Algemene Verordening Gegevensbescherming (GDPR)
Sinds 24 april 2016 is er een nieuwe Europese verordening in werking getreden: de Algemene Verordening Gegevensbescherming (AVG). In het Engels “GDPR” genoemd. De AVG zal de privacywet- en regelgeving in de Europese Unie verder gaan harmoniseren. Meer specifiek: de AVG richt zich op dataprotectie; de bescherming van onze persoonsgegevens. Wat gaat er precies veranderen voor de mensen en de “gebruikers” van die persoonsgegevens in Nederland?
Huidige wet- en regelgeving privacy in Nederland
In Nederland gold de Wet Bescherming Persoonsgegevens (“Wbp”). Deze wet regelde onder meer de verwerking van persoonsgegevens. Voor de komst van de AVG, was de Wbp sterk in de belangstelling vanwege de inwerkingtreding van de Wet Meldplicht Datalekken. Veel onderdelen van de AVG stonden al in de Nederlandse wetgeving (Wbp). Desondanks is er wel veel veranderd in Nederland met de komst van de AVG (ook wel de GDPR genoemd).
Wat is de AVG precies?
De General Data Protection Regulation (GDPR) of in het Nederlands de Algemene Verordening Gegevensbescherming is een Europese verordening. Dit betekent dat na de inwerkingtreding de verordening directe werking heeft in alle landen van de EU. Dit in tegenstelling tot de voorgaande privacyrichtlijn. De Wbp kon je zien als een Nederlandse “vertaling” (omzetting van) de privacyrichtlijn.
Wat regelt de AVG?
De AVG komt met een verscheidenheid aan rechten voor de betrokkenen, de mensen waarover gegevens worden verwerkt. Daarnaast zijn de verplichtingen voor de organisaties die gegevens over personen verwerken uitgebreid en aangescherpt.
Wat is er nieuw onder de AVG?
De basis van de nieuwe privacywetgeving komt grotendeels overeen met de vorige wetgeving, de Wbp. Daarin stond al dat je persoonsgegevens alleen mag verwerken met een grondslag (bijv. met toestemming of wanneer dit wettelijk verplicht is), dat je een doel moet hebben met de verwerking van persoonsgegevens en dat je je als “gebruiker” (verantwoordelijke en verwerker) van die persoonsgegevens moet houden aan een aantal privacyprincipes. Bij privacyprincipes kunt u denken aan opslagbeperking (persoonsgegevens niet langer bewaren dan noodzakelijk) en dataminimalisatie (niet meer persoonsgegevens verwerken dan noodzakelijk).
Naast deze overeenkomsten draagt de AVG wel degelijk een aantal nieuwe zaken aan.
Nieuw onder de AVG
Er zijn een aantal zaken gewijzigd met de komst van de AVG. De belangrijkste zaken worden hieronder kort uiteengezet.
Rechten betrokkenen uitgebreid
De AVG heeft het aantal rechten voor de betrokkenen uitgebreid. Zo kwam het recht op dataportabiliteit erbij en is het recht op verwijdering uitgebreid.
Register, PIA en privacy by design
Daarnaast verlangt de AVG van de verantwoordelijke en de verwerker dat zij een register aanleggen met alle verwerkingen die plaatsvinden. Indien een verantwoordelijke voornemens is om persoonsgegevens te gaan verwerken met een hoog risico voor de rechten en vrijheden van de betrokkenen, dan zal zij een DPIA/PIA (data protection impact assessment) moeten uitvoeren.
Bij het verwerken wordt aan de verantwoordelijke verzocht om “privacy by design” en “privacy by default” toe te passen. Dit houdt kortweg in dat er bij de ontwerpfase al rekening wordt gehouden met de privacy van betrokkenen en dat voor de techniek/methodiek als standaard wordt gekozen voor de minst privacyschendende manieren.
Hogere boetes
Naast de eisen bij verwerking, heeft de Autoriteit Persoonsgegevens (de privacywaakhond in Nederland) ook meer mogelijkheden toebedeeld gekregen. Zo zijn de boetes flink aangescherpt. Een boete onder de Wbp was gemaximaliseerd op €820.000. Dit is onder de AVG €10.000.000 of €20.000.000, dan wel 2% of 4% van de (wereldwijde) jaaromzet.
De Autoriteit Persoonsgegevens heeft er enige hulp bij gekregen ten behoeve van de bescherming van de rechten en vrijheden van de betrokkene; de functionaris voor de gegevensbescherming is in een aantal gevallen verplicht voor organisaties.
Functionaris Gegevensbescherming
De autoriteit heeft niet genoeg ogen en oren om alle verwerkingen van persoonsgegevens in de gaten te houden. Om die reden komt de AVG met de verplichting om in een aantal gevallen een functionaris voor de gegevensbescherming (FG) aan te stellen. Onder meer overheidsinstanties zijn verplicht om een functionaris voor de gegevensbescherming aan te stellen. Meer informatie over de FG vindt u hier.
Voor vragen en juridisch advies over de AVG/GDPR in Nederland kunt u ons een bericht sturen.