EU AVG 2018: Dit is wat er precies zal veranderen

De Europese Algemene Verordening Gegevensbescherming is een juridische richtlijn van de Europese Unie. De richtlijn dient ter harmonisering van de gegevensbescherming wetten in de verschillende EU-lidstaten, zodat in alle landen hetzelfde beschermingsniveau voor persoonsgegevens geldt. Tot nu toe heeft vrijwel elke lidstaat zijn eigen wetgeving over de bescherming van de persoonlijke levenssfeer en gegevensbeveiliging. Met de uniforme AVG komt hier echter verandering in. De nieuwe AVG zal een totale lengte van 99 artikelen bevatten.

De Algemene Verordening Gegevensbescherming is al op 24 mei 2016 in werking getreden, maar geldt daadwerkelijk vanaf 25 mei 2018. Tot dan kunt u zich naar de Nederlandse Wet bescherming persoonsgegevens richten. Deze tweejarige tussenruimte dient als overgangsperiode voor de betrokken organisaties en toezichthouders.

De Wbp zal per 25 mei 2018 vervallen. De nieuwe richtlijn scherpt de bescherming van de personen van wie de gegevens worden verwerkt nog sterker aan. Bestaande rechten worden uitgebreid en nieuwe privacyregels toegevoegd. Daarnaast hebben degenen die de persoonsgegevens verwerken meer verantwoordelijkheid en moeten ze daadwerkelijk aan kunnen tonen dat ze zich aan de wet houden. Bedrijven moeten zich aan de documentatieplicht van de AVG houden. Alle Europese privacytoezichthouders hebben vanaf mei dezelfde, stevige bevoegdheden en kunnen boetes tot 20 miljoen euro opleggen.

Voor politie en justitie gelden naast de AVG ook een Richtlijn gegevensbescherming politie en justitie. Deze vindt u hier.

Het doel van de AVG is om de wetgeving binnen de Europese Unie te harmoniseren en vereenvoudigen. Dit komt zowel de consumenten als het bedrijfsleven ten goede. De eindgebruikers kunnen er in de toekomst zeker van zijn dat zij zich binnen de Europese Unie op hetzelfde rechtsgebied als in Nederland zullen kunnen bewegen en dat zij niet langer door verschillende rechten in de verschillende lidstaten in verwarring zullen worden gebracht. Bedrijven die internationaal handel drijven, profiteren van de uniforme wettelijke vereisten en kunnen dus klanten uit verschillende landen op dezelfde manier behandelen. Dit vereenvoudigt de interne processen en verhoogt de efficiëntie.

Vanaf mei 2018 hoeven bedrijven alleen een functionaris voor gegevensbescherming aan te stellen als het bedrijf de geautomatiseerde verzameling en verwerking van gegevens als kernactiviteit voor de uitvoering van het bedrijfsdoel nastreeft. Veel, of vrijwel alle, online bedrijven zullen daardoor rechtstreeks worden getroffen. De nieuwe voorschriften zijn opgenomen in artikel 35 van de EU-AVG.

Ja, u bent inderdaad verplicht om een contract voor de verwerking van ordergegevens te ondertekenen. Informatie over het contract vindt u in artikel 28 van de EU-AVG. Belangrijk is dat het contract schriftelijk moet worden opgesteld, hoewel dit ook in elektronische vorm kan worden gedaan. Het doel van het contract voor de verwerking van persoonsgegevens is om de overdracht van persoonsgegevens te regelen. Dit is van essentieel belang voor de bescherming van de persoonlijke levenssfeer van de betrokkenen en voor de algemene bescherming van persoonsgegevens. Alleen op die manier begrijpt men precies aan wie, wanneer en wat voor soort persoonlijke gegevens zijn doorgegeven.

Ja, u heeft de verplichting om technische en organisatorische maatregelen te definiëren en beheren. Meer hierover vindt u in artikel 32 van de AVG.

De Algemene Verordening Gegevensbescherming is van toepassing op alle personen en bedrijven die persoonsgegevens verwerken. In deze zin betekent dit de overdracht, opslag of verwerking van persoonsgegevens. Deze verordening is daarom van toepassing op zowel cloudaanbieders als niet-cloud aanbieders die persoonsgegevens van EU-burgers verwerken.

