Per 25 mei 2018 is de Algemene verordening gegevens­bescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Dit zal voor veel organisaties betekenen dat zij aanpassingen moeten doorvoeren.

Wat is de AVG?

De AVG zal de huidige wet bescherming persoonsgegevens (Wbp) gaan vervangen. Er zitten nogal wat verschillen tussen de Wpb en de AVG, waarvan een de boete bepaling is. De nieuwe boetes zijn namelijk veel hoger: maximaal 4 procent van de jaaromzet of maximaal 20 miljoen euro. Deze boetes kunnen in Nederland worden opgelegd door de toezichthouder (de Autoriteit Persoonsgegevens).

Door de invoering van de AVG krijgen mensen van wie de persoonsgegevens worden verwerkt meer en verder aangescherpte privacy rechten. Aan het recht op inzage en het recht op correctie en verwijdering wordt bijvoorbeeld meer belang gehecht als voorheen binnen de Wpb. Ook komen er nieuwe rechten bij. De dataportabiliteit vereist bijvoorbeeld dat de gegevens gemakkelijk verkregen moeten kunnen worden in een formaat welke ook eenvoudig aan andere partijen kan worden doorgegeven. Hiermee wordt een vaker toegepaste opgeworpen drempel weggenomen.

De ePrivacy Verordening

In tegenstelling tot de Wpb, welke breder was opgezet, gaat de AVG alleen nog maar in op de verwerking van de persoonsgegevens. Zaken als het gebruik van cookies en het toesturen van ongevraagde email wordt vastgelegd in de zogenaamde ePrivacy Verordening. Deze laatste verordening is er nog niet en hoewel men heeft uitgesproken deze ook op 25 mei 2018 te willen lanceren, achten we de kans daarop op het moment van dit schrijven klein. Het opstellen daarvan is namelijk pas in begin 2017 gestart. Maar dit is slechts een kwestie van uitstel en niet van afstel. Ook de ePrivacy Verordening zal er komen en een impact hebben op wat mag en niet mag.

Zaken om rekening mee te houden

Er is een aantal zaken waar veel organisaties vast en zeker rekening mee zullen moeten gaan houden, willen zij aan de AVG kunnen gaan voldoen.

  1. Wanneer toestemming van betrokkenen vereist is, wordt aan die toestemming hogere eisen gesteld. Een organisatie moet dus goed weten hoe deze toestemming straks gevraagd wordt hoe deze dient te moeten worden vastlegt. Wat bijvoorbeeld nieuw is, is dat je moet kunnen aantonen dat je over een geldige toestemming beschikt. Daarnaast moeten betrokken deze toestemming ook heel eenvoudig kunnen terugtrekken.
  2. De eerder beschreven dataportabiliteit.
  3. Een gemakkelijke manier van inzage, correctie en verwijdering van de gegevens.
  4. Als er een datalek heeft plaatsgevonden, moet een organsiatie na de invoering van de AVG vanzelfsprekend nog steeds het datalek melden, maar daarvan binnen de eigen organisatie een goede administratie bijhouden. Alle datalekken moeten gedocumenteerd worden. Deze documentatie kan opgevraagd worden door de Autoriteit Persoonsgegevens en moet dus aan bepaalde voorwaarden voldoen.
  5. Menig organisatie heeft bewerkersovereenkomsten met andere partijen afgesloten. Onderzocht moet worden of die overeenkomsten nog wel voldoen aan de eisen die de AVG daar aan stelt. Let wel: soms betreft het klanten die persoonsgegevens in de systemen van uw organisatie stoppen en die u voor hen verwerkt. Daarmee rust op hen de verplichting een dergelijke overeenkomst met u te sluiten. Veel dienstverleners hebben in het verleden echter een voorbeeld van een dergelijke overeenkomst naar hen toegestuurd om ze enerzijds tegemoet te komen (service) en anderzijds om niet met iedereen een geheel andere bewerkingsovereenkomst te hoeven afsluiten. Het lijkt passend om, in dit kader, te kijken of er zaken aangepast zouden moeten worden en die als addendum op dezelfde manier aan hen toe te sturen.
  6. De AVG kan uw organisatie verplichten een functionaris voor de gegevensverwerking (FG) aan te stellen. Uitgezocht moet worden of dat ook voor uw organisatie geldt.

Stappen ondernemen

Zowat iedereen die persoonsgegevens verwerkt heeft met de AVG te maken en heeft de plicht daar stappen voor te ondernemen. De verplichte bewerkersovereenkomsten zullen waarschijnlijk bijvoorbeeld aangepast moeten worden, maar ook nieuwe procedures moeten worden opgesteld en geïmplementeerd.

Mocht u behoefte hebben aan ondersteuning bij de invoering van de AVG dat kunt u daarvoor natuurlijk gebruik maken van onze consultants. Wij geven u graag advies of voeren een audit uit op uw overeenkomsten en procedures.