Wet bescherming persoonsgegevens: wat gaat er veranderen?

Alle bedrijven die gevestigd en/of actief zijn in de Europese Unie moeten vanaf 25 mei 2018 voldoen aan de strenge nieuwe Europese wet bescherming persoonsgegevens: de Algemene verordening gegevensbescherming (AVG). Maar wat gaat er allemaal veranderen?

Per 25 mei 2018 moeten alle bedrijven die gevestigd en/of actief zijn in de Europese Unie voldoen aan de strenge nieuwe Europese wet bescherming persoonsgegevens: de Algemene verordening gegevensbescherming (AVG). In het engels bekend als General data protection regulation (GDPR).

Het begrip 'persoonsgegevens' wordt opgerekt

Sinds 1 september 2001 is de Wet bescherming persoonsgegevens (Wbp) de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens. Sindsdien is onze wereld enorm gedigitaliseerd. Als gevolg hiervan is er een toename in het (online) verzamelen en delen van gegevens, in de risico’s van cybercrime en wij als burgers vragen ons steeds vaker af wat er met onze persoonsgegevens wordt gedaan.
Europa wil met de nieuwe wet zijn burgers beschermen tegen ongewenst gebruik van persoonsgegevens. Het begrip persoonsgegevens wordt in de nieuwe wet dan ook flink verruimd: naast naw-gegevens vallen ook gegevens gekoppeld aan IP-adressen, e-mailadressen, cookies en dergelijke onder de wet. Er zullen meer verplichtingen gaan gelden dan bij de huidige Wbp en de Meldplicht Datalekken.

Wat zijn de belangrijkste veranderingen?

De nieuwe wet schrijft voor dat organisaties alleen onder zeer strikte voorwaarden persoonlijke informatie mogen verzamelen en bewaren. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen van de personen: per onderwerp en soort gebruik (inschrijvingen via websiteformulieren, e-mail, nieuwsbrief, etc). En het dient voor de personen net zo makkelijk te zijn om hun toestemming in te trekken. Organisaties dienen alle verwerkingen van persoonlijke gegevens te documenteren in een register. In dit register moet onder andere staan welke persoonsgegevens er verwerkt worden, voor welke doeleinden en hoe deze gegevens beveiligd worden.
Als gevolg hiervan moeten organisaties technische en organisatorische maatregelen treffen om hun data te beschermen tegen onrechtmatig gebruik, dataverlies en -diefstal. U kunt hierbij denken aan passende (ICT)-beveiliging(en), een passend intern privacybeleid en software die voldoet aan de eisen van de nieuwe wetgeving (privacy by design). In het geval van datalekken zijn organisaties verplicht om hier binnen 72 uur melding van te doen bij de autoriteit Persoonsgegevens en aan de personen wiens persoonsgegevens het betreffen. In tegenstelling tot de huidige privacywet (Wbp), stelt de AVG het verplicht om alle datalekken intern te documenteren, óók datalekken die niet gemeld hoeven te worden.

Het niet naleven van de wet AVG resulteert in gigantische boetes

De maximale boete per overtreding van de huidige privacywet bedraagt op dit moment € 900.000,-. Dit verandert met de komst van de wet AVG naar € 20 miljoen of 4% van de wereldwijde jaaromzet van de betreffende organisatie. Bovendien komt er een Europees Comité dat toeziet op de juiste toepassing van de wet AVG.

Waar komt de wet AVG in het kort op neer en hoe kunt u zich voorbereiden?

  1. U dient exact te weten welke bestanden met persoonsgegevens uw organisatie op dit moment in beheer en bezit heeft.
  2. U dient exact van elk aspect van de persoonsgegevens afzonderlijk te kunnen aangeven hoe u deze gegevens heeft verkregen en waarom u deze gegevens opslaat.
  3. U dient exact te weten welke rechten de personen hebben van wie u de gegevens in bezit heeft.
  4. Wanneer u een product of dienst ontwikkelt, dan moet er ‘privacy by design’ worden toegepast, oftewel: u of uw softwareleverancier moet technische en organisatorische maatregelen nemen gedurende het gehele proces betreft de beveiliging van gegevens en het waarborgen en inbouwen hiervan.
  5. Projecten met hoge risico’s op lekken moeten vooraf een inschatting van privacy risico’s krijgen, een zogenaamde Privacy Impact Analyse (PIA).
  6. U mag persoonsgegevens alleen maar gebruiken voor het doel waar de informatie oorspronkelijk voor verzameld is. Er moet een ‘juridische grondslag’ zijn.
  7. Controleer en verbeter uw interne privacybeleid en uw privacyverklaring conform de richtlijnen van de wet AVG.
  8. Zorg voor heldere interne protocollen en procedures rondom datalekken zodat duidelijk is welke stappen er genomen moeten worden indien er zich een incident voordoet.
  9. U dient de overeenkomsten die u met uw leveranciers én klanten heeft te controleren en deze waar nodig aan te passen. Binnen Mediamoose zijn wij tevens bezig om onze contracten te herzien met oog op de wet AVG en waar nodig houden wij onze klanten hiervan op de hoogte.