Handleiding Algemene Verordening Gegevensbescherming gepubliceerd
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG zal rechtstreeks in alle lidstaten van de Europese Unie gelden en vervangt de nationale Wet bescherming persoonsgegevens (Wbp). De Wbp was gebaseerd op de Europese Richtlijn gegevensbescherming (Richtlijn). Aan de bepalingen van de AVG wordt nadere invulling gegeven in zogenoemde uitvoeringswetten. De Nederlandse Uitvoeringswet is momenteel bij de Tweede Kamer in behandeling.
Het doel van de AVG is onder andere het verhogen van het beschermingsniveau van persoonsgegevens door de rechten van betrokkenen te versterken, meer verantwoordelijkheid bij de organisaties zelf neer te leggen en de bescherming van persoonsgegevens technologieneutraal te maken.
Het Ministerie van Justitie en Veiligheid heeft een handige handleiding gepubliceerd waarin de belangrijkste bepalingen uit de AVG en de Uitvoeringswet worden toegelicht. Hieronder een kort overzicht van de belangrijkste veranderingen die de AVG met zich meebrengt.
Betrokkenen krijgen meer rechten
De Richtlijn kende aan de betrokkene al een aantal rechten toe, zoals het inzagerecht en het recht op verbetering van persoonsgegevens wanneer deze onjuist zijn. De AVG concretiseert deze rechten en voegt een aantal nieuwe rechten toe. Bijvoorbeeld: het recht om vergeten te worden, dat we al kenden uit het arrest Google vs. Costeja, wordt nu geformaliseerd. Daarnaast is het recht op overdraagbaarheid van gegevens in de AVG opgenomen. Dit houdt in dat de gegevens die aan een verwerkingsverantwoordelijke zijn verstrekt, worden overgedragen aan een andere verwerkingsverantwoordelijke. Dit recht kan bijvoorbeeld handig zijn bij het overstappen door de betrokkene van het ene social media platform naar het andere. Ook is nieuw het recht op beperking van de verwerking. Dit houdt in dat de betrokkene de verwerkingsverantwoordelijke kan verzoeken om diens persoonsgegevens tijdelijk ontoegankelijk te maken wanneer de gegevens bijvoorbeeld onjuist zijn of onrechtmatig worden verwerkt.
Uitbreiding territoriale toepassingsgebied
Anders dan de Richtlijn, is de AVG niet alleen van toepassing wanneer persoonsgegevens worden verwerkt in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke die niet in de EU is gevestigd, maar ook in het kader van verwerkingen door een verwerker. Een verwerker is een partij die persoonsgegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke. Daarnaast is de AVG ook van toepassing wanneer in de Unie geen vestiging van de verwerkingsverantwoordelijke of verwerker is, maar de verwerking wel verband houdt met het aanbieden van goederen of diensten aan in de Unie gevestigde betrokkenen of het monitoren van het gedrag van betrokkenen. Hiermee vallen ook een heleboel niet-Europese ondernemingen onder de werking van de AVG.
Uitbreiding verplichtingen van verwerkingsverantwoordelijke en verwerker
De verwerkingsverantwoordelijke (en ook de verwerker) moet in een register bijhouden welke persoonsgegevens worden verwerkt, voor welke doeleinden en hoe deze gegevens worden beveiligd. In sommige gevallen kunnen ondernemingen verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is bijvoorbeeld het geval wanneer gevoelige gegevens worden verwerkt of wanneer ondernemingen op grote schaal individuen volgen of observeren (denk aan cameratoezicht). Tot slot kunnen ondernemingen bij verwerking van persoonsgegevens waarbij een hoog privacyrisico geldt voor de betrokkenen verplicht worden een Data Protection Impact Assessment (DPIA) uit te voeren. Een DPIA is een onderzoek waarbij de risico’s van de verwerking in kaart worden gebracht voorafgaand aan de verwerking.
Boetes
De meest in het oog springende verandering die de AVG meebrengt, is de introductie van substantiële boetes die de nationale toezichthouders aan verwerkingsverantwoordelijken en verwerkers kunnen opleggen voor overtredingen. De boetes bedragen maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Tot slot
De AVG is een grote stap in de goede richting: betrokkenen krijgen meer rechten en bescherming, onafhankelijk van de technologie die wordt toegepast. De praktijk moet echter uitwijzen hoe de AVG zal worden toegepast en hoe de bepalingen worden geïnterpreteerd. Benieuwd naar de gevolgen van de AVG voor jouw organisatie? Neem gerust contact op.
Tamilla Abdul-Aliyeva