Algemene Verordening Gegevensbescherming (AVG)

De bescherming van persoonsgegevens staat centraal in nieuwe Europese wetgeving, die per 25 mei 2018 van toepassing is. Vanaf die datum gelden in de hele EU dezelfde regels voor privacy, met de alles zeggende naam General Data Protection Regulation (GDPR). Iedereen die een applicatie beheert waarbij sprake is van het uitwisselen en/of vastleggen van persoonsgegevens, krijgt met de nieuwe wet te maken. 7W gaat daarom nader in op de regels en de consequenties ervan.

Wbp wordt AVG

Voorheen was in Nederland de Wet Bescherming Persoonsgegevens ((Wbp) van toepassing. Bij het van kracht worden van de nieuwe Algemene Verordening Gegevensbescherming (AVG) komt de Wbp te vervallen. De AVG is verstrekkender en ziet onder meer op de versterking van privacyrechten, de verantwoordelijkheden voor organisaties en de bevoegdheden voor toezichthouders, waaronder het opleggen van boetes.

Er zijn twee belangrijke redenen waarom de AVG wordt ingevoerd. De eerste reden is dat alle lidstaten van de EU tot 2018 hun eigen regels kenden, zoals de Wbp in Nederland. De tweede dat bij het vaststellen van de Europese privacyrichtlijn in 1995, waar onder meer de Wbp op was gebaseerd, het internet nog nauwelijks bestond. Dat is inmiddels wel anders.

Versterking van privacyrechten

In de AVG worden de rechten van personen versterkt. In de wet staan de voorwaarden waar organisaties aan moeten voldoen om persoonsgegevens te verwerken en op te slaan. Mensen moeten daartoe expliciet toestemming geven. En het moet voor deze mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

De nieuwe regelgeving biedt mensen ook aanvullende rechten. Zo hebben zij het ‘Recht op vergetelheid’. Daarmee kunnen personen eisen dat hun gegevens worden verwijderd én dat de organisatie de verwijdering doorgeeft aan andere organisaties met wie de gegevens zijn gedeeld. Nieuw is ook het ‘Recht op dataportabiliteit’. Op basis daarvan kunnen mensen eisen om, onder bepaalde voorwaarden, hun vastgelegde persoonsgegevens in een standaardformaat te ontvangen.

Verantwoordelijkheden voor organisaties

De meeste organisaties hebben onder de AVG meer verplichtingen dan voorheen. Dit geldt niet alleen voor commerciële bedrijven, maar ook voor overheden en sportverenigingen. De AVG legt nadrukkelijk de verantwoordelijkheid bij organisaties om aan te tonen dat men zich aan de wet houdt. Dit heet de ‘Verantwoordingsplicht’.

Zo moeten grote organisaties, die veel persoonsgegevens verwerken en/of systematisch mensen volgen en hun gegevens evalueren, mogelijk een Data Protection Impact Assessment (DPIA) uitvoeren dan wel een Functionaris voor de Gegevensbescherming (FG) benoemen. Maar de AVG geldt voor álle organisaties die persoonsgegevens verwerken, dus ook voor het MKB en ZZP’ers. Bij het bijhouden van afspraken met klanten, mailadressen en personeelsinformatie zullen zij met documenten moeten kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de Europese regels te voldoen.

De AVG biedt organisaties ook voordelen: verwerking van persoonsgegevens hoeft niet meer te worden gemeld bij de Autoriteit Persoonsgegevens. En de AVG biedt instrumenten die helpen om de wet na te leven, zoals modelbepalingen voor het doorgeven van gegevens. Organisaties die in meerdere EU-landen actief zijn profiteren van meer rechtszekerheid, minder administratieve kosten, een gelijk speelveld in alle landen en zij hoeven nog maar met één toezichthouder zaken te doen.

Bevoegdheden voor toezichthouders

Die toezichthouders krijgen straks in alle landen dezelfde, stevige bevoegdheden. Als een organisatie de AVG overtreedt, dan kan de Autoriteit Persoonsgegevens een boete opleggen. Bij het overtreden van verplichtingen bedraagt die maximaal 10 miljoen Euro (of 2% van de wereldwijde jaaromzet), bij het overtreden van de beginselen van de wet kan dat oplopen tot maximaal 20 miljoen Euro (of 4% van de wereldwijde jaaromzet).

7W helpt organisaties om de AVG na te leven

Het is dus verstandiger om de verwerking van persoonsgegevens in te richten volgens de opzet van de AVG. 7W helpt organisaties daarbij, met name op het gebied van Online Marketing. Onze specialisten kennen de regels voor de verwerking van persoonsgegevens in relatie tot Direct Marketing per e-mail, app of sms en weten alles over het juist informeren van (potentiële) klanten, het vragen om expliciete toestemming, het verstrekken van gegevens aan derde partijen en zogenaamde ‘Verwerkersovereenkomsten’.

Laat ons in kaart brengen in hoeverre jouw organisatie goed is voorbereid op de Europese regels voor de verwerking van persoonsgegevens. Aan de hand van het AVG 10-stappenplan kunnen wij je adviseren en waar nodig de noodzakelijke organisatorische en technische aanpassingen doorvoeren en documenteren. Maak nu een afspraak!