gaan per definitie niet goed, reden GELD
Die kan door de veranderende ontwikkelingen in de tijd gemakkelijk mee veranderen. Dat gaat met een detaillistische uitwerking echt niet.
Een probleem kan wel zijn: al die negatievelingen die nooit iets goed vinden en alleen maar lopen te zeuren.
Simpeler is om de uitersten te benoemen. De minimale persoonsgegeven om bestelde waren betaald te krijgen en te kunnen afleveren mag je intern voor het eigen werk gebruiken zolan dat relevant vereist is. In dat geval geen meldplicht. Daarmee ontlast je een boel onzin meldingen.
Wil je met ras uiterlijk en geloofszaken persoonlijke gezondheid met derden aan de slag dan is dat een hoog risico die je eerst maar eens goed moet uitleggen.
Een verplicht epd door een bevoegd arts is natuurlijk weer niet meldingsplichtig. Hoe moeilijk kan zoiets nu zijn?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.