De Algemene Verordening Gegevensbescherming: bent u er klaar voor?

Gezien de directe werking van deze EU-verordening, zal u met ingang van mei 2018 meteen moeten voldoen aan deze nieuwe regels. U heeft dus nog slechts één jaar om u daarop voor te bereiden. Wat betekent dat voor u?

Wat houdt de Algemene Verordening Gegevensbescherming in?

In Europa zijn de regels voor de verwerking van persoonsgegevens op dit moment te vinden in de nationale privacywetten, gebaseerd op de EU-Privacyrichtlijn. In Nederland is dat de Wbp. Doel van de AVG is harmonisatie van privacyregelgeving, betere bescherming van persoonsgegevens en de bevordering van het vrije verkeer van gegevens binnen de Europese Unie. De verordening wil bijdragen aan de rechtszekerheid en een hoog en consistent beschermingsniveau voor Europese burgers waarborgen.

Wat zijn de belangrijkste veranderingen?

De nieuwe verordening brengt een aantal belangrijke veranderingen met zich mee. In grote lijnen komen de veranderingen neer op verbetering van de privacyrechten van personen en meer verantwoordelijkheden voor organisaties die persoonsgegevens verwerken.

De vordering geeft de personen van wie gegevens worden verwerkt meer rechten. Zo moet u de betrokken personen betere inzage in de door u verwerkte gegevens verschaffen, en kan de betrokkene de toestemming voor verwerking voortaan makkelijk weer intrekken. Daarnaast krijgt de betrokkene er twee nieuwe rechten bij: (1) ‘the right to be forgotten’ en, (2) het recht op ‘data-portabiliteit’. Het recht op ‘vergetelheid’ houdt in dat u de gegevens van de betrokkene moet verwijderen wanneer de toestemming voor de verwerking door de betrokkene wordt ingetrokken. Het recht op dataportabiliteit  moet ervoor zorgen dat betrokkenen makkelijker hun persoonsgegevens kunnen overzetten naar andere dienstverleners.

De uitgebreide rechten van de betrokkenen brengen voor u als verwerkingsverantwoordelijke (onder de Wbp de verantwoordelijke) meer plichten met zich mee. Zo moet u uw diensten voortaan inrichten met privacy als leidraad (Privacy by Design en Privacy by Default), Privacy Impact Assessments uitvoeren en een Verwerkingsregister bijhouden. Daarnaast worden specifieke bedrijven verplicht tot het aanstellen van een Data Protection Officer die toeziet op de naleving van de regels.

Daarnaast worden ook de regels voor verwerkers van persoonsgegevens aangescherpt. Waar de Wbp slechts vereiste dat de verwerkingsverantwoordelijke een verwerkersovereenkomst sluit met de verwerker, legt de AVG ook rechtstreeks regels op aan de verwerker zelf. Deze regels zien o.a. op de beveiliging van de gegevens, de uitvoering van de audits en op de beëindiging van de verwerking. Ook kunnen betrokkenen de bewerker rechtstreeks aanspreken op de naleving van zijn verplichtingen.

Welke risico’s loopt u?

De nationale toezichthouder, in Nederland de Autoriteit Persoonsgegevens (AP), kan boetes van maximaal € 20.000.000,- of 4% van de jaaromzet aan bedrijven op leggen die de AVG overtreden.

Wat kunt u nu al doen?

Gezien de vergaande implicaties van de verordening is een goede voorbereiding daarop essentieel. Mei 2018 lijkt misschien nog ver weg, maar gezien de aanscherping van de privacy-regels is het verstandig om nu al met de voorbereidingen te starten. Het is belangrijk dat u ervoor zorgt dat de relevante mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels en nu al starten met de implementatie daarvan. Houd u bijvoorbeeld alvast rekening met de nieuwe rechten van betrokkenen en brengt u alvast uw gegevensverwerkingen in kaart. GMW advocaten kan u in deze transitie adviseren en begeleiden.