Wellicht heeft u al een en ander gelezen en gehoord over de nieuwe Europese privacywetgeving oftewel de ‘Algemene Verordening Gegevensbescherming’ afgekort de ‘AVG’ of misschien wel populairder de ‘GDPR’ wat staat voor General Data Protection Regulation. Deze Europese verordening gaat over de ‘bescherming van natuurlijke personen’ en iedere organisatie krijgt daarmee te maken. Ook die van u.
Op 25 mei 2018 is het zover. Dan treedt de AVG inwerking en moet uw organisatie “AVG-proof” zijn. Maar waar gaat het nu echt om?
Belangrijk is om de achtergrond van de wetgeving te begrijpen. Het gaat om een Europese verordening. Dat betekent dat alle EU-landen per 25 mei 2018 dezelfde privacyregels zullen hebben. Wel mogen lidstaten van de EU nog op nationaal zelf een aantal zaken regelen, maar dat is veel beperkter dan onder de huidige privacywetgeving. Nederland heeft om meerdere redenen gekozen om de AVG zo ‘beleidsneutraal’ toe te passen. Wij hebben op dit moment te maken met de Wet bescherming persoonsgegevens (Wbp). De Wbp wordt vervangen door de Uitvoeringswet AVG. Het wetsvoorstel Uitvoeringswet AVG is op 13 maart 2018 aangenomen door de tweede kamer.
Hoewel de media doen overkomen dat er ontzettend veel is gewijzigd op het gebied van privacy blijft in ‘grote lijnen’ veel onder de AVG hetzelfde.
Daarentegen legt de AVG wel méér verantwoordelijkheid bij uw organisatie en heeft u een wettelijke verantwoordingsplicht (accountability) op grond waarvan u een belangrijke bedrage levert aan de bescherming van het grondrecht van mensen op privacy. Dit houdt onder andere in dat iedere onderneming die persoonsgegevens verzamelt of anderszins verwerkt vanaf dat moment aantoonbaar moet voldoen aan de AVG.
Belangrijkste aspect om “AVG-proof” krijgen is bewustwording binnen de organisatie.
De focus van de AVG ligt in feite op het teruggeven van de controle aan de betrokkenen van wie de persoonsgegevens worden verwerkt. Transparantie over de wijze en omvang van de verwerking van persoonsgegevens is essentieel onderdeel. Dat betekent dat in feite uw organisatie via een privacy statement of op een andere wijze in eenvoudige taal moet kunnen uitleggen wat uw organisatie met de persoonsgegevens doet.
In dat kader is beveiliging van de persoonsgegevens tegen verlies of onrechtmatige toegang een van de speerpunten. Dat houdt niet alleen in dat de IT-beveiliging nog eens goed onder de loep moet worden genomen, maar ook dat gekeken moet worden welke (IT) leveranciers voor uw organisatie de persoonsgegevens verwerken en of met die organisaties schriftelijke afspraken zijn gemaakt over de verwerking.
Nieuw is eveneens dat alle organisaties een verwerkingsregister moet bijhouden. Uiteraard bestaat een MKB-uitzondering maar in de praktijk lopen organisaties er toch tegen aan dat zonder een register het lastig is om te kunnen voldoen aan alle andere verplichtingen zoals het tijdig melden van datalekken of het doen van een data protection impact assessment, omdat men gewoon nog niet goed in kaart heeft gebracht waar de persoonsgegevens allemaal worden verwerkt en door wie.
De grootste wijziging is natuurlijk dat de boetes op overtreding van de AVG ontzettend hoog zijn en dat een overtreding al in een klein hoekje zit. Boetes kunnen maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet bedragen. Dat is ook de reden van de algehele media paniek.
Moet u in paniek raken? Wij denken van niet. Moet u iets aan uw organisatie veranderen? Zeker weten. Al met al een heleboel werk aan de winkel. Maar niet getreurd, organisaties die het veranderingsproces pragmatisch aanpakken hebben juist nu de kans om de concurrentie ver achter zich te laten. En daar zijn wij als advocaten toch voor?
Advocaat & Partner