De AVG in het kort
Met ingang van 25 mei 2018 geldt in de gehele EU dezelfde privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). De verordening vervangt de reeds bestaande Wet bescherming persoonsgegevens (Wbp). Inhoudelijk zijn de regels niet verschillend, al is de AVG een stuk uitgebreider. Er verandert het meest op het vlak van de handhaving door de Autoriteit Persoonsgegevens (AP), de rechten van betrokkenen en de manier waarop u verwerkingen van persoonsgegevens registreert.
De invoering van de AVG heeft onder meer gezorgd voor:
- Versterking en uitbreiding van privacyrechten.
- Meer verantwoordelijkheden voor organisaties.
- Dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Wat de noodzaak om AVG-compliant te zijn vergroot, is dat de AP bevoegd is om op eigen initiatief onderzoek te doen. Van deze bevoegdheid zal alleen bij grove overtredingen gebruik gemaakt worden. Het is voor uw bedrijf relevanter dat de AP verplicht is om te reageren op binnengekomen klachten. Wanneer over uw bedrijf of organisatie klachten binnenkomen bij de AP, loopt u dus een groot risico op nader onderzoek. Gezien de sterke bevoegdheden die de AP heeft op het gebied van handhaving, is het daarom van belang om niet op de radar van de AP te komen.
Voor mensen betekent de AVG dat zij meer mogelijkheden hebben gekregen om voor zichzelf op te komen bij de verwerking van hun gegevens. Zo staat bijvoorbeeld in een artikel over toestemming wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. En moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. Voor mensen moet het net zo makkelijk zijn om hun toestemming in te trekken als die te geven.
Daarnaast hebben mensen met de invoering van de AVG nog een aantal aanvullende rechten gekregen:
- Recht op vergetelheid: mensen hadden al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Nu kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben doorgekregen.
- Recht op dataportabiliteit: dit betekent dat mensen nu (onder bepaalde voorwaarden) het recht hebben om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heeft het voordeel dat zij hun gegevens makkelijk kunnen doorgeven aan een andere leverancier van dezelfde soort dienst.