De AVG komt eraan - de belangrijkste wijzigingen op een rij

Europese verordening
De AVG is Europese wetgeving (Engels: General Data Protection Regulation (GDPR)) die als doel heeft om persoonsgegevens beter te beschermen – vanwege de snelle technologische ontwikkelingen en globalisering was er nieuwe wetgeving nodig – en die bescherming in de gehele EU gelijk te trekken. Omdat het een verordening betreft is de wetgeving rechtstreeks van toepassing in Nederland. Dit was vroeger niet zo: de Wet bescherming persoonsgegevens was gebaseerd op een Europese richtlijn die via de Wbp is omgezet in het Nederlandse recht.
De AVG is officieel al in werking getreden op 24 mei 2016, maar er zit een periode van twee jaar tussen deze datum en het moment waarop de AVG daadwerkelijk van toepassing is. Organisaties en toezichthouders hebben op deze manier de tijd gehad om zich voor te bereiden. De datum waarop de Wbp vervangen wordt, komt dus nu echter snel dichterbij.
Voor wie geldt de AVG?
Elke organisatie die persoonsgegevens verwerkt moet zich aan de AVG houden. Onder verwerken valt niet alleen het opslaan van gegevens, maar bijvoorbeeld ook het verzamelen, analyseren, ordenen, bewerken, opvragen en combineren ervan.
Persoonsgegevens zijn, zo volgt uit de definitie van de AVG (artikel 4): ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd’.
Het gaat dus om gegevens die direct herleidbaar zijn naar een persoon. Naast naam- en adresgegevens kan dat bijvoorbeeld ook gaan om medische data, klantprofielen en locatiegegevens.
Organisaties moeten – dat was onder de Wpb overigens ook al zo – een rechtmatige grondslag hebben om persoonsgegevens te verwerken (artikel 5 lid 1 sub b AVG). Daarnaast moet de betrokkene (de persoon van wie de persoonsgegevens worden verwerkt) toestemming hebben gegeven voor de verwerking van zijn persoonsgegevens en dient de verwerking noodzakelijk te zijn (artikel 6 AVG).
Belangrijkste veranderingen
De regelgeving verandert ingrijpend door de AVG. Hieronder staan de belangrijkste veranderingen weergegeven.
Meer rechten voor betrokkenen
Onder de Wbp hadden betrokkenen al verschillende rechten die zij tegenover de gegevensverwerker konden inroepen, zoals recht op inzage en bezwaar-, verbeterings- of verwijderingsrechten en het recht op verzet tegen geautomatiseerde besluitvorming en direct marketing (een vorm van marketing waarbij de afzender de beoogde klant direct benaderd: bijvoorbeeld een postorderbedrijf). In de AVG worden deze rechten meer uitgewerkt.
Daarnaast worden er ook een aantal nieuwe rechten geïntroduceerd via de AVG. Zo is er een ‘recht om vergeten te worden’ gekomen, dat een betrokkene het recht geeft dat zijn persoonsgegevens worden gewist als deze niet meer relevant zijn of onrechtmatig worden verwerkt. Daarnaast is er een ‘recht op dataportabiliteit’, dat de betrokkene het recht geeft om in bepaalde gevallen de informatie die hij heeft verstrekt aan de ene verwerker te laten overdragen op de andere (bijvoorbeeld in het geval van sociale netwerken).
Data protection impact assessment (DPIA)
Organisaties kunnen verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Organisaties hoeven niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Dat is in ieder geval zo als een organisatie:
- systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
- op grote schaal bijzondere persoonsgegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
De Autoriteit Persoonsgegevens zal nog met een lijst komen van andere activiteiten waarvoor het assessment verplicht is.
Functionaris gegevensbescherming
Overheidsinstanties en publieke organisaties zijn verplicht om een Functionaris gegevensbescherming (FG) aan te stellen, een persoon die toeziet op de omgang met persoonsgegevens binnen een organisatie. Daarnaast geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Bovendien zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.
De Europese privacytoezichthouders (waaronder de Nederlandse Autoriteit Persoonsgegevens) hebben in april 2017 gezamenlijk de (definitieve) Guidelines on Data Protection Officers gepubliceerd die meer uitleg geven over de FG.
Documentatieplicht
Organisaties hebben onder AVG een documentatieplicht, tenzij zij minder dan 250 werknemers in dienst hebben en de gegevensverwerking geen risico oplevert voor de rechten en vrijheden van betrokkenen.
Privacyverklaring
Op grond van de Wbp moesten betrokkenen al geïnformeerd worden over het feit dat persoonsgegevens verzameld worden. Dit kan door een privacyverklaring. Onder de AVG worden aan de privacyverklaring aanvullende eisen gesteld: de verklaring moet niet alleen meer gedetailleerde informatie bevatten, maar de tekst moet ook toegankelijk en eenvoudig geschreven zijn en begrijpelijk zijn voor de doelgroep.
Hogere boetesLast but not least: één van de grootste veranderingen is dat de toezichthouder flinke tanden krijgt: organisaties die zich niet aan de AVG houden riskeren een boete van maximaal 20 miljoen euro of 4% van de wereldwijde omzet.

Artikelsoort: 
Premium: 
Nee
Afbeelding: