Blog

Wat is de AVG?

Het lijkt wel alsof er een nieuwe millenniumbug is gevonden. Iedereen lijkt het wel te hebben over de AVG of de GDPR. Maar wat is het nu eigenlijk? En hoe verschilt de AVG van de huidige wetgeving, zoals de Wet bescherming persoonsgegevens/

Wat is de AVG?

AVG staat voor Algemene Verordening Gegevensbescherming, in het Engels ook wel bekend als de General Data Protection Act (vandaar: GDPR).

Wat is het doel van de AVG?

De verordening wordt gezien als de essentiële stap om de fundamentele rechten van burgers in de digitale eeuw te beschermen, en om het bedrijfsleven te faciliteren door de regels voor ondernemingen in de digitale interne markt te versimpelen.

Privacy was toch al geregeld?

De verordening is grotendeels niet nieuw. Veel concepten en beginselen zijn overgenomen uit de daarvoor al bestaande Privacy richtlijn. Die richtlijn was in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens. Die Wbp komt nu te vervallen. Ondanks de grote overeenstemming, is het effect van de AVG wel veel groter.

Wat staat er in de AVG?

De AVG bestaat uit maar liefst 99 artikelen, en wordt toegelicht met maar liefst 173 overwegingen. Die overwegingen geven de theorieën voor en de toelichting bij de verschillende artikelen. De overwegingen geven cruciale details voor de uitleg van de artikelen. In de praktijk zal je daarom de artikelen samen met de overwegingen moeten lezen.

De AVG is opgedeeld in 11 hoofdstukken:

  1. Algemene bepalingen;
  2. Beginselen;
  3. Rechten van de betrokkene;
  4. Verwerkingsverantwoordelijke en verwerker;
  5. Doorgiften van persoonsgegevens aan derde landen of internationale organisaties;
  6. Onafhankelijke toezichthoudende autoriteiten;
  7. Samenwerking en coherentie;
  8. Beroep, aansprakelijkheid en sancties;
  9. Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking;
  10. Gedelegeerde handelingen en uitvoeringshandelingen; en
  11. Slotbepalingen

privacyHoe verschilt de AVG van de bestaande wetgeving?

De AVG verschilt op een aantal punten van de Privacy richtlijn. Dit zal voor ondernemingen die in de EU opereren of die gegevens van betrokkenen in de EU verwerken als volgt een effect hebben:

