Algemene Verordening Gegevensbescherming komt snel dichterbij

22 februari 2018

Op 25 mei 2016 is de Algemene Verordening Gegevensbescherming (“AVG”) in werking getreden en per 25 mei a.s. is zij ook van toepassing. De AVG is rechtstreeks van toepassing in alle EU-lidstaten, zodat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De huidige Wet bescherming persoonsgegevens (“Wbp”) geldt dan niet meer.

De boete die de Autoriteit Persoonsgegevens vanaf dat moment kan opleggen kan oplopen tot EUR 20 mln. of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Het is dus van groot belang om tijdig orde op zaken te stellen.

De AVG kent een heel scala aan verplichtingen die worden opgelegd aan organisaties die persoonsgegevens verwerken. Daarnaast kent zij een groot aantal rechten toe aan mensen van wie persoonsgegevens worden verwerkt.

Wat zijn de belangrijkste veranderingen voor organisaties?
Onder de AVG krijgt een organisatie meer verplichtingen bij het verwerken van persoonsgegevens. Zo mogen persoonsgegevens uitsluitend worden verwerkt voor welbepaalde en omschreven doeleinden. Ook mogen niet meer persoonsgegevens worden verzameld en gebruikt dan nodig is voor dat doel. Verder zal de verwerking gebaseerd moeten zijn op één van de in de AVG genoemde wettelijke grondslagen.

De AVG verplicht organisaties om alle technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerking. Verder kent de AVG de verplichting tot het melden van datalekken. Die meldplicht geldt onder de Wbp nu ook al, maar onder de AVG geldt een ruimere meldplicht. Tot slot is onder de AVG verplicht dat een schriftelijke verwerkersovereenkomst wordt opgesteld tussen de organisatie en door haar ingeschakelde dienstverleners (zoals een ICT-beheerder en/of een salarisadministratiekantoor) die namens haar persoonsgegevens verwerken.

Iedere organisatie zal aan de hand van documenten moeten kunnen aantonen dat zij aan de AVG voldoet.

Welke rechten krijgen betrokkenen?
Naast deze verplichtingen kent de AVG een groot aantal rechten aan mensen toe van wie persoonsgegevens worden verwerkt. Zij krijgen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun persoonsgegevens. Hun rechten worden namelijk verstrekt en uitgebreid.

Zo kent de AVG een specifieke bepaling over toestemming. Daarin staat omschreven wat de voorwaarden zijn om een geldige toestemming van mensen te krijgen om hun persoonsgegevens te verwerken. Zo moet toestemming (onder andere) actief worden gegeven. Bovendien moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Daarnaast krijgen mensen een aantal aanvullende rechten.

Zo hebben zij straks het recht om onder bepaalde voorwaarden van een organisatie te verlangen dat hun persoonsgegevens in een standaardformaat aan hen ter beschikking wordt gesteld (het zogenoemde recht op dataportabiliteit). Mensen kunnen hun gegevens dan gemakkelijk doorgeven aan een andere leverancier (bijvoorbeeld bij het overstappen van een zorgverzekering).

Ook kunnen mensen afdwingen dat hun persoonsgegevens door de organisatie worden gewist, indien een verleende toestemming wordt ingetrokken en/of de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld.

Organisaties doen er goed aan zich tijdig te laten voorlichten over de (verregaande) gevolgen van AVG voor hun bedrijfsprocessen.

Voor meer informatie:
Erik Kuper
kuper@vanzeijlbijlaartsen.nl
T: 0341- 420606