Ga naar hoofdinhoud

Privacybescherming volgens de Algemene verordening gegevensbescherming

Privacybescherming volgens de Algemene verordening gegevensbescherming.

De laatste jaren is er veel aandacht geweest voor privacybescherming. In Nederland kennen wij nu nog de Wet Bescherming Persoonsgegevens waarin de regels voor het verwerken en opslaan van privacygevoelige informatie zijn opgenomen. Deze wet wordt binnenkort vervangen.

Per 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt vanaf dat moment niet meer en wordt door deze AVG vervangen. De AVG zorgt onder meer voor: versterking en uitbreiding van privacyrechten, meer verantwoordelijkheden voor organisaties, dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

Door de algemene verordening gegevensbescherming (AVG) krijgen mensen vanaf 25 mei 2018 meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun (vertrouwelijke) persoonsgegevens. In de AVG wordt bijvoorbeeld omschreven wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te mogen verwerken. Ook moeten organisaties die persoonsgegevens verwerken kunnen bewijzen dat zij geldige toestemming hebben gekregen en is het niet meer nodig om te bewijzen dat toestemming niet is gegeven.

Een andere verbetering is dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

Naast versterking van de bestaande rechten krijgen mensen door de AVG ook een aantal (nieuwe) aanvullende rechten. Nu bestaat al het recht om vergeten te worden (waarover ik eerder een artikel schreef), maar dat is nog vrij beperkt. Onder de AVG wordt het recht om vergeten te worden uitgebreid en hebben mensen niet alleen het recht om een organisatie te vragen hun persoonsgegevens te verwijderen, maar kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen. Dat is een flinke verbetering aangezien het nu niet of nauwelijk te achterhalen is wie de gegevens allemaal in zijn bezit heeft gekregen.

Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit. Zo kunnen zij hun gegevens controleren en makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

Deze nieuwe regels hebben voor organisaties (bedrijven) die persoonsgegevens verwerken grote gevolgen. Alle bedrijven die gegevens van hun klanten opslaan verwerken persoonsgegevens in de zin van de AVG en moeten dus vanaf 25 mei 2018 aan alle regels uit de AVG voldoen. Vraagt iemand dan bijvoorbeeld om zijn gegevens te wissen? Dan moet daaraan uiterlijk binnen een maand gehoor worden gegeven. Voor het verwijderen van de gegevens mogen geen kosten worden gerekend. Heeft de organisatie in kwestie de betreffende persoonsgegevens aan derde partijen verstrekt? Dan moet de organisatie ook die ontvangers informeren dat de persoonsgegevens moeten worden gewist. Dat kan een behoorlijke administratieve last opleveren.

Overtreedt een organisatie straks de AVG? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Wilt u meer weten over de AVG en de gevolgen daarvan voor uw organisatie? Neem dan gerust vrijblijvend contact op met Christel van den Reek via vandenreek@markadvocaten.nl.

 

Back To Top