Wat is de AVG?
De General Data Protection Regulation (GDPR), in het Nederlands de Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening die in alle lidstaten van kracht is. De AVG verplicht organisaties organisatorische en technische maatregelen te nemen om de privacy binnen de verwerking van persoonsgegevens te waarborgen.
Wanneer treedt de AVG in werking?
De Europese verordening is aangenomen op 14 april 2016. Partijen die persoonsgegevens verwerken krijgen twee jaar om aan de (nieuwe) regels uit de AVG te voldoen. Dat betekent dat uw organisatie op 25 mei 2018 AVG-proof moet zijn.
Welke organisaties moeten voldoen aan de AVG?
Alle private en publieke organisaties die persoonsgegevens verwerken moeten voldoen aan de AVG. Dit zijn niet alleen de partijen die verantwoordelijk zijn voor de gegevensverwerking, maar ook organisaties die dit in opdracht doen. Dit kunnen dus ook organisaties zijn die bedrijven als primaire klant hebben, omdat ook daar persoonsgegevens verwerkt kunnen worden.
Wat zijn de belangrijkste veranderingen ten opzichte van de WBP?
In de AVG zijn een aantal belangrijk aantal extra verplichtingen waar u aan zult moeten voldoen. De belangrijkste verplichtingen zijn voor u als volgt:
- Vastleggen gegevensverwerkingen. De AVG verplicht een organisatie om bij te houden welke persoonsgegevens worden verwerkt, welke verwerkingen hebben plaatsgevonden, op welke (wettelijke) basis de verwerkingen plaats vinden en welke beveiligingsmaatregelen zijn genomen.
- Verwerkersovereenkomsten afsluiten met externe leveranciers waarin u afspraken maakt over de gegevensverwerking.
- Maakt uw organisatie gebruik van geautomatiseerde besluitvorming (ook wel profilering genoemd) dan moet u de betrokkene hiervan op de hoogte te stellen.
- U moet een Functionaris Gegevensbescherming aanstellen.
Welke consequenties verbindt de AVG aan de richtlijnen?
De Autoriteit Persoonsgegevens (AP) blijft onder de AVG belast met het toezicht op de naleving. Anders dan bij de WBP kunnen aan het niet voldoen aan de wetgeving boetes worden opgelegd. Deze boetes kunnen oplopen tot 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet van de verantwoordelijke organisatie.
Wat betekent dit voor mijn Functionaris Gegevensbescherming?
Het aanstellen van een Functionaris Gegevensbescherming (FG) is onder de AVG verplicht. De FG ziet er op toe dat uw organisatie voldoet aan de AVG. Op dit moment zijn er grote verschillen in de manier hoe de FG zijn werk kan doen bij organisaties. Iedere organisatie vult deze rol op zijn eigen manier in. Onder de AVG krijgt de functie FG voor deze organisaties een veel prominentere rol en is het de uitdaging om deze (nieuwe) rol nu goed in te vullen. In opdracht van de Regieraad Gegevens heeft het programma Gegevenslandschap een handreiking positie Functionaris Gegevensbescherming gemaakt voor het juist invullen van deze rol.
Wat betekent dit voor internationale samenwerkingsverbanden?
Wanneer u taken heeft uitbesteed aan een andere organisatie binnen de EU geldt, dat u net als in Nederland verwerkersovereenkomsten moet opstellen met deze partij. Als u gebruik maakt van partijen buiten de EU dan moet worden onderzocht of passende waarborgen voor gegevensbescherming zijn getroffen. Daarbij kan gebruik gemaakt worden van standaarden (zoals bijvoorbeeld privacy shield voor de VS).
Wat is Privacy by Design of Privacy by Default?
De AVG verplicht expliciet om in het ontwerp (Design) van systemen rekening te houden met de bescherming van persoonsgegevens. In dit ontwerp moeten technische en organisatorische maatregelen die de gegevensverwerking beperken tot de noodzaak. Dit moet vervolgens in alles standaardinstellingen van het systeem worden opgenomen (Default).
Waar moet ik op letten in land overschrijdende samenwerking?
Net als bij het uitbesteden van werk binnen Nederland geldt dat, wanneer taken door een andere partij binnen de EU worden uitgevoerd, verwerkersovereenkomsten moeten worden afgesloten. Bij uitbesteding aan verwerkers of verwerkingen buiten de EU geldt, net als onder de WBP, dat moet worden onderzocht of passende waarborgen zijn getroffen voor de bescherming van gegevens. Daarbij kan bijvoorbeeld gebruik gemaakt worden van standaard bepalingen (zoals bv privacy shield met VS).