Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

Wat verandert er?

De AVG (GDPR) zorgt onder meer voor:

  • versterking en uitbreiding van privacyrechten;
  • meer verantwoordelijkheden voor organisaties;
  • dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

Overgangsperiode tussen Wbp en AVG (GDPR)

Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.

Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Let op: tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

Aparte richtlijn politie en justitie

Naast de AVG is er een aparte Richtlijn gegevensbescherming politie en justitie. Deze richtlijn is alleen bedoeld voor politie en justitie.

Algemene vragen over de AVG (GDPR)

Waarom is er nieuwe Europese privacywetgeving?

In de EU heeft nu nog elke lidstaat een eigen privacywet. Deze nationale wetten zijn wel allemaal gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is de nationale uitvoering van deze richtlijn de Wet bescherming persoonsgegevens (Wbp).

De Europese privacyrichtlijn werd vastgesteld toen internet nog in de kinderschoenen stond. Daarom is de Europese privacywetgeving de afgelopen jaren herzien.

Wat merken mensen van wie persoonsgegevens worden verwerkt van de AVG?

Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid.

Toestemming
In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken.

Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Nieuwe privacyrechten
Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.

Recht op vergetelheid
Mensen hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

Recht op dataportabiliteit
Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

Wat zijn de belangrijkste veranderingen voor organisaties?

Als de algemene verordening gegevensbescherming (AVG) van toepassing is, heeft u als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk gelegd op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht.

De verantwoordingsplicht houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Maar de AVG biedt u als organisatie tegelijkertijd meer instrumenten die u helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens.

Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:

  • u hoeft verwerkingen van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens;
  • u kunt verplicht zijn een Data protection impact assessment (DPIA) uit te voeren;
  • u kunt verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen.

Wat levert de AVG mij als organisatie op?

Als de Algemene verordening gegevensbescherming (AVG) van toepassing is, geldt er nog maar één privacywet in de hele Europese Unie (EU) in plaats van 28 verschillende nationale wetten. Ook is de AVG meer toegespitst op de gedigitaliseerde samenleving.

Bent u in meerdere EU-lidstaten actief ? Dan levert de AVG u het volgende op:

  • u heeft minder administratieve kosten en nalevingskosten;
  • u heeft meer rechtszekerheid;
  • er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU;
  • u hoeft nog maar met één toezichthouder zaken te doen (onestopshop).

Waarom kan de AP sommige vragen over de AVG nog niet beantwoorden?

De Autoriteit Persoonsgegevens (AP) vindt het belangrijk om u goed voor te lichten over de Algemene verordening gegevensbescherming (AVG) die per 25 mei 2018 geldt. Maar de AP kan op dit moment nog niet al uw vragen over de nieuwe Europese privacyregels beantwoorden. Dit heeft onder andere te maken met verduidelijking van de regels binnen de EU, de nationale uitvoeringswet en nieuwe jurisprudentie.

Dezelfde uitleg in alle EU-landen
Het is belangrijk dat alle Europese privacytoezichthouders de AVG op dezelfde manier uitleggen. Zodat voor alle organisaties en mensen in de EU dezelfde rechten en plichten gelden.

De AP is daarom bezig om samen met andere Europese privacytoezichthouders bepaalde regels en begrippen uit de AVG te verduidelijken. De uitkomsten leggen zij vast in zogenoemde guidelines. Bijvoorbeeld in de guidelines over de functionaris voor de gegevensbescherming (FG) en over het recht op dataportabiliteit.

De Uitvoeringswet
Hoewel de AVG voor alle EU-landen geldt, biedt de AVG op een aantal punten ruimte voor landen om zelf de regels nader te bepalen. Dat geldt bijvoorbeeld voor een aantal uitzonderingen op het ‘verwerkingsverbod van bijzondere persoonsgegevens’ en ‘de beperkingen van de rechten van betrokkene’.

Nederland legt de invulling van deze uitzonderingen vooral vast in de zogeheten Uitvoeringswet AVG. Deze wet is nog niet vastgesteld. Dat is aan de regering en het parlement. Wel heeft de AP de staatssecretaris van Veiligheid en Justitie op 6 april 2017 geadviseerd over het wetsvoorstel.

Zodra de Uitvoeringswet is aangenomen, kan de AP u op meer vragen een antwoord geven.

Jurisprudentie
Een wet kan nooit alles regelen. Er zijn altijd uitzonderingen en twijfelgevallen. In praktijk zal moeten blijken hoe rechters in de EU oordelen over individuele privacykwesties. Die zogeheten jurisprudentie zorgt voor meer duidelijkheid over de toepassing van de AVG in de praktijk. De AP gaat er vooralsnog vanuit dat de huidige jurisprudentie deels toepasbaar blijft daar waar de regels niet veranderen.

Geldt de nieuwe Europese privacywetgeving ook voor kleine mkb'ers en zzp'ers?

Ja, de nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie.

Hoe nu verder?

Ons advies is, laat door ons een Quick-scan maken. Uit deze Quick-scan zal blijken, of u genoeg gewaarborgd bent voor de AVG/GDPR wet. Wij maken samen met u een stappenplan.

Deel dit bericht