Wat gaat de Algemene Verordening Gegevensbescherming voor u ...

De nationale privacywetten in de EU zijn gebaseerd op de Europese privacyrichtlijn uit 1995. Deze richtlijn werd vastgesteld toen internet nog in de kinderschoenen stond. De regels passen daarom niet meer in het huidige digitale speelveld met webwinkels, Social Media, Direct Marketing en Internetbankieren.

Per 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) daarom van toepassing. De huidige Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Vanaf die datum geldt in de hele EU dezelfde privacywetgeving. De Wet zorg voor:

• Een versterking en uitbreiding van de privacyrechten.
• Meer verantwoordelijkheden voor organisaties.
• Dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders. In Nederland is de toezichthouder Autoriteit Persoonsgegevens. Deze Autoriteit kan een maximale boete opleggen van 20.000.000 of 4% van de jaaromzet.

Praktische invulling van de wet

Stapsgewijs kan de organisatie als volgt te werk gaan:

1. De organisatie brengt in kaart over welke persoonsgegevens zij beschikt. Ook namen van contactpersonen van leveranciers en afnemers zijn persoonsgegevens. Dat wordt vastgelegd in een “informatiestroomregister”.
2. De organisatie voert een DPIA uit. Een audit waaruit blijkt wat al goed is en waar knelpunten zitten. De knelpunten worden benoemd in een actieplan. In het actieplan worden ook de technische en organisatorische maatregelen benoemd om de knelpunten op te lossen.
3. Vaststellen of zij een functionaris voor Gegevensbescherming moet aanstellen. Dat is het geval indien:
   1. De organisatie een overheidsorgaan is.
   2. Zij regelmatig en stelmatig op grote schaal observaties uitvoert (beveiligingsbedrijven).
   3. Zij op grote schaal specifieke gegevens verwerkt (voor ‘normale’ organisaties verboden).
4. Ook al is de organisatie daartoe niet verplicht, het kan heel nuttig zijn om een Functionaris als waakhond aan te stellen. Bij een overtreding liegen de boetes er niet om.
5. Indien de organisatie >250 medewerkers heeft, optuigen van een “register van verwerkingsactiviteiten”. Dat zal vrijwel altijd digitaal en softwarematig ingericht zijn.