Algemene verordening gegevensbescherming

Op 27 april 2016 is de tekst van de Algemene Verordening Gegevensbescherming (‘AVG’) definitief vastgesteld. Sinds 25 mei 2018 moet iedere organisatie voldoen aan de eisen die de AVG stelt. De AVG stelt meer en specifiekere eisen aan de rechtmatige omgang met persoonsgegevens en maakt onderdeel uit van een breder pakket aan maatregelen dat het geldende EU-recht voor gegevensbescherming vervangt.

Privacy en de zorgvuldige omgang met persoonsgegevens staat al langer meer en meer in de belangstelling van organisaties, media en het publiek. Steeds meer organisaties zien het als een concurrentievoordeel om dit goed geregeld te hebben, beschouwen een degelijke informatiehuishouding als onmisbaar of willen in ieder geval niet het risico lopen op dit punt onderuit te gaan.

De AVG heeft rechtstreekse werking in Nederland en vervangt daarmee de Wet bescherming persoonsgegevens (‘Wbp’).

Het prettige aan deze ontwikkeling is dat hiermee in beginsel de verschillen tussen de wetgeving op dit terrein in de verschillende lidstaten van de Europese Unie komen te vervallen. Ook door de introductie van een one-stop-shop. Vooral internationaal opererende organisaties zouden hiervan moeten profiteren.

Consequenties

De AVG heeft consequenties voor de wijze waarop u als organisatie dient om te gaan met persoonsgegevens en deze mag delen met andere organisaties. Enkele belangrijke wijzigingen zijn:

• Transparantie: anders dan voorheen is transparantie over de gegevens die men deelt en dus verwerkt, een (zelfstandig) beginsel onder de AVG, evenals het afleggen van verantwoording over de verwerking als zodanig. Dit betekent dat organisaties verplicht zijn documentatie te hebben waarin uitgebreid alle aspecten van de verwerking van persoonsgegevens door de organisatie worden beschreven.
• Accountability: anders dan voorheen dienen organisaties straks actief beleid te voeren en maatregelen te implementeren waaruit blijkt dat de AVG wordt nageleefd. Het is dus niet langer voldoende enkel (passief) te informeren over het doel en de middelen van verwerking.
• Data Protection Officer: het aanstellen van een Data Protection Officer is niet langer vrijblijvend, maar verplicht voor organisaties die veel gegevens verwerken.
• Jongeren: het verwerken van persoonsgegevens van jongeren tot 16 jaar ten behoeve van online diensten is slechts toegestaan met toestemming van de ouders, waarbij de bewijslast voor deze toestemming rust op de organisatie die de persoonsgegevens verwerkt. Lidstaten kunnen deze leeftijd verlagen tot 13 jaar.
• Vergeetrecht: degene die persoonsgegevens verwerkt heeft een verregaande verplichting gegevens te wissen en in het geval deze gegevens openbaar worden gedeeld, dienen ook de ontvangers in de regel geïnformeerd te worden.
• Meldplicht: organisaties zijn verplicht datalekken te melden aan de Autoriteit Persoonsgegevens en betrokkenen. Vervelend genoeg is deze meldplicht weer net iets anders uitgewerkt dan de meldplicht die sinds 1 januari 2016 al in Nederland is geïntroduceerd op grond van de Wet bescherming persoonsgegevens.
• Profilering: het gebruik van persoonsgegevens voor profilering wordt strikt gereguleerd dus ook indien men hiertoe gegevens deelt met andere organisaties. Hiervoor is expliciete toestemming verreist; hetgeen verder gaat dan ondubbelzinnige toestemming.
• Privacy by design en privacy by default: explicieter dan voorheen dienen er technische en organisatorische maatregelen te zijn getroffen die de gegevensverwerking strikt beperken tot noodzakelijk en mogen persoonsgegevens in beginsel niet met een onbeperkt aantal natuurlijke personen gedeeld worden.
• Privacy Impact Assessment (PIA): door de AVG als bijzonder risicovol beoordeelde verwerkingen dienen voorafgegaan te worden door een privacy-effect-beoordeling en in bepaalde gevallen is hier zelfs voorafgaande toestemming voor nodig van de Autoriteit Persoonsgegevens (voorheen: College bescherming persoonsgegevens).
• Handhaving: Ook nemen de handhavingsmogelijkheden van de Autoriteit Persoonsgegevens flink toe en kan deze straks boetes opleggen tot 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet van de verantwoordelijke. Deze boetes kunnen niet enkel worden opgelegd aan degene in wiens opdracht de persoonsgegevens worden verwerkt, maar ook aan degene die in opdracht met de verwerking is belast (de verwerker). Het boeteregime wordt hiermee aanzienlijk zwaarder dan het ook al niet lichte regime dat in Nederland per 1 januari 2016 in werking treedt.

AVG-serie 

In onze AVG-serie worden verschillende onderwerpen uit de AVG verder toegelicht. Hier vind u meer informatie over:

• Inwerkingtreding
• (Bijzondere) persoonsgegevens
• Profilering en geautomatiseerde besluitvorming
• Beveiliging
• Recht op dataportabiliteit
• Documentatieplicht
• Meldplicht datalekken
• Functionaris voor de Gegevensbescherming
• Data Protection Impact Assessment (DPIA)
• Verwerkersovereenkomst
• De verwerker
• Administratieve boetes
• Toestemming

Stappenplan

Organisaties worstelen met het daadwerkelijk implementeren van deze complexe wetgeving. Als gespecialiseerde advocaten zijn wij enerzijds uitstekend in staat om op strategisch niveau te bepalen hoe de organisatie zich zou moeten positioneren en wat er vervolgens van de organisatie verwacht wordt. Anderzijds zijn we eveneens uitstekend in staat oplossingen aan te dragen in de vorm van modelcontracten, handboeken, cursusmateriaal, etcetera.

Om tijdig en binnen budget de nodige maatregelen te implementeren hanteren wij een stappenplan.

Relevant voor u?

Vraagt u zich af of u juridisch de zaken wel op orde heeft? Bent u van mening dat zorgvuldige omgang met persoonsgegevens van groot belang is voor uw organisatie? Heeft u iemand in huis die over de juiste kennis en ervaring beschikt? Ziet u de AVG en de daarin geïntroduceerde forse boetes als een goede aanleiding (weer) orde op zaken te stellen?

Als uw privacy-deskundigen staan wij graag tot uw beschikking. Gezien onze kennis en ervaring zijn wij in staat snel tot de essentie door te dringen en samen met u te bepalen hoe u ervoor staat en welke additionele maatregelen er eventueel nodig zijn.

Individueel advies of workshop

Bent u geïnteresseerd in een workshop over de gevolgen van de Algemene verordening gegevensbescherming voor uw organisatie of heeft u liever direct individueel advies op maat? Voor een vast bedrag analyseren wij uw juridische situatie en krijgt u van ons een heldere rapportage. Benieuwd naar onze methodiek, kennis en referenties?

Maak vrijblijvend een afspraak met Huub de Jong of Tom de Wit.