AVG: Privacywetgeving EU

Op 25 mei 2018 is de privacywetgeving in de hele Europese Unie (EU) ingevoerd. In Nederland wordt deze wet de Algemene verordening gegevensbescherming (AVG) genoemd. De Wet bescherming persoonsgegevens (Wbp) is hiermee ten einde gekomen. De belangrijkste wijzigingen na invoering van de AVG zijn de versterking en uitbreiding van privacyrechten, meer verantwoordelijkheden voor organisaties en dezelfde bevoegdheden voor alle Europese privacytoezichthouders.

Waarom een nieuwe privacywet?

Iedere lidstaat in de EU had een eigen privacywet die gebaseerd was op de Europese privacyrichtlijn uit 1995 (de Wbp in Nederland). Echter, is deze wetgeving niet gebaseerd op internet zoals we het nu kennen. Veel bedrijven werken hedendaags met persoonsgegevens, maar de beveiliging van deze persoonsgegevens was matig. De AVG heeft als doel deze informatie beter te beschermen en deze bescherming in de hele EU te bieden.

De belangrijkste veranderingen

Voor burgers is de grootste verandering dat er meer zeggenschap is verkregen over de persoonsgegevens. Door iedere organisatie moet toestemming worden gevraagd of persoonsgegevens mogen worden gebruikt. Dit geldt niet alleen voor bedrijven binnen de EU, want ook andere bedrijven die persoonsgegevens bewaren van burgers uit de EU moeten toestemming vragen. De begrippen privacy by design en privacy by default zijn nieuwe verplichtingen onder de AVG, wat inhoudt dat persoonsgegevens op een hoog niveau beveiligd moeten worden en dat er standaard zo min mogelijk gegevens worden verwerkt.

Overgansperiode

De AVG is gepubliceerd op 4 mei 2016 en twintig dagen later in werking getreden. De wet is echter pas voor alle organisaties verplicht op 25 mei 2018. Deze overgangsperiode is bedoeld om organisaties en toezichthouders de kans te geven om zich voor te bereiden op de AVG. De Wbp was gedurende deze periode nog van kracht.

Verantwoordelijkheden voor organisaties

Organisaties krijgen na invoering van de AVG meer verplichtingen. Het is belangrijk om te kunnen aantonen dat de wet wordt nageleefd. Via een tiental stappen kan worden nagegaan of er aan de AVG wordt voldaan.

Stap 1

Ten eerste is het van belang dat organisaties weten van welke vorm van gegevensverzameling er sprake is. Het is alleen toegestaan om 'gewone' persoonsgegevens te verwerken. Het verzamelen van bijzondere of strafrechtelijke gegevens is alleen toegestaan mits een wettelijke uitzondering van kracht is.

Stap 2

Voor het verzamelen van persoonsgegevens gelden een aantal grondslagen. Het is verplicht om aan één van de grondslagen te voldoen. De grondslagen zijn:

• Toestemming vragen aan klanten
• Gegevens zijn noodzakelijk voor de uitvoering van een overeenkomst
• Gegevens zijn noodzakelijk voor het nakomen van een wettelijke verplichting
• Gegevens zijn noodzakelijk ter bescherming van vitale belangen
• Gegevens zijn noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
• Gegevens zijn noodzakelijk voor de behartiging van de gerechtvaardigde belangen

Stap 3

Bedrijven moeten zich vervolgens afvragen of het nodig is om een functionaris gegevensbescherming (FG) aan te stellen. Deze persoon binnen de organisatie houdt toezicht op de toepassing en naleving van de AVG. Deze persoon moet worden aangesteld als een bedrijf een overheidsinstantie of overheidsorgaan is, als een bedrijf bijzondere of strafrechtelijke persoonsgegevens op grote schaal verwerkt, of als een bedrijf op grote schaal aan regelmatige observatie van betrokkenen doet. Wanneer er geen FG nodig is, kan een privacyexpert alsnog nuttig zijn.

