ris-rijkschroeff-juristen
contact

De Algemene Verordening Gegevensbewerking. Wat verandert er in het privacyrecht?

De huidige wetgeving sluit niet meer aan op de constante veranderingen in de digitale wereld. Daarom is er in Brussel besloten om een nieuwe verordening op te stellen: de Algemene Verordening Gegevensbescherming (AVG/GDPR). Ondanks dat de AVG al op 25 mei 2016 in werking is getreden zal hij pas vanaf 25 mei 2018 van toepassing zijn. Wat gaat er veranderen? Wat betekent dit voor uw organisatie? En, hoe kunt u zich voorbereiden? Hierover leest u meer in dit artikel.

Wat er gaat veranderen

Vanaf 25 mei 2018 zal iedereen zich moeten houden aan de AVG/GDPR. Tot deze tijd geldt de Wet bescherming persoonsgegevens (Wbp). Het is wel de bedoeling dat organisaties voor 25 mei 2018 hun bedrijfsvoering in overeenstemming met de AVG hebben gebracht. Hieronder leest u een aantal veranderingen ten opzichte van de Wbp.

Europese wetgeving

De Wbp is gebaseerd op een EU-richtlijn. Dat houdt in dat alle lidstaten de wetgeving naar enig eigen inzicht hebben mogen opnemen in hun lokale wetgeving. Dit betekent dan ook dat ieder land een andere privacywetging heeft. De AVG/GDPR is een verordening en daarmee in ieder land rechtstreeks geldig. Het voordeel hiervan is dat in ieder Europees land dezelfde privacywetging geldt. Dit is het meest gunstig voor organisaties die in verschillende landen actief zijn. 

Sancties

Wanneer de gegevensbeschermingsregels worden overtreden door de verwerkingsverantwoordelijke of de verwerker kunnen daar grote sancties voor worden opgelegd. De AVG/GDPR voorziet in strengere sancties dan we Wbp. De toezichthouder kan onder de AVG/GDPR een maximale sanctie van €20 miljoen of vier procent van de wereldwijde jaarlijkse omzet opleggen. 

Administratieve lasten

Onder de Wbp is het verplicht om de verwerking van persoonsgegevens te melden bij de Autoriteit Persoonsgegevens. Dit komt onder de AVG/GDPR te vervallen. In de plaats daarvan moeten organisaties zelf een overzicht bijhouden van alle verwerkingen van persoonsgegevens. Daarnaast moet onder de AVG/GDPR een register worden bijgehouden waarin alle datalekken worden genoteerd.

Verwerking van identificatienummer

De Wbp bepaalt dat het verboden is om identificatienummers zoals het Burger Servicenummer te verwerken. De AVG/GDPR kent dit verbod niet. Dat betekent dat deze gegevens vrijer verwerkt kunnen worden. De lidstaten hebben wel de mogelijkheid om hier aanvullende eisen aan te stellen. De Nederlandse wetgever heeft besloten dat het BSN onder de AVG/GDPR ook niet zomaar mag worden verwerkt.

Voorbereiden op de Algemene Verordening Gegevensbescherming

De veranderingen die de AVG met zich meebrengt zullen een grote impact hebben op organisaties die persoonsgegevens beheren en verwerken. De overgangsperiode van twee jaar is bedoeld om organisaties de ruimte te geven om hun bedrijfsprocessen aan te passen en te voldoen aan alle onderdelen van de AVG/GDPR. De volgende voorbereidingen moeten onder andere worden getroffen:

In kaart brengen

Het in kaart brengen van welke en hoeveel persoonsgegevens worden bijgehouden en op welke manier de organisatie dat doet. 

Datalekken

Er moet een procedure worden opgesteld voor datalekken. Hierdoor is het duidelijk welke stappen er moeten worden genomen wanneer er (mogelijk) een datalek is.

Functionaris Gegevensbescherming

De Functionaris Gegevensbescherming wordt ook wel Data Protection Officer genoemd. Er moet worden nagegaan of de organisaties deze moet aanstellen. Organisaties die bij het uitvoeren van de kernactiviteit bijzondere persoonsgegevens verwerken zijn altijd verplicht om een Functionaris Gegevensbescherming te hebben aangesteld.

Privacyverklaring

De inhoud van de privacyverklaring moet onder de AVG onder meer gedetailleerder zijn, verwijzen naar de wettelijke grondslag en in begrijpelijke taal zijn geschreven.

Privacy Impact Assessment

Er moet worden nagegaan of het nodig is om internbeleid te formuleren over het uitvoeren van een Privacy Impact Assessment (PIA). Wanneer er nieuwe middelen worden gebruikt voor het verwerken van persoonsgegevens moet er eerst worden gekeken naar de privacy-effecten als er een groot risico voor de privacy van personen ontstaat.

Conclusie

Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming zullen er een aantal veranderingen doorgevoerd worden ten opzichte van de huidige Wet bescherming persoonsgegevens. Voor sommige organisaties zal dit weinig effect hebben. Andere organisaties zullen wel het een en ander in de bedrijfsvoering moeten veranderen. Om te zorgen dat zij op tijd voldoen aan de verordening is het raadzaam om samen met een jurist naar de processen te kijken en waar nodig een plan van aanpak te maken of direct aanpassingen door te voeren.

Mocht u nadere informatie willen over dit onderwerp of een afspraak willen maken dan kunt u contact opnemen via het telefoonnummer 020 - 491 78 01 of u kunt een email sturen naar info@ris-rijkschroeff.nl.