Vanaf 25 mei 2018 geldt in de gehele EU de zogeheten Algemene verordening gegevensbescherming (AVG) die de Wet bescherming privacygegevens (Wbp) zal vervangen. Wat houdt deze wijziging in voor uw privacy en wat betekent deze voor de organisaties die gegevens verwerken?
Persoonsgegevens
Persoonsgegevens zijn gegevens die privacygevoelig zijn en waarmee een persoon kan worden geïdentificeerd. Deze zijn onder te verdelen in standaard persoonsgegevens (zoals naam, adres en woonplaats) en bijzondere persoonsgegevens (zoals uw burgerservicenummer, etniciteit, politieke voorkeur en geloofsovertuiging).
Deze gegevens kunnen worden opgeslagen door verschillende bedrijven en/of instellingen. Denk bijvoorbeeld aan uw bank. In het kader van de veiligheid heeft uw bank persoonsgegevens van u nodig om u te kunnen verifiëren mocht dit nodig zijn.
Wet bescherming persoonsgegevens (Wbp)
Toch moeten organisaties zich aan strenge regels houden omtrent uw gegevens. Dit omdat u een grondrechtelijke recht heeft op privacy. Om de privacy te waarborgen geldt in Nederland nog de nationale Wet bescherming persoonsgegevens (Wbp).
Deze wet is gebaseerd op de Europese privacyrichtlijn uit 1995. Op grond van deze richtlijn hebben lidstaten destijds nationale wetten ontwikkeld om de persoonsgegevens te beschermen. Toch blijkt dat de nationale privacywetten van de lidstaten nog wel eens kunnen verschillen.
Algemene verordening gegevensbescherming (AVG)
Om meer rechtseenheid te creëren en te voldoen aan de behoefte aan meer privacybescherming als gevolg van verdergaande digitalisering van de samenleving, is de Algemene verordening gegevensbescherming (AVG) in het leven geroepen. De AVG, ofwel General Data Protection Regulation (GDPR), is op 25 mei 2016 in werking getreden en zal op 25 mei 2018 van kracht zijn.
De nationale Wbp zal dan komen te vervallen. Alle organisaties bevinden zich nu in een overgangsperiode en zij hebben tot mei 2018 de tijd om hun bedrijfsvoering in overeenstemming te brengen met de AVG.
De komst van nieuwe wetgeving brengt altijd onduidelijkheid met zich mee. Wat gaat er nu precies veranderen? Waar moeten burgers en organisaties rekening mee houden? Hieronder de belangrijkste veranderingen voor zowel burgers als organisaties.
Belangrijke veranderingen voor burgers
De AVG zorgt ervoor dat de privacy van burgers wordt versterkt en uitgebreid. Burgers krijgen hierdoor meer mogelijkheden om zelf inspraak te hebben in de verwerking van hun persoonsgegevens.
De volgende veranderingen springen in het oog:
- Het recht van toestemming: in artikel 6 en 7 van de AVG is bepaald dat organisaties alleen bij expliciete toestemming persoonsgegevens mogen verwerken. Ook moeten zij kunnen bewijzen dat zij die toestemming hebben gekregen. Ook wordt het makkelijker gemaakt voor burgers om die toestemming weer in te trekken of te eisen dat gegevens moeten worden gewijzigd.
- Het recht op dataportabiliteit: dit houdt in dat burgers de organisatie kunnen verzoeken om al hun persoonsgegevens in een standaardformaat te ontvangen. Dit maakt het makkelijker om eigen gegevens in te zien en door te geven aan bijvoorbeeld een andere vergelijkbare organisatie.
- Het recht om vergeten te worden: in de AVG staat dat alle organisaties die persoonsgegevens verwerken, deze op verzoek moeten verwijderen. Ook kunnen burgers eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens hebben gekregen. Denk hierbij aan zoekmachines op het internet.
- Vrijer gebruik burgerservicenummer: het verbod van artikel 24 Wbp op de verwerking van identificatienummers (zoals het burgerservicenummer) wordt opgeheven. De AVG kent dit verbod niet en dit houdt dus in dat voortaan vrijer gebruik kan worden gemaakt van identificatienummers. Ook zal het burgerservicenummer niet meer vallen onder bijzondere persoonsgegevens.
Belangrijke veranderingen voor organisaties
Voor organisaties die persoonsgegevens verwerken gaat er aan de andere kant uiteraard ook het een en ander veranderen.
Hieronder de opvallendste wijzigingen:
- EU-brede regelgeving: de AVG geldt niet alleen voor Europese bedrijven, maar ook voor buitenlandse bedrijven die hun producten of diensten aanbieden binnen Europa. De AVG is geen Europese richtlijn, maar een verordening. Dit zorgt ervoor dat deze wetgeving in alle lidstaten geldt en dus gelijk is. Het toepassingsbereik van de AVG is hiermee vergroot. Ook zorgt dit voor meer duidelijkheid over welk recht nu van toepassing is. Dit is vooral gunstig voor organisaties die internationaal opereren.
- Eigen verantwoordelijkheid: organisaties krijgen meer verantwoordelijkheid en minder administratieve lasten. Zo hoeven zij verwerking van persoonsgegevens niet meer te melden bij lokale toezichthouders, maar zijn zij zelf verantwoordelijk om een eigen overzicht bij te houden wat betreft alle persoonsgegevens.
- Strenge sancties: er kunnen strengere sancties worden opgelegd tegen de verantwoordelijken wanneer zij de gegevensbeschermingsregels overtreden. De boete die de toezichthouder oplegt, kan oplopen tot € 20 miljoen (of 4% van de omzet van het bedrijf).
- Verplicht assessment: bepaalde organisaties moeten verplicht een Data protection impact assesment (DPIA) uitvoeren. Dit is een instrument om vooraf de privacy risico’s te bepalen en dit zou organisaties dus moeten helpen bij de verwerking van persoonsgegevens.
Conclusie
Al met al brengt de nieuwe Europese verordening een hoop veranderingen met zich mee. Of de doelstellingen van een verbeterde en striktere gegevensbescherming ook daadwerkelijk zullen worden behaald, moet nog blijken.
Wel heeft de Autoriteit Persoonsgegevens veel tools ontwikkeld om de overgang voor organisaties gemakkelijker te maken in de overgangsperiode. Voor meer vragen over privacywetgeving en uw persoonsgegevens kunt u altijd contact met ons opnemen.
Meer informatie of hulp nodig?
Wat zijn de kosten?
Klik hier voor meer informatie over de wijze waarop uw advocaatkosten kunnen worden vergoed en welke betalingsmethoden ons kantoor hanteert.