25 mei 2018 is de dag dat de Algemene Verordening Gegevensbescherming (AVG) ingaat. Dit is de nieuwe wet- en regelgeving op privacygebied, waar bedrijven en organisaties in de Europese Unie zich aan moeten houden. Vanaf deze dag maakt de Nederlandse Wet bescherming persoonsgegevens (Wbp) plaats voor deze uniforme wetgeving.
Deze strengere regels zorgen voor meer verplichtingen voor organisaties die met persoonsgegevens werken, en geeft betrokkenen meer rechten. Daarnaast krijgen Europese privacytoezichthouders, zoals de Autoriteit Persoonsgegevens (AP), meer bevoegdheden om onder andere boetes op te leggen. Deze boetes kunnen oplopen tot 20 miljoen euro, en het is dus zaak om te weten welke belangrijke veranderingen de AVG teweeg gaat brengen.
Uitbreiding van privacyrechten
De uitbreiding van privacyrechten houdt in dat mensen van wie persoonsgegevens worden verwerkt, meer en sterkere rechten krijgen dan ze nu hebben. Voorheen konden burgers organisaties vragen om hun data te verwijderen, maar in de toekomst zijn die organisaties ook verplicht om dat verzoek door te spelen naar partijen waar ze die persoonsgegevens mee uitwisselden.
Wanneer burgers denken dat er niet goed met hun privacy wordt omgegaan, kunnen ze een klacht indienen bij de AP De AP zal het dan moeten onderzoeken, wat de positie van burgers ten opzichte van bedrijven en overheden versterkt.
Ook wordt het recht op dataportabiliteit ingevoerd, oftewel overdraagbaarheid van persoonsgegevens. Dit betekent dat betrokkenen hun data in standaardformaat aangeleverd moeten krijgen als zij daar om vragen. Zo kunnen ze makkelijker overstappen naar andere leveranciers met dezelfde diensten, zoals bij het veranderen van telefoonabonnement.
Meer verantwoordelijkheid voor organisaties
Bedrijven verwerken steeds meer data, er is bijna geen bedrijf dat zonder kan. Data wordt dus steeds belangrijker in businessmodellen en daarbij hoort meer verantwoordelijkheid. Een voorbeeld daarvan is de documentatieplicht: organisaties moeten kunnen aantonen dat ze de juiste maatregelen hebben genomen om aan de AVG te voldoen.
Daarnaast moeten organisaties onder de nieuwe wetgeving in sommige situaties verplicht een Privacy impact assessement (PIA) uitvoeren, waarmee ze de privacyrisico’s van een gegevensverwerking in kaart brengen. Ook zijn veel organisaties verplicht een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.
Om organisaties hierin tegemoet te komen biedt de AP hulp. De komende tijd zal er bijvoorbeeld meer voorlichting komen over de nieuwe wet, en op de website staat een stappenplan dat als leidraad kan dienen bij het voorbereiden op de AVG.
Steviger bevoegdheid voor toezichthouders
De AP zal ook na 25 mei stevig blijven inzetten op voorlichten. Maar tegelijk wordt het toezicht strenger en de boetes steviger. Bij het niet voldoen aan verantwoordelijkheden zoals de documentatieplicht, kan de AP een boete opleggen van maximaal 10 miljoen euro. Dit kan ook 2 procent van de wereldwijze jaaromzet zijn als het bedrag hoger uitkomt.
Wanneer de beginselen of grondslagen van de AVG geschonden worden, kunnen de boetes zelfs oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.
Aleid Wolfsen, voorzitter van de AP, over de nieuwe privacywetgeving
“De nieuwe privacywet versterkt de rechten van mensen van wie gegevens worden verwerkt. Toestemming intrekken moet bijvoorbeeld net zo makkelijk zijn als toestemming geven. En mensen krijgen het recht hun gegevens te ontvangen en door te geven aan een andere organisatie. Bijvoorbeeld bij het overstappen naar een ander sociaal netwerk.
Over minder dan een jaar is het zover. Ik roep bedrijven en overheden daarom op om snel aan de slag te gaan. Zorg ervoor dat de mensen binnen je organisatie de nieuwe privacyregels kennen. Breng in kaart welke gegevens je verwerkt en leg dit vast. Zorg dat je datahuishouding op orde is. En stel een functionaris gegevensbescherming aan die controleert of de organisatie de regels naleeft.
Bedrijven en overheden moeten op 25 mei 2018 klaar zijn voor de nieuwe privacywetgeving. Wij helpen hen bij hun voorbereiding. Via onze website en bijeenkomsten beantwoorden we vragen en geven we praktische uitleg over de nieuwe privacyregels. Wij geven voorlichting, wij waarschuwen en wij geven boetes als het nodig is. Het uitdelen van boetes is voor ons geen doel op zich, maar een laatste redmiddel.”