De AVG is eindelijk hier

Vanaf 25 mei 2018 is het zover: de Algemene Verordening Gegevensbescherming (AVG) is van toepassing in de Europese Unie. Na een transitieperiode van twee jaar (sinds mei 2016) dienen bedrijven die persoonsgegevens verwerken te voldoen aan de eisen van de verordening. In een korte reeks van blogs leggen wij uit wat de belangrijkste verplichtingen zijn waaraan de verwerkingsverantwoordelijke dient te voldoen op het moment dat hij persoonsgegevens verwerkt van de betrokkene. En daarbij worden voornoemde begrippen uiteraard toegelicht.

Definities

Te beginnen met het begrip persoonsgegeven. Dit is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Het gaat hierbij om gegevens waarvan je weet bij welke persoon die horen. Denk bijvoorbeeld aan naam, adresgegevens en een telefoonnummer.

Privacywetgeving is van toepassing op het moment dat persoonsgegevens worden verwerkt. Het begrip verwerken omvat alle handelingen die kunnen worden uitgevoerd met persoonsgegevens, zoals verzamelen, opslaan en versturen. Maar ook het afschermen, uitwissen en vernietigen van gegevens is een vorm van verwerken. Degene die bepaalt wélke gegevens worden verwerkt en wáárom de gegevens worden verwerkt, wordt aangemerkt als de verwerkingsverantwoordelijke. De privacywetgeving legt bij deze partij de verantwoordelijkheid voor het zorgvuldig verwerken van de persoonsgegevens.

Privacywetgeving

Persoonsgegevens zijn onderdeel van iemand zijn persoonlijke levenssfeer. Een ieder heeft het recht op bescherming daarvan. Dat wordt gedaan door verschillende (inter)nationale wetgeving. In Europa geldt een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Richtlijn 95/46/EG). Hierin staat aangegeven op welke wijze persoonsgegevens moeten worden beschermd en mogen worden verwerkt. De lidstaten hebben de richtlijn omgezet in nationale wetgeving en zo bestaat er dus per Europees land een afzonderlijke privacywet. In Nederland hebben wij de Wet bescherming persoonsgegevens (Wbp). De richtlijn stamt echter uit 1995 en sindsdien is (op technologisch gebied) veel veranderd. Reden voor een herziening in de vorm van de AVG. Deze wet is een verordening en heeft, in tegenstelling tot de richtlijn, rechtstreekse werking. Dit houdt in dat de lidstaten de bepalingen niet hoeven om te zetten naar nationale wetgeving, maar dat dezelfde wet in alle Europese landen geldt. Met het van toepassing worden van de AVG, op 25 mei 2018, wordt Richtlijn 95/46/EG ingetrokken en vervalt de Wbp.

Belangrijke veranderingen die de AVG met zich meebrengt zijn de versterking en uitbreiding van de rechten van betrokkenen, meer verantwoordelijkheden voor organisaties en de verhoging van de maximale boetes die kunnen worden opgelegd door de nationale toezichthouders (in Nederland is dat de Autoriteit Persoonsgegevens). Onder de Wbp kan de boete oplopen tot maximaal € 830.000,- of 10% van de jaaromzet indien het bedrag geen passende maatregel is. Onder de AVG kan een boete oplopen tot maximaal 20 miljoen euro of, als dat bedrag hoger is, 4% van de totale wereldwijde jaaromzet. Overigens zou de boete niet (alleen) de reden moeten zijn voor bedrijven om zich te verdiepen in de AVG. Het voldoen aan de AVG biedt de mogelijkheid tot het aantonen van de betrouwbaarheid van het bedrijf voor wat betreft de zorgvuldige verwerking van persoonsgegevens.

AVG-reeks

Een deel van de verplichtingen van de verwerkingsverantwoordelijke onder de AVG is dezelfde als onder de Wbp. Een aantal verplichtingen is uitgebreid en er zijn een aantal nieuwe verplichtingen toegevoegd. In deze AVG-reeks wordt kort ingegaan op de belangrijkste verplichtingen waaraan de verwerkingsverantwoordelijke moet voldoen, waaronder het opstellen van een privacyverklaring, de meldplicht datalekken en het afsluiten van een verwerkersovereenkomst met een verwerker.

Tot slot

Heeft u vragen over de AVG? Wij beantwoorden deze graag. Neem contact op met sectie Privacyrecht.