Algemene Verordening Gegevensbescherming (GDPR)

Privacywetgeving AVG GDPRAlgemene Verordening Gegevensbescherming (GDPR)

Sinds 24 april 2016 is er een nieuwe Europese verordening in werking getreden: de Algemene Verordening Gegevensbescherming (AVG). In het Engels “GDPR” genoemd. De AVG zal de privacywet- en regelgeving in de Europese Unie verder gaan harmoniseren. Meer specifiek: de AVG richt zich op dataprotectie; de bescherming van onze persoonsgegevens. Wat gaat er precies veranderen voor de mensen en de “gebruikers” van die persoonsgegevens in Nederland?

Huidige wet- en regelgeving privacy in Nederland

Momenteel geldt in Nederland de Wet Bescherming Persoonsgegevens (“Wbp”). Deze wet regelt onder meer de verwerking van persoonsgegevens. De Wbp was afgelopen jaren sterk in de belangstelling vanwege de inwerkingtreding van de Wet Meldplicht Datalekken. Veel onderdelen van de AVG staan ook al in de Nederlandse wetgeving (Wbp). Desondanks gaat er wel veel veranderen in Nederland met de komst van de AVG, ook wel de GDPR genoemd.

Wat is de AVG precies?

De General Data Protection Regulation (GDPR) of in het Nederlands de Algemene Verordening Gegevensbescherming is een Europese verordening. Dit betekent dat na de inwerkingtreding de verordening directe werking heeft in alle landen van de EU. Dit in tegenstelling tot de huidige privacyrichtlijn. De Wbp kan je zien als een Nederlandse “vertaling” (omzetting van) de privacyrichtlijn.

Wat gaat de AVG regelen?

De AVG komt met een verscheidenheid aan rechten voor de betrokkenen, de mensen waarover gegevens worden verwerkt. Daarnaast worden de verplichtingen voor de organisaties die gegevens over personen verwerken uitgebreid en aangescherpt.

Wat is er nieuw onder de AVG?

De basis van de nieuwe privacywetgeving komt grotendeels overeen met de huidige wetgeving, de Wbp. Daarin staat al dat je persoonsgegevens alleen mag verwerken met een grondslag (bijv. met toestemming of wanneer dit wettelijk verplicht is), dat je een doel moet hebben met de verwerking van persoonsgegevens en dat je je als “gebruiker” (verantwoordelijke en verwerker) van die persoonsgegevens moet houden aan een aantal privacyprincipes. Bij privacyprincipes kunt u denken aan opslagbeperking (persoonsgegevens niet langer bewaren dan noodzakelijk) en dataminimalisatie (niet meer persoonsgegevens verwerken dan noodzakelijk).

Naast deze overeenkomsten draagt de AVG wel degelijk een aantal nieuwe zaken aan.

Nieuw onder de AVG

Er zal veel veranderen met de komst van de AVG. De belangrijkste zaken worden hieronder kort uiteengezet.

Rechten betrokkenen uitgebreid

De AVG breidt het aantal rechten voor de betrokkenen uit. Zo komt het recht op dataportabiliteit erbij en wordt het recht op verwijdering uitgebreid.

Register, PIA en privacy by design

Daarnaast verlangt de AVG van de verantwoordelijke en de verwerker dat zij een register gaan aanleggen met alle verwerkingen die plaatsvinden. Indien een verantwoordelijke voornemens is om persoonsgegevens te gaan verwerken met een hoog risico voor de rechten en vrijheden van de betrokkenen, dan zal zij een DPIA/PIA (data protection impact assessment) moeten uitvoeren.

Bij het verwerken wordt aan de verantwoordelijke verzocht om “privacy by design” en “privacy by default” toe te passen. Dit houdt kortweg in dat er bij de ontwerpfase al rekening wordt gehouden met de privacy van betrokkenen en dat voor de techniek/methodiek als standaard wordt gekozen voor de minst privacyschendende manieren.

Hogere boetes

Naast de eisen bij verwerking, krijgt de Autoriteit Persoonsgegevens (de privacywaakhond in Nederland) ook meer mogelijkheden. Zo worden de huidige boetes flink aangescherpt. Momenteel is de maximale boete op grond van de Wbp €820.000. Dit wordt onder de AVG €10.000.000 of €20.000.000, dan wel 2% of 4% van de (wereldwijde) jaaromzet.

De Autoriteit Persoonsgegevens krijgt enige hulp bij de bescherming van de rechten en vrijheden van de betrokkene; de functionaris voor de gegevensbescherming wordt in een aantal gevallen verplicht voor organisaties.

Functionaris Gegevensbescherming

De autoriteit heeft niet genoeg ogen en oren om alle verwerkingen van persoonsgegevens in de gaten te houden. Om die reden komt de AVG met de verplichting om in een aantal gevallen een functionaris voor de gegevensbescherming (FG) aan te stellen. Onder meer overheidsinstanties zijn verplicht om een functionaris voor de gegevensbescherming aan te stellen. Meer informatie over de FG vindt u hier.

Vraag avg gdpr
Voor vragen en juridisch advies over de AVG/GDPR in Nederland kunt u ons een bericht sturen.