top of page
Deze site is ontworpen met de
.com
website builder. Maak je website vandaag nog.Nu beginnen

ABOUT AVG (OVERZICHT)

NIEUWE PRIVACYWETGEVING VOOR HELE EU

​

Vanaf 25 mei 2018 is een nieuwe Europese verordening, de Algemene verordening gegevensbescherming (Avg), van toepassing. De verordening vervangt de Wet bescherming persoonsgegevens (Wbp). Vanaf die datum geldt dezelfde privacywetgeving in de hele Europese Unie (EU). Doel van de Avg is één Europees privacykader te creëren. 

​

Directe werking

Een verordening heeft directe werking in heel Europa. De Avg wordt daarom niet omgezet in een Nederlandse wet. Er is wel een Nederlandse Implementatiewet Avg. Die is nodig, omdat de Avg op een aantal onderdelen ruimte laat voor nationale wetgeving. Voor de verzekeringsbranche regelt die Nederlandse implementatiewet bijvoorbeeld dat verzekeraars en intermediairs voor het afsluiten en beheren van verzekeringen een uitzondering genieten op het verbod om bijzondere persoonsgegevens te verwerken. De wet is nog niet aangenomen door het parlement, dus zekerheid is er nog niet.

​

Overgangsperiode

De Avg werd al op 4 mei 2016 gepubliceerd in het Publicatieblad van de Europese Unie en trad 20 dagen erna in werking. Maar de Avg is pas vanaf 25 mei 2018 van toepassing. Er zit 2 jaar tussen publicatie en toepassing. Die 2 jaren moeten organisaties en toezichthouders de ruimte bieden zich goed voor te bereiden op de Avg. Let op: tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

​

Wat blijft gelijk aan Wbp?

De nieuwe regelgeving houdt wel vast aan de belangrijkste uitgangspunten van de Wbp (de Wbp is de Nederlandse uitwerking van een Europese privacyrichtlijn uit 1995). Wat we onder andere uit de Wbp terugzien in de nieuwe verordening:

  • Doelbinding: voordat iemand persoonsgegevens verwerkt, moet het doel van het datagebruik bepaald zijn.

  • Legitieme grondslag: gegevens mogen alleen verwerkt worden als daar een legitieme grondslag voor is. Een van die grondslagen is toestemming: er is pas sprake van geldige toestemming als deze vrij, specifiek en ondubbelzinnig is gegeven, nadat betrokkenen duidelijk geïnformeerd zijn over de reden van het verzoek.

  • Persoonsgegevens: het onderscheid tussen gewone en bijzondere persoonsgegevens blijft gehandhaafd. Persoonsgegevens zijn onder de Avg nog steeds alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Die persoon heet in de Avg de ‘betrokkene’. Hierbij noemt de verordening niet alleen namen of identificatiegegevens als voorbeeld, maar ook locatiegegevens, ‘online identificators’ (zoals IP-adressen) en andere elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Bijzondere persoonsgegevens zijn gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, het lidmaatschap van een vakvereniging en strafrechtelijke gegevens. Wat onder een ‘gezondheidsgegeven’ moet worden verstaan, legt de Avg ook uit: niet alleen gegevens waarop het medisch beroepsgeheim rust (zoals de aard, oorzaak en de behandeling van de ziekte), maar ook gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen.

  • ‘Verantwoordelijke’ en ‘bewerker’: het onderscheid tussen ‘verantwoordelijke en ‘bewerker’ was al aanwezig in de Wbp en keert terug in de Avg. Onder de Avg heet ‘bewerker’ dan wel ‘verwerker’.

​

Goed nieuws

Goed nieuws is dat de verordening niet alleen geldt voor bedrijven in Europa, maar ook voor iedereen die gegevens verwerkt om goederen of diensten aan te bieden in de EU (ongeacht of betrokkene daarvoor betaalt). Grote IT-bedrijven uit de VS die in Europa diensten aanbieden, vallen dus onder dezelfde privacyregels als Europese bedrijven.

​

Uitbreiding rechten van betrokkenen

Ook wordt de positie van betrokkenen versterkt door uitbreiding van het inzagerecht: zij hebben niet alleen recht op informatie over het doel van de verwerking, welke soorten gegevens zijn verwerkt, met wie die gegevens zijn gedeeld en waar de gegevens vandaan zijn gekomen. De verordening vereist dat verantwoordelijken hen nu ook moeten informeren over:

  • de bewaartermijnen

  • klachtrechten

  • gegevensdoorgiften naar landen buiten de EU en

  • of er geautomatiseerde besluitvorming en profilering plaatsvindt

  • ​

Nieuwe rechten voor betrokkenen

Betrokkenen krijgen ook enkele nieuwe rechten:

  • het recht om gegevens te laten wissen

  • het recht op gegevensoverdraagbaarheid (dataportability) en

  • het recht om de verwerking te beperken

​

Nieuwe verplichtingen voor verantwoordelijken

Ook voor verantwoordelijken zijn er nieuwe verplichtingen:

  • aanleg verwerkingenregister: voorheen moesten bedrijven verwerkingen melden bij de Autoriteit Persoonsgegevens: die verplichting vervalt. Maar voortaan moeten verantwoordelijken wel zelf een verwerkingenregister aanleggen, waarin staat wie de gegevens verwerkt, met welke doeleinden, welke categorieën van betrokkenen en van persoonsgegevens worden verwerkt, wie de gegevens krijgen, wanneer gegevens worden gewist en welke maatregelen genomen zijn om de gegevens te beveiligen.

  • uitvoeren van Privacy Impact Analyse (PIA): bedrijven moeten in bepaalde gevallen (als de privacyrisico’s potentieel groot zijn) verplicht een PIA doen, voor aanvang van de verwerking. In de PIA staat de levensloop van persoonsgegevens beschreven, vanaf het moment van verzamelen tot het moment van vernietiging van de betreffende persoonsgegevens. Daarnaast staat in de PIA waarom de verwerking noodzakelijk is, hoe deze invloed heeft op de privacy van betrokkenen en welke maatregelen genomen zijn om die impact zo klein mogelijk te maken.

  • instellen van functionaris Gegevensbescherming (FG): veel bedrijven zullen in bepaalde situaties verplicht zijn een FG aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Avg.

bottom of page