Nieuwe Europese privacywet van kracht voor EU-lidstaten

De digitale wereld verandert in sneltreinvaart. De Europese Privacyrichtlijn is op papier gezet, toen internet nog in de kinderschoenen stond. De hoogste tijd dus voor een aanscherping van de Europese regels voor de bescherming van persoonsgegevens. Vanaf 25 mei 2018 geldt er nog maar één privacywet in de Europese Unie: de Algemene Verordening Gegevensbescherming (AVG) ofwel de GDPR genoemd. De AVG vervangt daarmee de Europese Privacyrichtlijn en de privacywetten van de afzonderlijke lidstaten. In Nederland komt de Wet bescherming persoonsgegevens (Wbp) daarmee te vervallen. De AVG is in mei 2016 al in werking getreden, organisaties hebben echter nog tot 25 mei 2018 om de bedrijfsvoering aan te laten sluiten op deze nieuwe wet. Vanaf die datum zal er ook gecontroleerd worden op de handhaving van de nieuwe wet. In dit blog zetten we de consequenties voor u op een rij.

 

Uitgangspunt AVG?

Bedrijven en organisaties zetten persoonsgegevens tegenwoordig op grote schaal in. Als de AVG van kracht is, krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. In veel opzichten is de AVG strenger en uitgebreider dan de huidige Europese Privacyrichtlijn. Bovendien is de AVG een wet en geen richtlijn. De AVG zorg onder meer voor:

  • Versterking en uitbreiding van privacywetten;
  • Meer verantwoordelijkheden voor organisaties die persoonsgegevens verwerken;
  • Identieke bevoegdheden voor alle privacytoezichthouders binnen de EU.

 

De documentatieplicht is een voorbeeld van de nieuwe verantwoordelijkheid die organisaties dragen. Organisaties moeten straks verplicht aantonen dat ze de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Als een organisatie hierin niet slaagt, wordt er mogelijk een boete opgelegd. De hoogte van deze boete bedraagt maximaal 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet.

 

Wijzigingen per 25 mei 2018?

Wat verandert er precies voor organisaties die persoonsgegevens verwerken? Onderstaande voorbeelden illustreren de belangrijkste verschillen met de Wet bescherming persoonsgegevens (Wbp):

  • U hoeft de verwerking van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens (AP). De Meldplicht Datalekken blijft intact als de AVG van toepassing is.
  • Sommige organisaties zijn verplicht om een privacy impact assessment (PIA) uit te voeren. De AP stelt samen met andere Europese privacy toezichthouders hiervoor een lijst op. De verplichting geldt zeker voor:
    • Systematisch en uitvoerig evalueren van persoonlijke aspecten (o.a. profilering);
    • Verwerken van bijzondere persoonsgegevens op grote schaal;
    • Systematisch en grootscheeps volgen van mensen in publieke domein (bijvoorbeeld met cameratoezicht).
  • Sommige organisaties zijn verplicht om een zogenoemde Data Protection Officer (DPO) of functionaris voor de gegevensbescherming (FG) aan te stellen. Deze verplichting geldt voor:
    • Overheidsinstanties (behalve rechtbanken bij het uitvoeren van hun rechtsprekende taak);
    • Organisaties die als kerntaak op grote schaal bijzondere persoonsgegevens verwerken (o.a. Zorgverleners);
    • Organisaties die als kernactiviteit op grote schaal mensen volgen (bijvoorbeeld bij profilering).

 

Meer informatie of afspraak maken?

Is uw organisatie nog niet klaar voor de Algemene Verordening Gegevensbescherming (AVG)? En kunt u ondersteuning gebruiken bij het klaarstomen van uw organisatie voor de nieuwe Europese privacywet? Onze security experts staan u graag met raad en daad terzijde. Bel +31 (0)88 70 70 707 of mail naar info@promax.nl voor meer informatie of om een afspraak te maken.

Dit is een blog van Judith Littel

Judith Littel

 

Managing Director bij Promax, de strategische ICT-partner die al 25 jaar solide ICT-oplossingen ontwikkelt, implementeert, beheert en beveiligt.