De AVG: belangrijke veranderingen

1.0 Inleiding

De huidige privacywetgeving staat (grotendeels) in de Wet bescherming persoonsgegevens, die is gebaseerd op een richtlijn uit 1995. In 1995 werd al rekening gehouden met de toekomst (de opkomst van het internet, groeiende bedrijven e.d.), maar de huidige stand van de ontwikkelingen gaf aanleiding de privacywetgeving van een update (en soms een upgrade) te voorzien.

Dit heeft geresulteerd in de privacyverordening (AVG/GDPR). De verordening houdt rekening met de huidige inzichten en biedt zoveel mogelijk waarborgen voor eventuele toekomstige ontwikkelingen. Doordat de nieuwe privacywetgeving in de vorm van een verordening is opgesteld, geldt de tekst van de verordening onverminderd in de lidstaten van de Europese Unie: de lidstaten hoeven de tekst niet eerst om te zetten in nationale wetgeving, hetgeen bij de richtlijn wel het geval was. Dus per mei 2018 geldt de tekst van de privacyverordening zowel in Nederland als in andere Europese lidstaten.

 

1.1 De meldplicht vervalt, maar er zal een documentatieplicht gaan gelden.

– Als u persoonsgegevens verwerkt, dient u een register van verwerkingsactiviteiten bij te houden (behoudens de uitzonderingen). De Autoriteit Persoonsgegevens kan ieder gewenst moment bij u langskomen om te controleren of u het register bijhoudt.

– In sommige gevallen dient u (behoudens de uitzonderingen) een Privacy Impact Assessment (PIA) uit te voeren. Dit is een document waaruit blijkt dat u o.a. in kaart hebt gebracht welke gegevens u verwerkt, wat de doeleinden zijn, wat de risico’s zijn, welke maatregelen u treft en wat de noodzaak van de verwerking met betrekking tot de doeleinden is.

 

1.2 Betrokkenen krijgen meer rechten, onder andere:

– De betrokkenen krijgen onder andere het recht op dataportabiliteit: het kunnen overdragen van de gegevens van de ene partij naar de andere. Dit recht brengt met zich mee dat de gegevens in een ‘overdraagbaar’ format beschikbaar moeten zijn.

– De betrokkenen moeten voor bepaalde verwerkingen (uitdrukkelijk) toestemming geven. Dit recht heeft tevens tot gevolg dat de verwerkingsverantwoordelijke (desgevraagd) moet kunnen aantonen dat de betrokkene toestemming heeft gegeven.

 

1.3 Het kan zijn dat u een privacyfunctionaris moet aanstellen.

– In sommige gevallen zijn organisaties verplicht om een privacyfunctionaris aan te stellen. Dit is een natuurlijk persoon (vooralsnog geen rechtspersoon) die toeziet op de naleving van de privacyverordening, maar ook de verwerkingsverantwoordelijke en verwerker van advies en informatie voorziet.

– Ook in de gevallen dat het niet verplicht is om een privacyfunctionaris aan te stellen, kan het handig zijn om een (externe) functionaris aan te stellen die u altijd kunt benaderen voor informatie en advies.

 

1.4 De boetes kunnen hoger uitvallen.

– Als de Autoriteit Persoonsgegevens vaststelt dat u de privacyverordening niet naleeft, kan deze boetes opleggen. De AVG maakt het mogelijk om hogere boetes op te leggen: een percentage (%) van de omzet van een onderneming kan als boetebedrag worden opgelegd.

 

1.5 Is een BSN nog een bijzonder persoonsgegeven

– De privacyverordening kwalificeert een BSN niet als een bijzonder persoonsgegeven.

– Dit betekent echter niet dat de verwerking van een BSN vrij van waarborgen zal zijn: de privacyverordening biedt de nationale wetgever de mogelijkheid om specifieke voorwaarden op te stellen voor de verwerking van een BSN. Dit wordt door de Nederlandse wetgever gedaan middels een uitvoeringswet (een wet waarin de Nederlandse wetgever extra regels opstelt of regels nader vorm geeft). De Nederlandse wetgever wil – blijkens de conceptversie van de uitvoeringswet – specifieke voorwaarden opstellen voor het verwerken van een BSN. Wat de regels precies zullen zijn, wordt duidelijk als de uitvoeringswet definitief is geworden.

 

Laatst gewijzigd: 30 september 2017