Leestijd: 5 minuten

AVG

De Algemene Verordening Gegevensbescherming (of in het kort AVG) is recentelijk aangenomen en treedt op 25 mei 2018 in werking. Door de snelle technologische ontwikkelingen zijn er veel veranderingen in de economie en het maatschappelijk leven, die een krachtig en meer coherent kader voor gegevensbescherming vereisen. Ook dienen de strengere regels volgens de Europese wetgever gesteund te worden door strenge handhaving, om zo het vertrouwen te waarborgen dat nodig is voor de ontwikkeling van de interne markt.

Harmonisatie

Om een effectieve interne markt te creëren is een level playing field van rechtsregels onder de lidstaten nodig. Europa harmoniseert daarom steeds meer regels. Dat wil zeggen dat in steeds grotere mate dezelfde regels in alle lidstaten gelden. Dit doet Europa zowel indirect met richtlijnen (die door de lidstaten in Nationale wetgeving worden omgezet) als – in mindere mate – direct met verordeningen (die rechtstreeks in elke lidstaat gelden). Dit laatste is weliswaar de meest effectieve vorm van wetgeving, maar kan enkel plaatsvinden wanneer de neuzen van alle lidstaten dezelfde kant op staan. Niet bij alle thema’s lukt dat. Eén van de thema’s waarbij dat Europa historisch gezien altijd wat gemakkelijker afging is privacy.

Privacy

Na de Tweede Wereldoorlog werd Europa gesticht en werden er internationale verdragen gesloten om grondrechten te waarborgen. Ook het privacyrecht werd hierin meegenomen. In de jaren ’80 van de vorige eeuw begon automatisering op te komen en werd via de Raad van Europa, niet te verwarren met onderdelen van de Europese Unie, het Databeschermingsverdrag gesloten. Dit verdrag stelde de norm dat iedere verdragsluitende staat minimaal een aanvaardbaar beschermingsniveau moet bieden en, vanwege het toenemende gebruik van computers en telecommunicatiemiddelen, stelde het extra eisen aan het exporteren van gegevens naar andere landen. Ook de Europese Unie vaardigde een aantal Privacyrichtlijnen uit, waarvan die uit 1995 uitmondde in onze Wet bescherming persoonsgegevens (Wbp).

Wettelijke uitgangspunten

De hiervoor genoemde regels vormen ons huidige algemene privacyregime. En dit kader geeft ons, kort samengevat, de volgende uniforme principes:

  1. Wettelijke grondslag: verwerkingen van persoonsgegevens mogen alleen plaatsvinden wanneer daarvoor a) ondubbelzinnige toestemming door betrokkene is verleend, dan wel b) noodzakelijk zijn voor een aantal limitatief opgesomde belangen (waaronder de zeer open norm “gerechtvaardigd belang”).
  2. Doelbinding: persoonsgegevens mogen enkel verwerkt worden voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet zomaar voor andere doeleinden.
  3. Dataminimalisatie: er mogen niet meer persoonsgegevens verwerkt worden dan noodzakelijk.
  4. Passende beveiliging: verwerkers van persoonsgegevens dienen passende technische en organisatorische maatregelen te nemen om de verwerking te beveiligen.

Veranderingen op komst

Hoewel er voor de betrokkenen, van wie persoonsgegevens worden verwerkt, er naast het geïntroduceerde ‘recht op dataportabiliteit’ en het ‘recht op vergetelheid’ hier en daar wat extra waarborgen zijn geformuleerd, zijn de meeste wijzigingen voelbaar aan de kant van diegenen die persoonsgegevens verwerken.

Voor de verwerkers van persoonsgegevens verandert er namelijk een hoop, hoewel de uitgangspunten van het huidige privacykader worden voortgezet. In de basis wordt door de AVG een grotere mate van accountability vereist en is meer gericht op de risico’s van gegevensverwerkingen. Op ieder moment moet de verantwoordelijke over de gegevensverwerking kunnen aantonen dat passende maatregelen zijn genomen, dat van tevoren goed is nagedacht over hoe de verwerkingen plaatsvinden en dat er regelmatig controles (audits) worden uitgevoerd.

Voorbereiding

Niets doen is geen optie. Organisaties moeten worden voorbereid op de werking van de AVG. De boetes die geriskeerd worden zijn enorm. Een goede voorbereiding begint bij het volgen van deze cyclus over de AVG, waarbij per onderwerp wordt stilgestaan wat dit betekent voor uw organisatie. Uiteraard dient NORD u graag van advies over dit onderwerp.

Geplaatst op 27 september 2016 door Koen Konings