Sinds 2001 wordt de privacy in Nederland gewaarborgd door de Wet Bescherming Persoonsgegevens (WBP). Dit is de Nederlandse uitwerking van de Europese Privacyrichtlijn uit 1995. Iedere Europese lidstaat heeft op basis van deze richtlijn zijn eigen privacywet. Dit betekent dat de privacywetgeving van de lidstaten niet helemaal gelijk is. Op 25 mei 2018 wordt daar verandering in gebracht en geldt dezelfde privacywetgeving in de gehele Europese Unie (EU). Deze nieuwe privacywetgeving 2018 wordt ook wel de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) genoemd.
Waarom nieuwe Europese privacywetgeving?
Volgens de EU is de invoering van de nieuwe privacywet nodig om de burger meer controle te geven over de manier waarop organisaties met persoonsgegevens omgaan. Ten tweede wil de EU organisaties meer duidelijkheid bieden op juridisch vlak om het functioneren eenvoudiger te maken.
Daarnaast is de huidige regelgeving achterhaald, in 2001 is de WBP namelijk al in werking getreden. Voor de beeldvorming: in 2006 kwam de eerste Apple iPhone op de markt. Sinds die tijd zijn er twaalf iPhones verschenen. De reden voor dit aantal is dat de technologische ontwikkelingen zo snel gaan, dat dit nodig is om bij te kunnen blijven. Naast de komst van de smartphones, beschikken we momenteel over de Cloud, social media, een enorme toename van het aantal Wifi-spots, enzovoorts. De huidige wetgeving is niet ingericht naar de nieuwste technologische ontwikkelingen en daarmee simpelweg niet in staat om de privacy van de burger te waarborgen.
Is de AVG van toepassing?
In opdracht van WatchGuard Technologies is er wereldwijd onder 1600 organisaties een onderzoek uitgevoerd naar de invoer van de AVG. Uit dit onderzoek blijkt dat 37% van organisaties niet weet of ze aan de nieuwe privacywetgeving moeten voldoen. Conform de AVG criteria dient ieder bedrijf dat persoonsgegevens verwerkt of opslaat, AVG compliant te zijn.
Volgens art. 4 lid 2 AVG is het verwerken van persoonsgegevens: ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, ….’ Het begrip ‘verwerken’ is erg ruim. Het varieert van het verzamelen en vastleggen van gegevens tot en met het vernietigen van gegevens. Kortom, indien jouw organisatie (bijzondere) persoonsgegevens vastlegt of opslaat, dien je te voldoen aan de criteria van de AVG.
Verschillen tussen WBP en AVG
Met de komst van de AVG zullen er een aantal dingen veranderen ten aanzien van WBP. De grootste verschillen zijn hieronder in het kort beschreven:
1. Toepassing
De wet is nu ook van toepassing voor organisaties die persoonsgegevens verwerken buiten de EU.
2. Toestemming
Bij meerdere verwerkingen van persoonsgegevens moet voor iedere verwerking afzonderlijk toestemming worden gevraagd aan de betrokkene. Het vragen van toestemming moet in begrijpelijke taal gebeuren.
3. Verwerkingsbeginselen
De AVG introduceert kernbeginselen, waaraan alle verwerkingen van persoonsgegevens moeten voldoen. De beginselen bestaan uit rechtmatigheid, eerlijkheid, transparantie, doelbinding, dataminimalisatie, juistheid, opslagbeperking, integriteit en vertrouwelijkheid en verantwoordingsplicht. Deze zijn bedoeld om de burger te beschermen tegen het onjuist verwerken van gegevens.
4. Recht van betrokkene
De betrokkene heeft nu meer rechten dan bij de WBP. De toegevoegde rechten zijn: het recht op vergetelheid, het recht op dataportabiliteit, het recht om de verwerking te beperken en het recht om bezwaar te maken tegen de verwerking.
5. Functionaris voor de gegevensbescherming (FG)
Een functionaris voor de gegevensbescherming is in drie gevallen verplicht op grond van artikel 37 AVG, namelijk bij overheden en publieke organisaties, voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen en voor organisaties die op grote schaal bijzondere gegevens verwerken.
6. Administratieplicht
Organisaties moeten kunnen aantonen dat ze compliant zijn aan de AVG. Hulpmiddelen die hierbij kunnen helpen zijn ‘Privacy by design’ en ‘Privacy by default’. De hulpmiddelen helpen bij het inrichten en instellen van systemen zodat de privacy van de betrokkene optimaal wordt gewaarborgd en dat enkel strikt noodzakelijke gegevens worden verwerkt.
7. Profilering
Het geautomatiseerd verwerken van gegevens zonder menselijke tussenkomst, mag geen rechtgevolgen hebben. Organisaties dienen daarom een PIA uit te voeren, indien de mogelijkheid bestaat dat er gerechtelijke vervolging kan plaatsvinden. De betrokkene heeft het recht om hierover geïnformeerd te worden en bezwaar te maken.
8. Inschakelen bewerker
Een verwerkingsovereenkomst regelt de verantwoordelijkheden bij het verwerken van persoonsgegevens indien de organisatie een andere organisatie inschakelt.
9. Privacy Impact Assessment (PIA)
Een ‘gegevensbeschermingseffectbeoordeling’ (PIA) is een beoordeling om inzicht te krijgen in het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. De PIA is in ieder geval verplicht bij profilering en wanneer nieuwe technologieën worden gebruikt bij de verwerking en deze mogelijk een hoog risico vormen.
10. Meldplicht datalekken
De Meldplicht Datalekken is inmiddels al vanaf 1 januari 2016 actief. Met de komst van de AVG blijft deze meldplicht nagenoeg gelijk. De belangrijkste verandering is dat de bewerker een datalek dient te melden aan de verantwoordelijke. Deze controleert de melding. Er hoeft pas een melding bij de toezichthouder gedaan te worden, als blijkt dat het inderdaad om een datalek gaat.
11. Overtredingen en sancties
Conform de WBP was de maximale boete € 820.000. De AVG maakt het voor de (Europese) Autoriteit Persoonsgegevens mogelijk om hogere boetes op te leggen. De maximale boete is € 20.000.000,- of 4% van de wereldwijde jaaromzet per incident.
Wat is het voordeel van de AVG voor organisaties?
Er is nog maar één privacywet in de EU. Indien jouw organisatie in meerdere lidstaten actief is, levert dat de volgende voordelen op: minder administratieve kosten en nalevingskosten, meer rechtszekerheid, alle regels zijn hetzelfde in de EU en je hebt nog maar één toezichthouder.
Overgang naar privacywetgeving 2018
In 2016 is aangekondigd dat de privacywetgeving gaat veranderen. Inmiddels zijn we ruim over de helft maar is nog lang niet iedereen AVG compliant. Voor organisaties die hulp willen bij het implementeren van de AVG, is er door de Autoriteit Persoonsgegevens (AP) een stappenplan opgesteld. In dit document worden de tien belangrijkste stappen behandeld.
