Met de Algemene Verordening Gegevensbescherming (AVG) in aantocht wordt vaak de vraag gesteld waarin deze verschilt van de huidige Wet bescherming persoonsgegevens (Wbp). In het kort: in de kern wijzigt er niet veel, maar de wijzigingen die er zijn zullen een grote impact hebben.
Verordening versus richtlijn
Los van de inhoudelijke wijzigingen, verschilt de vorm. De Wbp is Nederlandse wetgeving gebaseerd op een Europese richtlijn (95/46/EG) Een richtlijn heeft geen directe werking in de landen van de EU, maar moet eerst omgezet worden in nationale wetgeving; in Nederland is dit dus de Wet bescherming persoonsgegevens geworden.
De AVG is een Europese verordening en heeft wel directe werking in alle landen van de EU. Het voordeel hiervan is dat alle landen in de EU dezelfde (privacy)wetgeving hanteren. De verschillen tussen de huidige nationale (privacy)wetten worden hiermee weggenomen.
Kern van de privacywetgeving: ongewijzigd
In tegenstelling tot hetgeen in de media wordt verkondigd, verandert er niet heel veel aan onze privacywetgeving. De Wbp liep in die zin al enigszins voor op andere privacywetgeving in de EU.
De Wbp hanteert in de kern ook grondslagen en doelen bij de verwerking van persoonsgegevens. Verder maakt de Wbp, net als de AVG, een onderscheid tussen persoonsgegevens en bijzondere persoonsgegevens.
Ook de privacy beginselen komen terug in de AVG. Hetzelfde geldt voor de relatief nieuwe meldplicht datalekken. Deze meldplicht heeft Nederland al sinds 2016.
Het “belangrijkste” verschil tussen de Wbp en de AVG
De meest in het oog springende verschil ziet op de boetes die door de Autoriteit Persoonsgegevens (AP) kunnen worden opgelegd. Momenteel heeft de AP de bevoegdheid om boetes tot € 820.000 op te leggen (wegens opzettelijk in strijd met de Wbp handelen). Met de komst van de AVG wordt de maximale boete € 20.000.000 of 4% van de wereldwijde jaaromzet. Het opzetvereiste verdwijnt met de AVG ook.
Door deze extreme verhoging van de boetebevoegdheid maakt het dat organisaties zich willen confirmeren aan de nieuwe privacywetgeving. De financiële risico’s zijn niet langer verwaarloosbaar.
De nieuwe boetes zijn opgesomd in artikel 83 AVG.
Verval algemene meldplicht
Met de komst van de AVG komt ook de algemene meldplicht bij de Autoriteit Persoonsgegevens (AP) te vervallen. Indien een organisatie persoonsgegevens wou verwerken, moest zij dit eerst bij de AP aangeven. Deze algemene meldplicht is een vorm van voorafgaand toezicht. De algemene meldplicht wordt vervangen door een register. Het register zal alle verwerkingen van persoonsgegevens bevatten die een verantwoordelijke of verwerker doet. Met het register kan achteraf aangetoond worden dat een verantwoordelijke in overeenstemming met de AVG handelt. Met de AVG gaan we dus van voorafgaand toezicht naar een vorm van achteraf toezicht.
Overige verschillen tussen de Wbp en de AVG
De overige verschillen zijn hieronder puntsgewijs genoteerd. De veranderingen zien met name op de accountability; aantonen dat je compliant bent aan de AVG.
- Verplichte uitvoering van een Privacy Impact Assessment (PIA);
- Aanstellen van een functionaris voor de gegevensbescherming (FG);
- Recht op vergetelheid, wat een uitbreiding van het recht op verwijdering inhoudt;
- Recht op transparante informatie;
- Recht op dataportabiliteit;
- Recht op beperking van de verwerking;
- Toepassen van privacy by design (Gegevensbescherming door ontwerp).