De Algemene Verordening Gegevens­bescherming

Vanaf 25 mei 2018 moeten alle organisaties voldoen aan strengere privacywetgeving. Maar wat houdt de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) eigenlijk in en wat gaat er veranderen?

De EU wil de privacy van de Europese burgers beter beschermen en heeft daarvoor de AVG in het leven geroepen. De AVG is een Europese wet en geldt dus ook voor Nederland. Deze nieuwe wet is formeel al is sinds 25 mei 2016 van kracht en vervangt de huidige Wet Bescherming Persoonsgegevens (Wbp).

Geschreven door
Chantal Drok
&
Geplaatst op
01
-
05
-
2018
2024
Geschreven door
Chantal Drok
&
Geplaatst op
01
-
05
-
2018
2024

De EU wil de privacy van de Europese burgers beter beschermen en heeft daarvoor de AVG in het leven geroepen. De AVG is een Europese wet en geldt dus ook voor Nederland. Deze nieuwe wet is formeel al is sinds 25 mei 2016 van kracht en vervangt de huidige Wet Bescherming Persoonsgegevens (Wbp).

Privacy waarborgen

De Wbp is opgesteld in de tijd dat iedereen nog via 56/k6 modems inbelde om het internet op te komen. Tegenwoordig heeft bijna iedereen overal en op elk moment toegang tot zeer snel internet. Privé als zakelijk regelen we bijna alles online. Op die manier verspreiden we onze gegevens op heel veel verschillende plekken. Door de digitalisering bewaren bedrijven, overheden en zorgorganisaties uiteenlopende persoonlijke informatie van klanten, burgers en cliënten. Hoe ze die data beschermen en wat ze daarmee doen is niet altijd duidelijk. Daarom wil de EU de privacy van burgers beter waarborgen.

Persoonsgegevens

Onder persoonsgegevens vielen eerst vooral persoonlijke gegevens zoals namen en adressen. Met de nieuwe wet geldt dit ook voor gegevens die gekoppeld zijn aan IP-adressen, MAC-adressen, cookies, en dergelijke. Dus ook alle gegevens die bedrijven niet van de mensen zelf krijgen en via cookies verzamelen zijn privacygevoelig. Ook als daar bijvoorbeeld geen naam bij staat.

Transparant

Het is nu niet alleen verplicht om persoonlijke gegevens zorgvuldig op te slaan, maar de maatregelen hiervoor ook regelmatig te toetsen en aantoonbaar te maken. Bovendien wordt het verplicht om mensen te wijzen op hun recht om gegevens, die een organisatie verzamelt en beheert, te wijzigen, in te zien en zelfs te kunnen vernietigen. Als een retailorganisatie of webshop voor marketingdoeleinden de interesses van een bezoeker registert, moet het mogelijk zijn om deze, op verzoek, te verwijderen. Daarbij zijn organisaties verplicht om in begrijpelijke taal uit te leggen wat ze precies doen met alle persoonlijke gegevens. Ook is het verplicht mensen erop te wijzen dat zij bij problemen een klacht bij de toezichthouder, de Autoriteit Persoonsgegevens, kunnen indienen.

Documentatie

Voorheen hoefde u datalekken alleen bij te houden, als u ze ook moest melden bij de toezichthouder. Dat verandert met de AVG. Nu bent u verplicht om alle datalekken intern te documenteren. Dus ook als ze niet gemeld hoeven te worden. En verwerkt u privacygevoelige data voor uw opdrachtgever? Dan bent u wettelijk verplicht de datalekken ook aan hen te melden. Zij kunnen dit op hun beurt weer melden aan de toezichthouder. Ook alle verwerking van persoonlijke gegevens moeten gedocumenteerd worden. Dus ook data van het eigen personeel of de adressenlijst voor de nieuwsbrief. Deze documentatie moet helder weergeven welke gegevens verwerkt worden, voor welke doeleinden en hoe ze beveiligd worden. Meer informatie hierover vindt u hier.

Verwerkersovereenkomst

Binnen de nieuwe wetgeving moet u met al uw leveranciers en afnemers een verwerkersovereenkomst afsluiten. U blijft immers zelf verantwoordelijk voor de data die door uw organisatie opgeslagen is, ook als deze elders staat of beheerd wordt. In de overeenkomst staat beschreven hoe u omgaat met persoonlijke gegevens. Bij het uitbesteden van diensten waar persoonsgegevens van een klant bij betrokken zijn, is dit een belangrijk aandachtspunt. U moet namelijk niet alleen afspraken met leveranciers en klanten maken, maar hiervoor ook toestemming van die betreffende klant vragen.

Opslaan van gegevens in het buitenland

Bij samenwerking met buitenlandse partijen is het van groot belang dat u zeker weet waar uw data is opgeslagen. Dit is namelijk alleen toegestaan onder zeer strikte regelgeving. Een voorbeeld hiervan is het Privacy Shield. Staat uw data in de EU, dan wordt deze beschermd door middel van de strengste regels over persoonsgegevens ter wereld. En dan zit u dus goed bij een partij als Fundaments. Wij werken immers alleen met datacenters binnen Nederland.

Niet achteroverleunen

Tot 25 mei 2018 geldt nog een overgangsperiode. Dit betekent echter niet dat u achterover kunt leunen. De nieuwe wetgeving is niet vrijblijvend. Er is een keiharde deadline. Toch heeft u zeker nog tijd om de juiste maatregelen te nemen. En dat is aan te raden. Op dit moment is de maximale boete nog € 900.000. Onder de nieuwe wet wordt dit verhoogd naar 20 miljoen euro of 4% van de wereldwijde jaaromzet. Tijd voor actie dus.

Naast de bovengenoemde punten zijn er nog meer zaken die gaan veranderen onder de nieuwe wet. Wilt u meer weten over de effecten van de AVG voor uw organisatie? Kom dan 26 oktober naar ons KennisEvent over AVG.

AVG in het kort?

De AVG vervangt de Wet bescherming persoonsgegevens (Wbp) vanaf mei 2018. Naast de verplichte melding van datalekken is het verplicht om:

  • Een register van verwerkingsactiviteiten bij te houden
  • Periodiek een 'privacy impact assessment' te doen
  • De informatieverplichtingen aan betrokkenen uit te breiden
  • Een 'functionaris gegevensbescherming' aan te stellen

Bron: https://ictrecht.nl/factsheets/algemene-verordening-gegevensbescherming-verandert-er-echt/