Steeds meer bedrijven werken – al dan niet bewust – met persoonsgegevens. Met de komst van de Algemene Verordening Gegevensbescherming (AVG) verandert er veel wat betreft de verwerking en bescherming van die data.
Wat houdt de AVG in?
De Algemene Verordening Gegevensbescherming (in het Engels General Data Protection Regulation of GDPR) is de nieuwe Europese privacywetgeving. Op 25 mei 2018 wordt die definitief van kracht. De AVG vervangt de verouderde Nederlandse Wet bescherming persoonsgegevens (Wbp) en heeft als doel persoonsgegevens beter te beschermen en die bescherming in de gehele EU gelijk te trekken. Organisaties moeten (nog) duidelijk(er) maken waarom ze persoonsgegevens verzamelen, waarvoor ze die gebruiken en hoe lang de data wordt bewaard. Ook moeten ze burgers desgevraagd inzage geven in de opgeslagen data.
Wat verandert er ten opzichte van de huidige privacywetgeving?
Burgers krijgen nog meer zeggenschap over hun persoonsgegevens en wat daarmee gebeurt. Zo mogen ze hun toestemming om gegevens te verwerken niet alleen intrekken, maar ook gebruikmaken van het recht om vergeten te worden bij alle organisaties die hun gegevens hebben ontvangen via jouw bedrijf. Alle Europese privacytoezichthouders, zoals de Autoriteit Persoonsgegevens (AP), krijgen dezelfde bevoegdheden naast hun nationale bevoegdheden.
Geldt de AVG voor elk bedrijf?
Elk bedrijf dat persoonsgegevens verwerkt, moet zich houden aan de regels die de AVG voorschrijft. Onder verwerken valt niet alleen ‘opslaan’, maar ook gebruiken, analyseren, combineren of verwijderen. Onder persoonsgegevens vallen ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Naast naam- en adresgegevens betreft het dus ook bijvoorbeeld medische data, klantprofielen en klikgedrag.
Bedrijven hebben net als onder de Wpb een rechtmatige grondslag nodig om persoonsgegevens te verwerken. De betrokkene moet daarbij toestemming geven voor de verwerking van zijn persoonsgegevens of de verwerking moet noodzakelijk zijn voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is.
Wat gebeurt er als een bedrijf niet (op tijd) voldoet aan de regels?
De AVG is al in mei 2016 in werking getreden, maar wordt pas in mei 2018 daadwerkelijk van kracht, zodat organisaties voldoende tijd hebben om hun bedrijfsvoering met de AVG in overeenstemming te brengen. Vanaf dat moment gaat de Autoriteit Persoonsgegevens bedrijven op de vingers tikken die niet compliant zijn met de AVG. Deze boetes kunnen oplopen tot maximaal 4 procent van de jaaromzet of 20 miljoen euro.
Bron: MT.nl
Voor meer informatie, zie de website van de Autoriteit Persoonsgegevens. Deze biedt relevante en overzichtelijke achtergrond informatie, zoals ‘AVG in een notendop’ en ‘AVG 10-stappenplan’.
