De nieuwe Europese privacywetgeving van kracht in 2018
De Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als de General Data Protection Regulation (GDPR), zal vanaf 25 mei 2018 grote veranderingen met zich meebrengen. Dit betreft met name regels op het gebied van gegevensbescherming. Per 25 mei 2018 zal dezelfde privacywetgeving gelden in de hele Europese Unie. Dit heeft als gevolg dat de Wet bescherming persoonsgegevens[1] (Wbp) niet meer toegepast mag worden.
In de Wet bescherming persoonsgegevens zijn de regels op het gebied van gegevensbescherming opgenomen. In deze wet zijn de waarborgen opgenomen die betrekking hebben op de wijze waarop persoonsgegeven kunnen en mogen worden verwerkt. De Algemene Verordening Gegevensbescherming zal de Richtlijn (95/46/EG) vervangen. De inhoud van veel Wbp bepalingen zijn ontleend aan deze richtlijn. [2]
Waarom worden de regels veranderd
Privacywetgeving wordt in het dagelijks (bedrijfs)leven steeds belangrijker. De privacywetgeving beweegt derhalve in zekere mate mee. Als gevolg van de digitalisering van de samenleving is er sprake van een enorme toename in dataverkeer. Daarnaast ontwikkelt de technologie zich razend snel. Dit brengt met zich mee dat er sprake is van toename in het verzamelen en delen van gegevens. Daarnaast zijn de cybercrime risico’s er volop vandaag de dag. Burgers vragen zich in het kader daarvan steeds meer af wat er met zijn of haar persoonsgegevens wordt gedaan. Dit heeft de Europese Commissie ertoe bewogen om op 25 januari 2012 een voorstel in te dienen voor een algemene verordening op het gebied van persoonsgegevens. [3] Volgens de Europese Commissie zullen de nieuwe regels het consumentenvertrouwen en daarmee het bedrijfsleven een impuls geven. [4]
Om wat voor gegevens gaat het
Bij de verwerking van de gegevens gaat het om de persoonsgegevens en bijzondere persoonsgegeven. Persoonsgegevens zijn alle gegevens over een geïdentificeerd of identificeerbaar natuurlijk persoon, zoals naam, adres, woonplaats, een IP-adres, telefoonnummers en facturen. Onder bijzondere persoonsgegevens vallen de gevoelige gegevens van burgers, zoals gegevens over iemands ras, godsdienst, politieke voorkeur, gezondheid en ziekte, strafrechtelijk verleden, lidmaatschappen en Burgerservicenummers.[5]
Voor wie geldt de AVG
De AVG is van toepassing als de dataverstrekker (de persoon) en/of de dataverwerker (de organisatie) in Europa woonachtig/gevestigd zijn. Dat betekent dat alle bedrijven in de Europese Unie moeten voldoen aan de verordening. Alle bedrijven werden geacht om vanaf 25 mei 2016 hun bedrijfsvoering in overeenstemming te brengen met de GDPR. Bedrijven kregen daarvoor twee jaar de tijd.
Wat betekent de AVG voor uw bedrijf
Als de AVG van toepassing is krijgen organisaties die persoonsgegevens verwerken meer verantwoordelijkheden. Organisaties moeten kunnen aantonen dat zij zich aan de wet houden. Zo moet u bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid. Daarnaast moet u kunnen laten zien dat u zowel de juiste technische als organisatorische maatregelen hebt genomen om de persoonsgegevens te waarborgen. Hierbij kan gedacht worden aan de pseudonimisering en versleuteling van persoonsgegevens.
Tevens zal het aanstellen van een functionaris voor de gegevensverwerking (FG) vanaf 25 mei 2018 voor een aantal organisaties verplicht worden. De FG houdt binnen een organisatie toezicht op de toepassing en naleving van de AVG.
Voldoet u aan de verantwoordingsverplichtingen
U heeft een verantwoordingsverplichting over uw gegevensverwerking indien de Autoriteit Persoonsgegevens daarom vraagt. Het is daarom belangrijk dat u vanaf 25 mei 2018 voldoet aan de verantwoordingsverplichtingen. In de AVG staan een aantal verplichte maatregelen die u dient te treffen om al uw processen & systemen op de AVG te hebben aangepast
- Het bijhouden van een register van verwerkingsactiviteiten;
- Het uitvoeren van een data protection impact assessment (DPIA)
- Het bijhouden van een register van datalekken die zijn opgetreden;
- Het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverweking wanneer u voor een verwerking toestemming nodig heeft;
- Voor sommige organisaties geldt dat zij verplicht zijn om een FG aan te stellen. [6]
Extra maatregelen
Tot slot kunt u nog een aantal extra maatregelen treffen. Deze extra maatregelen zijn weliswaar niet verplicht, maar zij helpen u om aan de toezichthouder te laten zien dat u voldoet aan de eisen van de AVG
- Het aansluiten bij een gedragscode;
- Het behalen van een bepaald certificaat, bijvoorbeeld de European Privacy Seal (EuroPriSe);
- Het hanteren van specifiek ICT-beveiligingsbeleid;
- Het afleggen van verantwoording over de verwerking van persoonsgegevens in uw jaarverslag of in een speciaal privacy-jaarverslag. [7]
Wilt u meer weten over de AVG? Neemt u dan contact met ons op. Bel naar 030- 230 02 30 of mail naar info@amice-advocaten.nl
[1] Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens)
[2] Mr. E. Oude Elferink en mr. J.G. Reus, ’Handhaving van de Algemene Verordening Gegevensbescherming vanuit Nederlands perspectief’, BJu 2017, afl.6, p. 1.
[3] https://europadecentraal.nl/onderwerp/informatiemaatschappij/gegevensbescherming-en-de-avg/
[4] http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_nl.htm
[5] https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens
[6] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/verantwoordingsplicht.
[7] Idem.