Menu

Algemene verordening gegevensbescherming (AVG)

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing.

De Algemene verordening gegevensbescherming (AVG) is een privacywet die geldt in de hele Europese Unie (EU).  Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De Wet bescherming persoonsgegevens (Wbp) geldt niet meer.

De 10 belangrijkste verplichtingen en veranderingen die op een verantwoordelijke rusten zijn de volgende:

  1. De AVG verlangt dat je een register bijhoudt waarin je alle activiteiten omschrijft waarbij bijzondere persoonsgegevens (waaronder gegevens over de gezondheid) worden verwerkt;
  2. Het uitvoeren van Privacy Impact Assessments (PIA’s) voor risicovolle verwerkingen van persoonsgegevens. Sommige gegevensverwerkingen leveren immers een hoger risico op voor de rechten en vrijheden van de belanghebbende (privacyrisico). De AVG verplicht in dat geval om een data protection impact assessment (DPIA) uit te voeren. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en stelt je in staat om maatregelen te nemen om deze risico’s te verkleinen;
  3. Het uitvoering geven aan nieuwe rechten van de betrokkenen: een recht op beperking van een verwerking van persoonsgegevens en een recht op overdraagbaarheid van gegevens;
  4. Gedetailleerdere verplichtingen met betrekking tot het afsluiten van bewerkersovereenkomsten;
  5. Als de verwerking van persoonsgegevens is uitbesteedt aan derde partijen (verwerkers), geldt de verplichting om daar een bewerkersovereenkomst voor op te stellen. Deze verplichting bestond al onder de Wbp maar de AVG stelt daar verdergaande eisen aan.
  6. Het toepassen van privacy by design (bij het ontwerpen van producten en diensten wordt ervoor gezorgd dat persoonsgegevens goed worden beschermd) en privacy by default (technische en organisatorische maatregelen worden getroffen zodat alleen die persoonsgegevens worden verwerkt die noodzakelijk zijn voor het bereiken van een specifiek doel) als onderdeel van de reeds bestaande plicht tot dataminimalisatie;
  7. Een uitbreiding van de categorie bijzondere persoonsgegevens: genetische gegevens en biometrische gegevens. Voor de verwerking van deze persoonsgegevens gelden strengere regels;
  8. Een verhoogd boetemaximum (20 miljoen euro of, bij ondernemingen, 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar) en een uitbreiding van de boetemogelijkheden van de Autoriteit Persoonsgegevens (AP);
  9. Een uitbreiding van de reeds bestaande meldplicht datalekken. Nieuw is de eis in de AVG om een registratie bij te houden van alle datalekken. Ook van de datalekken die je niet hoeft te melden aan de Autoriteit Persoonsgegevens;
  10. Het in bepaalde gevallen verplicht aanstellen van een functionaris voor de gegevensbescherming (FG).

Download hier een overzicht van de belangrijke wijzigingen voor organisaties.

Met het AVG-10 stappenplan krijgt u snel overzicht op een aantal belangrijke AVG-thema’s waar u aan moet voldoen.

In de praktijk wordt overigens weinig stil gestaan bij het commerciele reden/belang van de AVG. Ik bedoel daarmee dat de AVG de verkoop van persoonsgegevens vergemakkelijkt.  Indien op enig moment een evaluatie van de AVG plaats gaat vinden, lijkt het mij van groot belang dit commerciele belang af te zetten tegen de verhoogde regeldruk die de AVG heeft opgeleverd voor alle ondernemers die feitelijk niets te maken hebben met de verhandeling van persoonsgegevens.

Geplaatst in Procesrecht