Op 25 mei 2018 zal de Nederlandse Wet Bescherming Persoonsgegevens (WBP) vervangen worden door de Europese Algemene Verordening Gegevensbescherming (AVG). In plaats van 28 verschillende wetgevingen in de verschillende Europese landen zal er dan nog maar één gelden.
Wat gaat er veranderen?
Vanaf 25 mei 2018 moet iedereen zich aan de AVG houden. Tot die tijd blijft de WBP zoals we die nu kennen van toepassing. De Nederlandse wetten zullen formeel wel gelden maar worden zogezegd ‘overschreven’ door de Europese wetgeving.
De AVG versterkt de positie van de burger van wie gegevens worden opgeslagen. Zij krijgen nieuwe privacy rechten en de al bestaande rechten worden sterker.
Zo moet een persoon straks bewust een akkoord geven voor het vastleggen van data en moet u zeer specifiek en zo duidelijk mogelijk omschrijven wat er wordt vastgelegd en waarom. De persoon in kwestie moet zijn vastgelegde data altijd makkelijk terug kunnen vinden.
Ook als straks de AVG van toepassing is hebben organisaties/bedrijven die persoonsgegevens verwerken meer verplichtingen. Er wordt meer nadruk gelegd op de verantwoordelijkheden van organisaties om aan te kunnen tonen dat zij zich aan de wet houden.
Dit houdt in dat er een verantwoordingsplicht zit aan te komen waarbij een organisatie/bedrijf door middel van documenten moet kunnen aantonen dat zij de juiste maartregelen hebben genomen om aan de AVG te voldoen. Tegelijkertijd zal de AVG meer instrumenten bieden die hen zullen helpen de wet na te leven.
Wat zijn de consequenties?
Mocht het u niet lukken om de AVG na te leven dan bestaat de mogelijkheid dat u sancties worden opgelegd. Privacy waakhonden krijgen de bevoegdheid om boetes op te leggen tot een maximaal bedrag van 20 miljoen euro of 4% van de wereldwijde omzet die een organisatie produceert.
Naast de mogelijkheid van boetes kan de Autoriteit Persoonsgegevens (AP) organisaties op de vingers tikken. Zo kunnen ze organisaties verbieden verwerkingen uit te voeren of zelfs certificeringen (behaalde kwalificaties) in te trekken. Tevens kunnen zij u een dwangsom opleggen mocht u zich niet houden aan een bindende instructie van de AP.
Buiten alle boetes, dwangsommen en andere mogelijkheden hebben incidenten met persoonsgegevens ook nadelige gevolgen voor uw organisatie. Organisaties die niet zorgvuldig met privacygevoelige informatie omgaan krijgen veel negatieve aandacht. Reden genoeg dus om de aankomende wetgeving serieus aan te pakken.
Kunt u zich als organisatie hierop voorbereiden?
Ja, dat kan! De AVG is al op 25 mei 2016 in werking getreden. Maar de AVG zal pas op 25 mei 2018 daadwerkelijk ingaan. Er is dus een overgangsperiode om organisaties/bedrijven en toezichthouders de kans te geven zich voor te bereiden op de nieuwe wet.
De Autoriteit Persoonsgegevens heeft 10 stappen opgesteld die u op weg kunnen helpen met de voorbereidingen op de nieuwe Europese regels. Daarnaast publiceert de AP richtlijnen die bepaalde begrippen uit de AVG verduidelijken. Helaas is nog niet alles bekend en zal er in de loop van 2017 nog het een en ander behandeld en verduidelijkt worden.
Hoe nu verder?
Voor nu zal het zaak zijn om na te gaan of uw organisatie voldoet aan de eisen van de AVG. De verantwoordelijkheid ligt bij u zelf en u zult uw organisatie optimaal moeten voorbereiden en acties ondernemen op de komst van deze wet.
U kunt het best zo snel mogelijk starten!