Europese Privacyverordening aangenomen

dinsdag, 24 mei 2016

De Nederlandse Wet bescherming persoonsgegevens uit 2000 is één van de 28 verschillende nationale privacywetten in de Europese Unie (‘ EU’ ). Deze verscheidenheid is het gevolg van de diverse implementaties van de Dataprotectierichtlijn uit 1995. Een richtlijn die destijds niet technologieonafhankelijk is opgesteld en nu, mede door de enorme technische ontwikkelingen over de afgelopen jaren, verouderd is.  De Europese Commissie is daarom in 2012 begonnen met het opstellen van een nieuwe, meer technologieonafhankelijke verordening die een ‘eenduidig niveau voor gegevensbescherming in de hele EU’ kan waarborgen. Een verordening, in tegenstelling tot een richtlijn, geldt binnen de EU op uniforme wijze waardoor er binnen Europa minder verschillen zullen zijn. Op 14 april jl. was de kogel dan eindelijk door de kerk: de Algemene Verordening Gegevensverwerking  (hierna: ‘AVG’) is definitief aangenomen.

De AVG zal vanaf 25 mei 2018 de Wet bescherming persoonsgegevens vervangen. Bedrijven hebben de komende twee jaar de tijd om wijzigingen door te voeren in hun bedrijfsvoering. Dit lijkt lang, maar de nieuwe regelgeving zal een aantal flinke veranderingen teweegbrengen waardoor het raadzaam is tijdig te beginnen met het treffen van voorbereidingen.

De AVG bestaat uit een kleine honderd pagina’s. Wij hebben daaruit vijf belangrijke thema’s op een rijtje gezet die wij in de aankomende weken uitvoeriger zullen bespreken:

  1. Transparantie, informatievoorzieningen en toestemming

Evenals de Dataprotectierichtlijn kent de AVG informatieverplichtingen, een inzage- en correctierecht en wordt er soms voorafgaande toestemming vereist voor een verwerking. De AVG breidt de omvang van de informatieverplichtingen en het inzagerecht uit. Voorts is het correctierecht omgezet naar een ‘right to be forgotten’ en zijn de eisen die aan de rechtsgeldigheid van toestemming worden gesteld verzwaard.

  1. Gegevensminimalisering, beveiliging en inbreuken hierop

De AVG introduceert het beginsel van “gegevensbescherming door ontwerp en door standaardinstellingen”. Bedrijfsprocessen en systemen moeten ingebakken maatregelen gaan bevatten ter bevordering van dataminimalisatie en veiligheid. In andere bepalingen worden de algemene beveiligingsverplichtingen verder in detail uitgewerkt. Als sluitstuk wordt een meldplicht voor datalekken ingevoerd. In Nederland bestaat deze meldplicht al sinds 1 januari 2016.

  1. Compliance

De AVG verplicht de verwerkingsverantwoordelijken (momenteel beter bekend als ‘verantwoordelijken’) aan te kunnen tonen dat er aan de verordening wordt voldaan. Hierbij geldt een uitgebreide documentatieplicht. Voorts worden sommige organisaties verplicht een privacy officer aan te stellen die zich bezig houdt met alle aspecten van de verordening. Daarnaast kunnen organisaties zich vrijwillig laten certificeren door de toezichthouder om aan te tonen dat ze conform de AVG handelen.

  1. Uitbesteding en doorgifte

Het uitbesteden van gegevensverwerkingen wordt door de AVG strenger gereguleerd. Zo krijgt de verwerker (momenteel beter bekend als ‘bewerker’) nieuwe verplichtingen en  wordt er specifiek aandacht besteed aan samenwerkingsverbanden. Verder worden er scherpere regels opgenomen over de grensoverschrijdende doorgifte van persoonsgegevens. Een onderwerp dat zeer actueel is door het wegvallen van het Safe Harbor-verdrag en het introduceren van een nieuw mechanisme: het Privacy Shield.

  1. Handhaving

Als laatste thema komt de boetebevoegdheid van de privacytoezichthouders aan bod. Het niet naleven van de AVG kan medio 2018 gaan leiden tot boetes van wel 20 miljoen euro of 4% van de wereldwijde jaaromzet indien dat meer is. Daarnaast gaan de Europese toezichthouders hun werkzaamheden onderling beter afstemmen is hun takenpakket uitgebreid. Door de nieuwe bevoegdheden krijgt de toezichthouder extra tanden waardoor compliance met de verordening een stuk minder vrijblijvend wordt.

 

Kortom, de AVG zal grote veranderingen teweeg brengen in de privacybescherming. Bedrijven zullen meer dan ooit tevoren rekening moeten houden met de privacy van de betrokkenen en zullen – afhankelijk van de mate waarin binnen de organisatie al oog is voor privacy compliance -  wijzigingen door moeten voeren in hun beleid om aan de nieuwe verordening te kunnen voldoen. In de komende weken zullen bovenstaande thema’s op praktische wijze nader uitgewerkt worden. Mocht u in de tussentijd nog vragen hebben over deze onderwerpen, dan kunt u terecht bij onze specialisten in de sectie IE-IT en Privacy: (s.vinken@banning.nlj.berkvens@banning.nl  en s.wiegerinck@banning.nl).