Hoe staat het met de Europese Algemene verordening gegevensbescherming?

donderdag, 28 januari 2016

Er is overeenstemming bereikt over de inhoud van de Europese Algemene verordening gegevensbescherming (AVG). Het gaat om een verordening die de huidige Europese privacyrichtlijn 95/46/EG en de daarop gebaseerde Wet bescherming persoonsgegevens (Wbp) gaat vervangen. Het oorspronkelijke voorstel voor de AVG werd door de Europese Commissie begin 2012 gepresenteerd.

De verwachting is dat de AVG in het voorjaar van 2016 onder Nederlands voorzitterschap definitief wordt vastgesteld. Deze zal dan 2 jaar later (voorjaar 2018) in werking treden.

Een Europese verordening heeft directe werking en hoeft niet meer eerst in nationale wetgeving te worden omgezet. Dat betekent dat de AVG in de hele EU geldt. Met betrekking tot bepaalde onderwerpen zullen nationale afwijkingen mogelijk zijn, maar het merendeel zal in de hele EU gelijk zijn. Het grootste verschil met de huidige Nederlandse privacyregelgeving uit de Wbp is dat de verplichtingen in de AVG veel gedetailleerder zijn uitgewerkt. Er is niet alleen bepaald wat de norm is, maar eveneens op welke wijze aan de norm moet zijn voldaan. Er wordt daarbij een zwaar accent gelegd op accountability. Dat betekent dat organisaties die persoonsgegevens verwerken, verplicht worden hun verwerkingsprocessen te beschrijven en zodanig in te richten dat ze in staat zijn aan te tonen dat ze voldoen aan de wet.

Naast het algemene vereiste dat iedere organisatie moet zorgdragen voor een adequate beveiliging  verplicht de AVG organisaties om “privacy impact assessments” te verrichten, om “privacy by design” toe te passen en dit alles op schrift te hebben vastgelegd. Daarnaast zullen organisaties veel meer aandacht moeten gaan besteden aan de wijze van informeren van hun klanten en personeel over de verwerking van hun persoonsgegevens. Ook om te voldoen aan het inzage- en correctierecht zal een organisatie processen moeten inrichten. Bovendien worden deze rechten uitgebreid met een recht op “dataportabiliteit” en het “recht om te worden vergeten”.

Op overtreding van nagenoeg alle bepalingen in de AVG staan boetes die kunnen oplopen tot 4 procent van de wereldwijde jaaromzet! Daarbij krijgen de nationale toezichthouders, zoals de Autoriteit Persoonsgegevens veel instrumenten om op de naleving van de AVG toe te zien en handhavend op te treden.

Omdat de impact en de risico’s van de AVG groot zijn voor iedere organisatie, is het dringend aan te bevelen om - op bestuursniveau - hier nu aandacht aan te geven. Er zal vóór de inwerkingtreding in het voorjaar van 2018 in ieder geval een privacybeleid en beveiligingsbeleid binnen de organisatie moeten worden opgesteld en geïmplementeerd. We hebben daarvoor checklists opgesteld die u kunt opvragen bij Monique Hennekens.