De Algemene Verordening Gegevensbescherming komt er aan!

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Dan hebben we niet meer te maken met de Wet Bescherming Persoonsgegevens (Wbp), maar met de AVG. De AVG zorgt onder meer voor versterking en uitbreiding van privacy rechten en meer verantwoordelijkheden voor organisaties. Verder geeft het stevige bevoegdheden voor alle Europese privacy toezichthouders. In Nederland is de Autoriteit Persoonsgegevens (AP) de toezichthouder.

De AVG legt meer nadruk op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de regels houden. Het is daarom van belang dat organisaties zich daarvan bewust zijn en dat de relevante mensen in de organisatie dus op de hoogte zijn van de regels. Een aantal van deze regels zijn:

• Documentatieplicht. Organisaties zijn expliciet verantwoordelijk voor de naleving van de beginselen uit de AVG voor verwerking van persoonsgegevens. Organisaties moeten met documenten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.
• Toestemmingsvereiste. Indien gegevensverwerking niet plaats vindt op basis van de in de AVG gegeven rechtsgrondslagen zal toestemming van de betrokkene nodig zijn. Het bewijs van verkregen toestemming van de betrokkene voor het gebruik van persoonsgegevens ligt bij de organisatie. De betrokkene moet expliciet toestemming hebben verleend voor het doel waarvoor de gegevens worden verwerkt.
• Transparantie. Organisaties zijn verplicht gegevens transparant te verwerken.
• Doelbinding. Gegevens dienen te worden verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel en mogen vervolgens niet verder op een met dat doel onverenigbare wijze worden verwerkt.
• Privacy Impact Assessment. Organisaties kunnen verplicht zijn een privacy impact assessment uit te voeren. Hiermee worden vooraf privacy risico’s van gegevensverwerking in kaart gebracht en de te nemen maatregelen om deze risico’s te verkleinen. Deze assessment is in ieder geval verplicht wanneer gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen van wie de gegevens worden verwerkt.
• Functionaris gegevensbescherming. Organisaties kunnen verplicht zijn om een functionaris gegevensbescherming aan te wijzen. Dit is bijvoorbeeld het geval wanneer er hoofdzakelijk grootschalige verwerking van bijzondere categorieën persoonsgegevens plaats vindt. Hierbij kan bijvoorbeeld gedacht worden aan gegevens over gezondheid.
• Dataportabiliteit. De betrokkene krijgt het recht om de hem betreffende persoonsgegevens in een gestructureerd, algemeen gebruikt en machinaal leesbaar formaat te verkrijgen. 
• Meldplicht datalekken. De meldplicht blijft gelden. De AVG stelt evenwel strengere eisen aan de registratie van datalekken.
• Bewerkers. De bewerker heet voortaan verwerker en is degene die ten behoeve van de verantwoordelijke organisatie persoonsgegevens verwerkt. De verantwoordelijke doet enkel een beroep op verwerkers die voldoende waarborgen bieden dat de verwerking voldoet aan de vereisten van de AVG. De uitvoering wordt geregeld in een verwerkersovereenkomst, die dient te voldoen aan de eisen van de AVG. Voor de verwerker gaan voorts extra verplichten gelden, zoals bijvoorbeeld het aanwijzen van een vertegenwoordiger indien de verwerker buiten de Europese Unie is gevestigd.
• Boetes. Overtreding van de AVG kan leiden tot hoge boetes. Er zijn twee boete categorieën. De eerste categorie betreft boetes van ten hoogste EUR 10 miljoen of 2% van de wereldwijde omzet. De tweede categorie betreft boetes van ten hoogste EUR 20 miljoen of 2% van de wereldwijde omzet. Onder de eerste categorie vallen onder andere overtredingen van de informatieverplichtingen en verplichtingen om te voldoen aan inzage- en verbeteringsrechten. Onder de tweede categorie vallen onder andere overtredingen van de verplichting om de persoonsgegevens alleen te verwerken overeenkomstig de beginselen van gegevensverwerking, zoals doelbinding, transparantie en minimalisatie.

Zoals u ziet is er het nodige om rekening mee te houden en heeft het nalaten van het invoeren van de regels uit de AVG in uw organisaties mogelijk grote gevolgen. Heeft u vragen over de AVG of heeft u hulp nodig bij het implementeren van de regels in uw organisatie? Neem dan contact met ons op via 076 52 33 450 of info@lawton.nl.

© Lawton Advocaten, 2017

Dit bericht is puur informatief van karakter. Aan de inhoud van dit bericht kunnen geen rechten worden ontleend. De inhoud van dit bericht geldt niet als juridisch advies. Voor het gebruik hiervan is Lawton niet verantwoordelijk.