Volgens de EU heeft iedereen recht op bescherming van persoonsgegevens. De Europese Commissie en het Europees Parlement hebben besloten dat de huidige wetgeving over privacywetgeving niet langer aansluit op de veranderingen in de digitale wereld. De Europese Commissie heeft daarom een Europese Privacyverordening opgesteld, de zogenaamde Algemene verordening gegevensbescherming (AVG) of in het Engels de General Data Protection Regulation (GDPR). De AVG zal 25 mei 2018 van toepassing worden in de hele EU.
Wbp geldt niet meer
De AVG vervangt de Richtlijn bescherming persoonsgegevens (95/46EG) uit 1995. Deze richtlijn is in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp). De AVG heeft directe werking. Dit betekent dat de Nederlandse wetgever de AVG niet meer hoeft te implementeren in nationale wetgeving. De regelgeving over privacy wordt daarmee in de gehele EU gelijk.
Wat verandert er?
Er staat een aantal interessante veranderingen in de AVG. Ik stip de volgende aan:
1. Privacyrechten worden uitgebreid en verstrekt, voorbeelden daarvan zijn:
– Wettelijke voorwaarden voor het verkrijgen van toestemming om persoonsgegevens te verwerken;
– Het recht om verwijdering persoonsgegevens (recht om vergeten te worden) door te geven aan alle organisatie die deze gegevens van de oorspronkelijke organisatie hebben gekregen;
– Het recht om persoonsgegevens in een standaardformaat te ontvangen (recht op dataportabiliteit).
2. De AVG geldt ook voor organisaties die niet in de EU zijn gevestigd, maar wel diensten of producten aanbieden binnen de EU of gedrag van personen binnen de EU monitoren.
3. De verplichting om verwerking van persoonsgegevens te melden bij de lokale toezichthouders is verdwenen. Organisaties moeten zelf een overzicht bijhouden van al hun verwerkingen van persoonsgegevens.
4. Organisaties krijgen meer verantwoordelijkheden om aan te kunnen tonen dat zij zich aan de AVG houden (accountability). Hiertoe zal iedere organisatie die persoonsgegevens verwerkt, passende en effectieve maatregelen moeten uitvoeren.
5. De AVG gaat uitgebreider in op de bewerkersovereenkomst, die onder de AVG “verwerkersovereenkomst” gaat heten. In artikel 28 van de AVG staan de verschillende vereisten waaraan moet worden voldaan: het onderwerp en duur van de gegevensverwerking, het doel en de aard van de verwerking, het soort persoonsgegevens, een beschrijving van de betrokkenen en de rechten en verplichtingen van een verwerkingsverantwoordelijke. Het inschakelen van een externe partij door de bewerker, zonder toestemming van de verantwoordelijke, is op basis van de AVG niet langer toegestaan.
6. De boetes die de Europese privacytoezichthouders (in Nederland: de Autoriteit Persoonsgegevens) kunnen opleggen voor het niet naleven van de AVG worden hoger. Bij overtreding van de beginselen of grondslagen van de AVG of de privacyrechten van de betrokkenen kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 20 miljoen euro of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
Lees meer
Indien u meer wil weten over de achtergrond van de nieuwe privacyregels dan kunt u terecht op de website van de Europese Unie.
Auteur: Lucas van Gilst