Met de Algemene Verordening Gegevensbescherming (AVG) in aantocht wordt vaak de vraag gesteld waarin deze verschilt van de huidige Wet bescherming persoonsgegevens (Wbp). In het kort: in de kern wijzigt er niet veel, maar de wijzigingen die er zijn zullen een grote impact hebben.
Los van de inhoudelijke wijzigingen, verschilt de vorm. De Wbp is Nederlandse wetgeving gebaseerd op een Europese richtlijn (95/46/EG) Een richtlijn heeft geen directe werking in de landen van de EU, maar moet eerst omgezet worden in nationale wetgeving; in Nederland is dit dus de Wet bescherming persoonsgegevens geworden.
De AVG is een Europese verordening en heeft wel directe werking in alle landen van de EU. Het voordeel hiervan is dat alle landen in de EU dezelfde (privacy)wetgeving hanteren. De verschillen tussen de huidige nationale (privacy)wetten worden hiermee weggenomen.
In tegenstelling tot hetgeen in de media wordt verkondigd, verandert er niet heel veel aan onze privacywetgeving. De Wbp liep in die zin al enigszins voor op andere privacywetgeving in de EU.
De Wbp hanteert in de kern ook grondslagen en doelen bij de verwerking van persoonsgegevens. Verder maakt de Wbp, net als de AVG, een onderscheid tussen persoonsgegevens en bijzondere persoonsgegevens.
Ook de privacy beginselen komen terug in de AVG. Hetzelfde geldt voor de relatief nieuwe meldplicht datalekken. Deze meldplicht heeft Nederland al sinds 2016.
De meest in het oog springende verschil ziet op de boetes die door de Autoriteit Persoonsgegevens (AP) kunnen worden opgelegd. Momenteel heeft de AP de bevoegdheid om boetes tot € 820.000 op te leggen (wegens opzettelijk in strijd met de Wbp handelen). Met de komst van de AVG wordt de maximale boete € 20.000.000 of 4% van de wereldwijde jaaromzet. Het opzetvereiste verdwijnt met de AVG ook.
Door deze extreme verhoging van de boetebevoegdheid maakt het dat organisaties zich willen confirmeren aan de nieuwe privacywetgeving. De financiële risico’s zijn niet langer verwaarloosbaar.
De nieuwe boetes zijn opgesomd in artikel 83 AVG.
Met de komst van de AVG komt ook de algemene meldplicht bij de Autoriteit Persoonsgegevens (AP) te vervallen. Indien een organisatie persoonsgegevens wou verwerken, moest zij dit eerst bij de AP aangeven. Deze algemene meldplicht is een vorm van voorafgaand toezicht. De algemene meldplicht wordt vervangen door een register. Het register zal alle verwerkingen van persoonsgegevens bevatten die een verantwoordelijke of verwerker doet. Met het register kan achteraf aangetoond worden dat een verantwoordelijke in overeenstemming met de AVG handelt. Met de AVG gaan we dus van voorafgaand toezicht naar een vorm van achteraf toezicht.
De overige verschillen zijn hieronder puntsgewijs genoteerd. De veranderingen zien met name op de accountability; aantonen dat je compliant bent aan de AVG.