Op 24 mei 2016 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze verordening zorgt ervoor dat in alle landen van de Europese Unie dezelfde regels gaan gelden op het gebied van privacy. Organisaties in de publieke en private sector krijgen twee jaar de tijd om een privacyfunctionaris aan te stellen en aan de privacyverordening te gaan voldoen.
Privacyverordening vervangt Nederlandse wetgeving
Vorige week is de Algemene Verordening Gegevensbescherming gepubliceerd in het Publicatieblad van de Europese Unie. De privacyverordening treedt in werking op 24 mei 2016 en is van toepassing vanaf 25 mei 2018. Alle publieke en private organisaties die persoonsgegevens verwerken moeten uiterlijk dan aan de privacyverordening voldoen.
De verordening heeft een rechtstreekse werking, wat betekent dat lidstaten de verordening niet eerst om hoeven te zetten in nationale wetgeving. De verordening vervangt de Nederlandse Wet Basisregistratie Personen (Wet BRP), de Wet Bescherming Persoonsgegevens (Wbp) en de Europese richtlijn uit 1995. Aan de verordening is vier jaar gewerkt.
Betere bescherming privacy van burgers
De privacyverordening omvat meer onderwerpen en is strenger dan de huidige regelgeving. Het geeft burgers meer rechten en duidelijkheid over wat er met hun gegevens gebeurt. Door middel van privacyverklaringen moeten zij geïnformeerd worden op welke wijze hun gegevens worden verwerkt. Daarnaast is voortaan expliciete toestemming van ouders nodig om de persoonsgegevens van kinderen tot en met dertien jaar te mogen verwerken.
Burgers krijgen zowel het recht op “dataportabiliteit” (alle gegevens kunnen meenemen naar een andere organisatie) als het recht om “vergeten te worden” (verwijdering van alle gegevens). De verantwoordelijke organisatie krijgt daarbij ook de plicht om de gegevens te laten verwijderen bij andere organisaties, aan wie de gegevens ooit zijn doorgegeven. Onder persoonsgegevens vallen bijvoorbeeld ook zakelijke e-mailadressen en telefoonnummers.
Strengere regels en zwaardere sancties
Alle organisaties die op grote schaal persoonsgegevens verwerken, zijn verplicht een privacyfunctionaris aan te stellen en een privacy-administratie bij te houden. De functionaris moet toezien op het juist en volledig toepassen van de privacyverordening. Van bedrijfsprocessen moet volgens de verordening worden gedocumenteerd hoe met persoonsgegevens wordt omgegaan. Bij gegevens moet worden vastgelegd hoe daarvoor toestemming verkregen is.
Organisaties krijgen meer duidelijkheid over hoe ze mogen omgaan met persoonsgegevens, maar daar tegenover staan zwaardere sancties en strengere eisen aan de ontwikkeling en ingebruikname van informatiesystemen. Vooruitlopend op de inwerkingtreding van de privacyverordening zijn bepaalde regels in Nederland al van toepassing, zoals het verplicht gebruik van een bewerkersovereenkomst (art. 14 Wbp) en het verplicht melden van een datalek (art. 34a lid 1 Wbp).
Gerelateerde nieuwsberichten: