De AVG: per 25 mei gelden nieuwe privacyregels

Wat is de AVG?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening die op 25 mei 2018 de huidige Wet Bescherming Persoonsgegevens (WBP) vervangt. In verhouding tot de WBP is de AVG uitgebreid en ook ingericht op de huidige tijd. De boetes voor het handelen in strijd met deze verordening zijn hoger dan het geval is bij de WBP. Deze kunnen oplopen tot EUR 20 miljoen of 4% van de omzet. Door de AVG krijgen burgers meer privacy rechten en moeten organisaties hun systemen, processen en interne organisatie opnieuw inrichten overeenkomstig deze verordening.

Wat verandert er met de invoering van de AVG?

De nieuwe verordening brengt veel veranderingen met zich mee. De belangrijkste punten zijn:

  • De reden waarom een organisatie gegevens vast legt moet duidelijk zijn.
  • De burger moet in beginsel toestemming geven voor deze vastlegging, of er met een andere geldige reden zijn om de persoonsgegevens te mogen verwerken.
  • De burger heeft ten opzichte van de WBP meer rechten en inzage over wat er met de eigen gegevens gebeurt.
  • Alles wat een organisatie doet met persoonsgegevens moet vastgelegd worden.
  • Een organisatie mag alleen gegevens vastleggen en bewaren die zij nodig hebben. (en niet langer dan noodzakelijk)
  • De informatiebeveiliging moet up-to-date zijn en blijven.
  • Een organisatie moet actief communiceren over de omgang van persoonsgegevens.
  • Er moet in een overeenkomst vastgelegd worden wanneer externe partijen persoonsgegevens verwerken waar de organisatie verantwoordelijk voor is.

Voor wie geldt de AVG?

De AVG geldt voor bedrijven en organisaties die zich bezighouden met het verwerken van persoonsgegevens. Dit is eigenlijk altijd het geval. Ook wanneer een organisatie een bedrijfswebsite heeft, krijgt die organisatie bijvoorbeeld te maken met deze verordening. Dit komt doordat met het invoeren van de AVG de term ‘persoonsgegevens’ is uitgebreid. Voorheen vielen naam, adres en telefoonnummer onder deze term, nu vallen ook computergegevens, IP-adressen en cookies hieronder.

Waarmee dienen organisaties concreet rekening te houden?

Met de AVG dienen organisaties zich te houden aan een aantal vereisten voor de verwerking van de persoonsgegevens. Verder dient de informatie/persoonsgegevens die een organisatie verwerkt goed beveiligd te zijn.

Ook moeten de gegevens verwerkt worden in een verwerkingsregister. Dit geldt alleen voor organisaties met meer dan 250 werknemers. Afspraken met leveranciers en klanten over persoonsgegevens dienen zwart op wit te staan in een verwerkersovereenkomst. In een verwerkersovereenkomst moet onder andere zijn opgenomen met welk doel gegevens worden verwerkt, hoe de beveiliging van de gegevens is, wat er na afloop gebeurt met de gegevens en wie er eindverantwoordelijk is en wie slechts de verwerker. Datalekken moeten worden gemeld op de website van de Autoriteit Persoonsgegevens (AP) en gedocumenteerd worden door de organisaties zelf. Door middel van deze documentatie moet de AP kunnen controleren of er aan de meldplicht door het bedrijf is voldaan. Een laatste vereiste waarmee organisaties rekening dienen te houden is het aanstellen van een privacy officer.

Dit is het interne aanspreekpunt voor alle vragen rondom persoonsgegevens. Echter is dit alleen noodzakelijk wanneer een organisatie op grote schaal bijzondere persoonsgegevens verwerkt.

Uitgaand van het bovenstaande wordt duidelijk dat de invoer van de verordening veel veranderingen met zich mee brengt voor organisaties. Zoals bovenstaand genoemd zijn organisaties genoodzaakt om veranderingen toe te passen met betrekking tot het verwerken van persoonsgegevens voordat de verordening wordt ingevoerd. Wanneer een organisatie dit niet doet, ontstaat er een risico op hoge boetes. De AP houdt toezicht op de AVG en hoe organisaties met de invoer van de verordening omgaan en heeft aangegeven dat zijn vanaf 25 mei 2018 zich actief zullen opstellen om de AVG te handhaven. Voor een overzicht van de werkzaamheden van de AP en uitleg over wat zij specifiek doen om de AVG te handhaven, kunt u de jaarverslagen van de AP raadplegen. Deze zijn te vinden op hun website: https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens

Als u vragen heeft over dit onderwerp, of assistentie nodig heeft bij het toepassen van de verordening binnen uw bedrijf, dan kunt u contact opnemen met Lorentz Bults (bults@pactadvocaten.nl, tel: 0628764291).

 

Door: Anna Hubert / Foto: Flickr FutUndBeidl