  • de Verordening is rechtstreeks van toepassing. De richtlijn werd in iedere lidstaat afzonderlijk in lijn gebracht met nationaal recht – dit leidde tot verschil in uitleg. Met de Verordening is dit veel minder het geval (hoewel er nog altijd ruimte is voor lidstaten voor specifieke wetgeving. In Nederland hebben we daarvoor de Uitvoeringswet AVG).
  • De AVG is van toepassing op ondernemingen en organisaties die zijn gevestigd in de EU, maar ook voor ondernemingen en organisaties die buiten de EU zijn gevestigd maar persoonsgegevens verwerken van betrokkenen in de EU; Uit overweging 24 blijkt bijvoorbeeld dat het volgen van betrokkenen via het internet om hun persoonlijke voorkeuren te voorspellen de toepasselijkheid van de AVG al triggert. Iedere website die tracking cookies gebruik of een app die gebuikersinformatie verwerkt valt daardoor al onder de reikwijdte van de AVG.
  • De AVG legt verplichten op aan zowel verwerkingsverantwoordelijken (= kort gezegd, de organisatie die het doel en middelen van de verwerking vaststelt) als de verwerker (= de organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt; voorheen bekend als bewerker); Compliance heeft hierdoor echt een belangrijke focus gekregen onder de AVG.
  • Betrokkenen krijgen de controle over hun data. Het is een thema dat uit de hele AVG volgt: betrokkenen krijgen meer rechten om te bepalen wie wat met welke gegevens mag doen. Toestemming is bijvoorbeeld een grondslag voor de verwerking van persoonsgegevens, dat aan veel hogere vereisten moet voldoen dan voorheen. Toestemming is daarom niet altijd (meestal niet) een goede grondslag voor organisaties om de verwerking van persoonsgegevens op te baseren. Zo kan toestemming bijvoorbeeld niet worden gebundeld met algemene voorwaarden zonder duidelijk onderscheid te maken tussen het gebruik van persoonsgegevens en andere voorwaarden; kan toestemming altijd en gemakkelijk worden ingetrokken; dienen organisaties de betrokkene daarvan ook op de hoogte te stellen voordat ze toestemming verkrijgen; is toestemming vereisten in ruil voor goederen of diensten, zonder dat er een alternatief voor handen is, niet “vrij gegeven” en daarom onvoldoende; is voor kinderen onder de 16 jaar ouderlijke toestemming vereist;
  • Betrokkenen krijgen nieuwe en sterkere rechten, waardoor ze meer controle krijgen over hun data, waaronder door veel gedetailleerdere transparantieverplichtingen (o.a. categorieën van informatie, duidelijke en eenvoudige taal toegepast op de betrokkene); het recht op dataportabiliteit, beperken van verwerkingen, recht om vergeten te worden (vredegerecht), en verschillende rechten m.b.t. profilering);
  • Betrokkenen behouden verschillende bestaande rechten, zoals het recht op toegang tot persoonsgegevens, wijziging van persoonsgegevens, verwijdering van persoonsgegevens, recht om bezwaar te maken tegen de verwerking van persoonsgegevens. Verschil is dat deze rechten nu in principe zonder kosten mogen worden uitgeoefend.
  • Verantwoordingsplicht. Dit is wellicht de grootste en meest belangrijke wijziging. De verantwoordingsplicht houdt in dat de bedrijven en organisaties kunnen aantonen hoe ze voldoen aan de AVG en dat ze daarin transparant zijn. Dit houdt onder meer in dat ze een gegevensbeschermingsbeleid hanteren en maatregelen treffen om ervoor te zorgen dat verwerkingsactiviteiten voldoen aan de AVG; privacy by design en privacy by default; loggen van verplichtingen van verwerkingsverantwoordelijken en verwerkers; samenwerking met toezichthoudende autoriteiten;  gegevensbeschermingseffectbeoordelingen (mooi woord voor scrabble, ook wel bekend als data protection impact assessment of DPIA of PIA) voor verwerkingen die een specifiek risico voor individuen inhouden vanwege de aard of de omvang van de verwerking; voorafgaande consultatie met toezichthouders in zaken met een hoog risico; verplichte aanstelling van een functionaris gegevensbescherming (data protection officer, DPO) voor (onder meer) grote verwerkingsverantwoordelijken en verwerkers;
  • Nieuwe verplichtingen voor verwerkers, waaronder het vereiste dat verwerkers geen subverwerkers mogen inzetten zonder toestemming van de verwerkingsverantwoordelijke; het bijhouden van verwerkingsactiviteiten, implementeren van passende beveiligingsmaatregelen, soms het aanstellen van een functionaris gegevensbescherming, voldoen aan vereisten voor internationale gegevensverwerkingen, en het samenwerken met toezichthoudende instanties;
  • meldplicht datalekken; en last but not least
  • handhaving en risico’s bij noncompliance, zoals het recht op materiële en immateriële schadevergoeding voor betrokkenen, hoge boetes door toezichthouders, maar ook juridische remedies tegen beslissingen van toezichthouders.

Kortom: hoewel er een zekere overlap is met de bestaande wetgeving, zal de AVG zeker zijn effect hebben op verwerkingen door organisaties en bedrijven. Dat betekent niet dat de verwerking van persoonsgegevens onmogelijk wordt, maar je zal wel goed moeten aantonen dat en hoe je voldoet aan de AVG. En daar wordt iedereen beter van.

Gerelateerde berichten