Op 25 mei 2018 gaat de Algemene verordening gegevensbescherming (AVG) in. In het Engels: de General Data Protection Regulation (GDPR). En dat is best een dingetje, want voor het eerst is dan in heel Europa dezelfde privacywetgeving van kracht. We vertellen je alles wat je over de AVG moet weten.
First things first: de huidige privacywetgeving. Wat is daar mis mee? Vraag je je misschien af. Op Europees niveau kunnen we daar kort over zijn: er ís geen wetgeving. Hoewel er in 1995 weliswaar een Europese privacyrichtlijn is opgesteld, is het nooit tot een echte wet gekomen. Daarom maakte ieder EU-land zijn eigen privacywet. In Nederland werd dat de Wet bescherming persoonsgegevens (Wbp), die ervoor zorgt dat al onze persoonlijke gegevens veilig worden gebruikt. Maar deze wet vervalt zodra de AVG ingaat.
Ouderwets
Dat er nu een nieuwe wet komt, heeft te maken met het veranderende digitale landschap. De huidige Europese privacywetten, die dus per land verschillen, zijn geschreven op basis van de Europese privacyrichtlijn. Je kunt je vast voorstellen dat een richtlijn van meer dan twintig jaar oud er een heel andere kijk op het internet op nahoudt dan wij nu. In 1995 kon niemand voorzien dat we op zo’n grote schaal persoonsgegevens zouden gaan verwerken. Met andere woorden: de huidige Europese privacywetten zijn verouderd.
Veranderingen
De AVG is volledig toegespitst op onze huidige privacysituatie. De wet lijkt erg op zijn voorganger, de Wbp, maar is op sommige fronten net wat grondiger. Dit zijn wat ons betreft de vier belangrijkste veranderingen:
1. De term ‘persoonsgegevens’ wordt breder getrokken. Daardoor vallen ook gegevens als IP-adressen en cookies onder de wet. Hetzelfde geldt voor de zogenaamde ‘bijzondere persoonsgegevens’. Nu zijn dat nog zaken als het BSN en religie, maar straks komen daar ook DNA-gegevens en vingerafdrukken bij.
2. Bedrijven moeten kunnen aantonen dat ze toestemming van hun klanten hebben om hun persoonsgegevens te verwerken. En die toestemming moeten ze op een heldere, begrijpelijke manier aan hun klant vragen. Daarnaast hebben bedrijven de plicht om te laten zien dat ze ‘behoorlijk en zorgvuldig’ met de persoonsgegevens van hun klanten omgaan.
3. Sommige bedrijven moeten een Functionaris voor de Gegevensbescherming (FG) of Data Protection Officer (DPO) aanstellen. Dat geldt voor overheidsinstellingen, organisaties die hoofdzakelijk belast zijn met het doen van verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen, en organisaties die hoofdzakelijk belast zijn met het op grote schaal verwerken van bijzondere gegevens. Een FG of DPO is iemand binnen het bedrijf die toezicht houdt op de manier waarop persoonsgegevens worden verwerkt.
4. Burgers krijgen het recht om vergeten te worden. In de Wbp hadden ze al het recht op correctie en verwijdering, maar dat ging vooral om onjuiste, onvolledige of irrelevante gegevens. Het recht op vergetelheid wil zeggen dat burgers bedrijven kunnen vragen om hun gegevens volledig te wissen. Bijvoorbeeld als het bedrijf de gegevens niet meer nodig heeft, of als de burger zijn toestemming om de gegevens te gebruiken intrekt.
Klaar voor de AVG?
Een goed privacy- en informatiebeveiligingsbeleid was eigenlijk al een vereiste voor ieder bedrijf. Met de komst van de AVG wordt dat nog belangrijker. Bovendien moeten ook zzp’ers en kleine organisaties vanaf 25 mei kunnen aantonen dat ze verantwoord omgaan met persoonsgegevens. Ben jij klaar voor de AVG? Hier geven we je zes tips waarmee je je informatiebeveiliging naar een volgend niveau kunt brengen.
Het bericht De nieuwe privacywetgeving: dit moet je weten verscheen eerst op NOVI Hogeschool.