Nieuwe Europese privacywetgeving (AVG)
Waarom een nieuwe Europese privacywetgeving?
Tot 25 mei 2018 heeft elk lidstaat in de Europese Unie (EU) een eigen privacywet die gebaseerd zijn op de Europese privacyrichtlijn uit 1995. In Nederland is de nationale uitvoering van deze richtlijn de Wet bescherming persoonsgegevens (Wbp).
Deze Europese privacyrichtlijn werd vastgesteld toen internet nog in de kinderschoenen stond. Daarom is de Europese privacywetgeving de afgelopen jaren herzien en is ingaande 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele EU en de Wbp komt te vervallen.
Voor wie geldt de AVG?
De AVG geldt voor alle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken, zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie.
Aparte richtlijn politie en justitie
Naast de AVG is er een aparte Richtlijn gegevensbescherming politie en justitie.
Wat verandert er?
De AVG zorgt onder meer voor:
1. versterking en uitbreiding van uw privacyrechten;
2. meer verantwoordelijkheden voor organisaties;
3. bevoegdheden voor de Autoriteit Persoonsgegevens (AP) die toezicht houdt op de naleving van de AVG om bijvoorbeeld boetes op te leggen.
1. Versterking en uitbreiding van privacyrechten
Door de algemene verordening gegevensbescherming (AVG) hebt u meer mogelijkheden om voor u op te komen bij de verwerking van uw gegevens. Uw privacyrechten worden namelijk versterkt en uitgebreid.
Toestemming
In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming van u te krijgen om uw persoonsgegevens te verwerken.
Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor u net zo makkelijk zijn om uw toestemming in te trekken als om die te geven.
Nieuwe privacyrechten
Naast versterking van de bestaande rechten hebt u door de AVG een aantal aanvullende rechten.
Recht op vergetelheid
U hebt al het recht om een organisatie te vragen uw persoonsgegevens te verwijderen. Daarnaast kunt u eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.
Recht op dataportabiliteit
Ook hebt u (onder bepaalde voorwaarden) het recht om van de organisatie uw persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.
Zo kunnen zij uw gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als u zich wilt laten uitschrijven bij de ene sociale netwerksite en wilt inschrijven bij een andere. U kunt zelfs eisen dat de organisatie uw persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.
2. Meer verantwoordelijkheden voor organisaties
Met de AVG heeft een organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk op de verantwoordelijkheid van organisaties om aan te tonen dat zij zich aan de wet houdt. Dit heet de verantwoordingsplicht.
De verantwoordingsplicht houdt in dat organisaties met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Maar de AVG biedt organisaties tegelijkertijd meer instrumenten die kunnen helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens.
3. Bevoegdheden Autoriteit Persoonsgegevens (AP)
Overtreedt een organisatie de AVG , dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.
1) Organisaties die persoonsgegevens verwerken hebben onder de AVG bepaalde verplichtingen, zoals de verantwoordingsplicht. Komt een organisatie verplichtingen niet na, kan de AP een boete opleggen van maximaal 10 miljoen euro of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
2) Overtreedt een organisatie de beginselen of grondslagen van de AVG of uw privacyrechten, kan de AP een boete opleggen van maximaal 20 miljoen euro of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.