De nieuwe Algemene Verordening Gegevensbescherming (AVG) heeft grote gevolgen voor ondernemers. Zij krijgen meer verantwoordelijkheid voor de beveiliging van persoonsgegevens. In deze blog licht advocaat Carst Teiwes de hoofdpunten toe.
Met ingang van 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze verordening vervangt de Wet Bescherming Persoonsgegevens (Wbp). In deze bijdrage wordt kort ingegaan op de belangrijkste punten uit de AVG en de gevolgen daarvoor voor u als ondernemer.
Persoonsgegevens
In de AVG staat het begrip ‘Persoonsgegevens’ centraal. Persoonsgegevens omvatten alle informatie over een geïdentificeerde of identificeerbare persoon. Deze informatie dient direct of indirect te kunnen leiden tot identificatie van een natuurlijk persoon. U kunt hierbij denken aan een naam, een adres maar ook aan cookies.
Op grond van de AVG krijgen organisaties die persoonsgegevens verwerken meer verplichtingen. Meer nog dan onder de Wbp ligt de nadruk op de verantwoordelijkheid van organisaties om aan te kunnen tonen dat zij zich houden aan de privacyregels. In Nederland is de Autoriteit Persoonsgegevens (AP) belast met het toezicht op de naleving van de AVG. Bij overtredingen kan de AP boetes opleggen van maximaal 20 miljoen euro of 4% van de – wereldwijde – concernomzet.
Meer en verbeterde privacy-rechten
Direct gevolg van de inwerkingtreding van de AVG is dat de mensen van wie u persoonsgegevens verwerkt (betrokkenen) meer en verbeterde privacy-rechten krijgen. Naast het al bestaande recht van betrokkenen op inzage in de persoonsgegevens die een organisatie onder zich heeft, kent de AVG ook het ‘Recht op vergetelheid’. Betrokkenen kunnen nu al verzoeken om verwijdering van hun persoonsgegevens. Op grond van het vergetelheidsrecht kunnen betrokkenen eisen dat de verzochte verwijdering van hun gegevens ook wordt doorgegeven aan andere organisaties.
Dataportatibileit
Nieuw is ook het ‘Recht op dataportabiliteit’. Dit is het recht van betrokkenen om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Zo kunnen gegevens makkelijker worden doorgegeven aan een andere dienstverlener.
Verantwoordingsplicht
De AVG roept voor verwerkers van persoonsgegevens een verantwoordingsplicht in het leven. Er moet worden aangetoond dat er wordt gehandeld in overeenstemming met de AVG. Deze verantwoordingsplicht komt onder andere tot uitdrukking in het feit dat er – in bepaalde gevallen – een ‘Register van verwerkingsactiviteiten’ moet worden opgesteld en bijgehouden.
DPIA
De AVG introduceert ook het begrip Data Protection Impact Assessment (DPIA). Een DPIA is een beoordeling van de privacyrisico’s van de beoogde verwerking van persoonsgegevens. Op basis van een DPIA kunnen maatregelen worden genomen om deze risico’s te verkleinen of weg te nemen. Het uitvoeren van een DPIA is niet altijd verplicht. Alleen als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor betrokkenen moet er een DPIA worden uitgevoerd.
Functionaris voor gegevensbescherming
Onder bepaalde omstandigheden verplicht de AVG tot het benoemen van een functionaris voor gegevensbescherming (FG). Deze functionaris is iemand die toezicht houdt op de toepassing en de naleving van de AVG binnen de organisatie. Om te bepalen of een FG moet worden aangesteld, zijn er richtlijnen opgesteld.
Tot slot
Hierboven heb ik een aantal kernbegrippen uit de AVG toegelicht. Er blijft genoeg over om te bespreken. Het is van belang om uw organisatie goed voor te bereiden op en in te richten voor de AVG.