Stap 4

De volgende stap voor bedrijven is om na te gaan of er een data protection impact assessment (DPIA) moet worden uitgevoerd. Dit is een instrument bedoeld om vooraf de privacyrisico's van gegevensverwerking in kaart te brengen, om vervolgens maatregelen te kunnen nemen. Een DPIA is alleen verplicht als gegevensverwerking een hoog privacyrisico oplevert voor de personen waarvan persoonsgegevens worden verwerkt. Als dit niet het geval is, moet de reden hiervan gedocumenteerd worden.

Stap 5

Bedrijven moeten vervolgens werken volgens de AVG-uitgangspunten van 'privacy by design' en 'privacy by default'. Dit houdt in dat producten, diensten en systemen privacyvriendelijk ontworpen zijn, dat bepaald is hoe lang de persoonsgegevens bewaard worden en of de instellingen van producten of diensten op privacyvriendelijk staan. Deze punten zijn voor ieder bedrijf verplicht.

Stap 6

Voor sommige bedrijven is het verplicht om een register van verwerkingsactiviteiten op te stellen. Dit register bestaat uit informatie over de persoonsgegevens die worden verwerkt. Zo is dit verplicht bij een organisatie die meer dan 250 medewerkers telt. Daarnaast is het verplicht als de verwerking niet incidenteel is, als de verwerking risico inhoudt voor de rechten en vrijheden van de personen of als de persoonsgegevens vallen onder de categorie bijzondere of strafrechtelijke persoonsgegevens.

Stap 7

In de AVG staat tevens dat persoonsgegevens goed beveiligd moeten worden. Het is daarom van belang een beleid op te stellen voor informatiebeveiliging. Tevens moet worden bepaald welke technische en organisatorische maatregelen er nodig zijn om beveiliging te garanderen.

Stap 8

Wanneer een bedrijf andere partijen benadert om persoonsgegevens te verwerken, moet een verwerkersovereenkomst worden afgesloten. Deze verwerkers moeten garanderen dat zij aan de wettelijke vereisten voldoen.

Stap 9

Ieder bedrijf moet voldoen aan de informatieplicht. Dit houdt in dat een bedrijf mensen op een begrijpelijke manier informeert welke gegevens voor welk doel en met welke grondslag worden verzameld en verwerkt. Bedrijven moeten dus een geldige, begrijpelijke en toegankelijke privacyverklaring of ander document opstellen waarin betrokkenen worden geïnformeerd.

Stap 10

De laatste stap is het nagaan of een bedrijf voldoet aan de privacyrechten waar een beroep op kan worden gedaan. Deze rechten zijn:

• Recht op inzage
• Recht op rectificatie en aanvulling
• Recht op vergetelheid
• Recht op dataportabiliteit
• Recht op beperking van de verwerking
• Rechten met betrekking tot geautomatiseerde besluitvorming en profilering
• Recht van bezwaar

Verantwoordingsplicht

Onder de AVG hebben bedrijven een verantwoordingsplicht. Dit houdt in dat bedrijven moeten kunnen aantonen dat aan de AVG wordt voldaan.

Versterking en uitbreiding van privacyrechten

Door de nieuwe wetgeving kan men gemakkelijker aanspraak maken over het gebruik van gegevens. Zo moeten organisaties toestemming vragen om persoonsgegevens te verwerken en ook de mogelijkheid bieden om de toestemming in te trekken. De organisaties moeten dan ook kunnen bewijzen dat zij geldige toestemming hebben gekregen. Ook krijgt men een tweetal aanvullende rechten, het recht op vergetelheid en het recht op dataportabiliteit. Het recht op vergetelheid houdt in dat men kan eisen dat een organisatie alle persoonsgegevens die gedeeld zijn met andere organisaties, in totaliteit verwijdert wanneer hierom wordt gevraagd. Het recht op dataportabiliteit houdt in dat men recht heeft op het ontvangen van de eigen persoonsgegevens die in het bezit zijn van de organisatie. Tevens kan men in sommige gevallen persoonsgegevens laten doorsturen van de ene naar de andere organisatie.

Bevoegdheden Europese privacytoezichthouders

Wanneer een organisatie de AVG overtreedt, kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal twintig miljoen euro. Deze boete kan worden opgelegd als een verantwoordelijke de beginselen of grondslagen van de AVG niet nakomt. Een boete van maximaal tien miljoen euro kan worden opgelegd als verantwoordelijken verplichtingen onder de AVG niet nakomen.