WhatsApp: 06-44266464
A A A

Actueel

Algemene Verordening Gegevensbescherming (AVG) vervangt Wet bescherming persoonsgegevens (Wbp)

15-08-2017

Vanaf 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG). Met de invoering van deze verordening geldt in alle EU landen dezelfde privacywetgeving.

Binnen de Europese Unie zijn er afspraken gemaakt over de privacy wetgeving voor alle EU-landen. Deze afspraken zijn vastgelegd in de verordening ‘General Data Protection Regulation (GDPR)’. De Nederlandse naam voor deze verordening is ‘Algemene verordening gegevensbescherming (AVG)’.

Overgangsperiode tussen Wbp en AVG
De AVG is al op 4 mei 2016 gepubliceerd in het Publicatieblad van de Europese Unie en is 20 dagen na deze publicatie in werking getreden. Maar de AVG wordt pas 2 jaar na inwerkingtreding, dus per 25 mei 2018, toegepast.
Deze periode van 2 jaar is nodig voor organisaties en toezichthouders om zich goed te kunnen voorbereiden op de AVG. Tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

AVG
De huidige privacywet, de Wbp, sluit niet goed meer aan op de nieuwe mogelijkheden om persoonsgegevens digitaal te verwerken. Nieuwe digitaliseringsmogelijkheden vereisen nieuwe maatregelen om natuurlijke personen van wie persoonsgegevens worden opgeslagen, beter te beschermen. 

Uitgangspunten AVG
De uitgangspunten van de nieuwe AVG zijn op hoofdlijnen weliswaar gelijk aan de uitgangspunten van de Wbp maar het geheel van rechten en plichten is uitgebreid. Bedrijven en organisaties moeten op basis van de AVG aan de volgende uitgangspunten voldoen:

  • Transparantie; Natuurlijke personen van wie de gegevens worden verwerkt moeten hiervan op de hoogte zijn gebracht en er moet toestemming zijn gevraagd.  En zij moeten op hun rechten zijn gewezen.
  • Doelbeperking; Persoonsgegevens mogen alleen worden gebruikt voor het doel waarvoor ze zijn verzameld.
  • Gegevensbeperking; Alleen die persoonsgegevens mogen worden verzameld die voor het beoogde doel noodzakelijk zijn.
  • Juistheid; Bedrijven en organisaties moeten zorgen dat de persoonsgegevens juist zijn en blijven.
  • Bewaarbeperking; Persoonsgegevens mogen niet langer worden bewaard, dan dat voor het beoogde doel noodzakelijk is.
  • Integriteit en vertrouwelijkheid; Persoonsgegevens moeten zodanig worden opgeslagen dat ze zijn beschermd tegen toegang door onbevoegden, verlies en vernietiging.
  • Documentatieplicht; Persoonsgegevens moeten zodanig worden verzameld, verwerkt en opgeslagen dat kan worden aangetoond dat aan alle regels is voldaan.

Wat verandert er?
In grote lijnen kun je zeggen dat de privacyrechten van de burger worden uitgebreid en versterkt. En dat organisaties en bedrijven meer verantwoordelijkheden krijgen.

Toestemming
Zo moeten organisaties en bedrijven bewijzen dat ze toestemming hebben gekregen. En de toestemming moet ook eenvoudig weer kunnen worden ingetrokken. Er kan nu al worden geëist dat gegevens worden verwijderd, maar straks kan ook worden geëist dat de verwijdering wordt doorgegeven aan alle andere organisaties die deze gegevens van de betreffende organisatie hebben gekregen.

Omgaan met gegevens
Organisaties en bedrijven moeten aantoonbaar volgens de AVG handelen. Ze hebben níet langer de plicht om bij de toezichthouder te melden dat er binnen de organisatie persoonsgegevens worden verwerkt, maar ze moeten zich wel houden aan de documentatieplicht.
De andere meldplicht, de plicht voor het melden van een datalek bij de Autoriteit Persoonsgegevens, blijft wel gewoon bestaan.

Functionaris gegevensbescherming
Sommige organisaties en bedrijven worden verplicht om een functionaris gegevensbescherming (Data Privacy Officer of Data Protection Officer) aan te stellen.
Dit geldt vooralsnog voor overheden en publieke organisaties, voor organisaties die vanuit hun kernactiviteit op grote schaal bezig zijn met verwerking van persoonsgegevens, en voor organisaties die op grote schaal en vanuit hun kernactiviteit bijzondere persoonsgegevens verzamelen. Denk daarbij bijvoorbeeld aan gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Overtreding AVG
De toezichthouder houdt toezicht op de naleving van de AVG. Voor Nederland is de Autoriteit Persoonsgegevens (AP) in principe de toezichthouder.
Wanneer bedrijven of organisaties echter grensoverschrijdende gegevensverwerkingen uitvoeren, krijgen ze te maken met de ‘leidende toezichthouder’. De hoofdregel is dat deze uit de EU-lidstaat komt waar de hoofdvestiging van een organisatie is gevestigd. De leidend toezichthouder werkt samen met privacy toezichthouders in de andere EU-landen waar de gegevensverwerking impact heeft. Hij heeft een coördinerende taak en beslissingen worden in de conceptfase door hem voorgelegd aan de andere toezichthouders.
De toezichthouder kan een organisatie een boete opleggen als zij de in de AVG vastgelegde verplichtingen niet nakomt. De boete hangt af van de aard van de overtreding en bedraagt maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet als dat hoger uitkomt.

Aparte richtlijn
Politie en Justitie (Openbaar Ministerie) zijn van de AVG vrijgesteld, omdat zij onder aparte privacywetgeving vallen. Naast de AVG is er namelijk een aparte Richtlijn gegevensbescherming voor politie en justitie die alleen voor hen geldt.

 

Bronnen: Duker Baelemans, Autoriteit Persoonsgegevens