Met de Europese AVG zullen in de toekomst sancties van toepassing zijn die voor veel bedrijven aanzienlijke gevolgen kunnen hebben. Vanaf 25 mei 2018 zullen inbreuken op de gegevensbescherming strenger worden bestraft. Deze straffen worden in artikel 83 gereguleerd. Niet-naleving van de Algemene Verordening Gegevensbescherming kan leiden tot boetes van 20 miljoen euro of 4% van de wereldwijde jaaromzet, indien hoger. Een onderneming kan bijvoorbeeld worden veroordeeld tot 2% van de jaarlijkse wereldwijde omzet wegens het niet in de juiste volgorde documenteren van dossiers, het niet in kennis stellen van de toezichthoudende autoriteiten en het niet verstrekken van voldoende informatie aan de betrokkenen, of het niet uitvoeren van een effectbeoordeling. Met effectbeoordeling wordt een schatting bedoeld die verschillende scenario’s vaststelt, zoals het verlies van gegevens, en deze voor bedrijven en klanten uitwerkt.

Bedrijven moeten bijvoorbeeld hacks en datalekken doorgeven aan de Autoriteit Persoonsgegevens (ACM). Met hun handige 10-stappenplan bereidt u zich correct voor op de nieuwe privacywet.

Persoonsgegevens zijn alle gegevens die kunnen worden gebruikt om een natuurlijke persoon te identificeren of te definiëren. De naam, geboortedatum en adres zijn alle persoonlijke gegevens die een persoon en zijn privacy definiëren. Het IP-adres is volgens de gerechtelijke uitspraak ook een persoonlijke gegeven. Hoewel het niet direct een persoon bepaalt, kan de persoon worden achterhaald door de gegevens te vergelijken met die van de internetprovider. Het IP-adres XYZ kan dus aan een bepaalde persoon worden toegewezen. Om de privacy niet te beperken genieten persoonsgegevens een speciale bescherming. Deze bescherming van de persoonlijke levenssfeer en persoonsgegevens is vastgelegd in de Algemene Verordening Gegevensbescherming.

Allereerst het goede nieuws: er zijn geen fundamentele veranderingen. Natuurlijk vinden er enkele kleine wijzigingen plaats, maar geen grote wijzigingen.

In plaats van de Wet bescherming persoonsgegevens (Wbp) zal de Europese Algemene Verordening Gegevensbescherming (EU-AVG) in de toekomst van toepassing zijn. Het is echter belangrijk op te merken dat de Europese Unie nog steeds ruimte biedt voor een nationale interpretatie biedt. In Nederland vervalt de Wbp, in Duitsland wordt bijvoorbeeld de bestaande BDSG (Bundesdatenschutzgesetz) uitgebreid en heersen er vanaf mei 2018 twee wetten.

De richtlijn MVR inzake misleidende reclame en vergelijkende reclame zal ook in de toekomst van toepassing blijven. Dit is belangrijk omdat het regelt aan welke criteria moet worden voldaan om persoonsgegevens op een wettelijk conforme manier te verzamelen en om ervoor te zorgen dat deze later commercieel kunnen worden gebruikt. De MVR verandert niet met AVG.

1. Heeft u een contract afgesloten met uw serviceprovider (hoster, e-mailmarketing software, tracking software, enz.) voor de verwerking van de ordergegevens?
2. Voldoet de dienstverlener aan de wettelijke eisen? Kan het bedrijf dit bewijzen met een gegevensbeschermingscertificaat?
3. Heeft u een bewijs van toestemming (e-mailadres, datum, tijd) voor de nieuwsbrief verzending van alle nieuwsbrief ontvangers?
4. Heeft u de ontvanger van de nieuwsbrief op de hoogte gesteld van de verklaring gegevensbescherming?
5. Is uw privacyverklaring actueel?
6. Staat het gedocumenteerd aan welke onderaannemers u persoonlijke gegevens doorgeeft?
7. Weet u waar uw contactgegevens vandaan komen?

Bij het genereren van nieuwe nieuwsbrief ontvangers dient men zich te houden aan de eisen voor nieuwsbrief aanmeldingen. Wanneer u een nieuwsbrief aanmeldformulier op uw website heeft, is het aan te raden om onder de nieuwsbrief aanmeldingsknop een korte notitie te schrijven die de gebruiker informeert over wat er gebeurt met de gegevens, alsmede een links naar de gegevensbeschermingsverklaring. Dit kan bijvoorbeeld als volgt zijn:”Uw e-mailadres wordt doorgestuurd naar nieuwsbrief software Newsletter2Go [link naar Newsletter2Go] voor technische verzending. Zie voor meer informatie ons Privacybeleid [link naar het Privacybeleid].