In 1995, in een tijdperk waarin het internet debuteerde, is de huidige Europese privacyrichtlijn vastgesteld.[1] Deze richtlijn biedt in de basis wel enige bescherming, maar in het digitale tijdperk is de privacy problematiek een stuk complexer geworden. In de afgelopen 20 jaar evolueerde het internet tot het handelsmedium bij uitstek. Dat intensievere gebruik betekent ook dat meer gegevens online worden gedeeld en de privacywetgeving kon dus wel een update gebruiken. De invoering van de AVG is het antwoord hierop.
De AVG richt zich op drie pijlers:
- In heel de Europese Unie dezelfde privacywetgeving;
- De privacy rechten van klanten en personeel worden versterkt en uitgebreid; en
- Meer verantwoordelijkheden voor organisaties die persoonsgegevens verzamelen.
In dit blog stippen wij de belangrijkste veranderingen aan.
Versterking en uitbreiding van de privacy rechten
De AVG heeft een ruimere reikwijdte waardoor meer verzamelde gegevens als ‘persoonsgegevens’ kwalificeren en dus onder de privacy verordening vallen. Daarnaast waarborgt de AVG dat er alleen noodzakelijke persoonsgegevens mogen worden bewaard gedurende een relevante termijn. Bewaarde persoonsgegevens zullen dus sneller moeten worden vernietigd.
Klanten krijgen meer controle over de (online) verwerking van hun persoonsgegevens. Bedrijven worden verplicht om, kort samengevat, in eenvoudige taal in een privacyverklaring toe te lichten welke persoonsgegevens zij verzamelen, op welke manier deze persoonsgegevens worden verzameld en hoe klanten inzicht kunnen krijgen in de verzamelde persoonsgegevens. Klanten moeten ook de mogelijkheid krijgen om hun gegevens te laten vernietigen of te laten doorsturen of beschikbaar te stellen in een gewenst dataformaat.
Uitbreiding verantwoordelijkheden voor organisaties
Bedrijven krijgen meer verantwoordelijkheden zowel intern als extern. Online handeldrijven brengt namelijk ook risico’s met zich mee. Zo bestaat het gevaar op een datalek of een hack. Bedrijven worden verplicht om adequate veiligheidsmaatregelen te nemen en moeten zelfs kunnen aantonen dat deze maatregelen correct zijn geïmplementeerd. Daarnaast moeten bedrijven ook registreren welke gegevens verwerkt worden en voor welke doeleinden. Dat zijn wel de belangrijkste verschillen met de huidige privacywetgeving.
Intern moeten bedrijven ervoor zorgen dat alleen daartoe bevoegd personeel toegang heeft tot het verwerken, bewaren of vernietigen van persoonsgegevens. Bedrijven moeten hun personeel dus duidelijk instrueren en, indien nodig, op bijscholingscursus sturen.
Sommige bedrijven betrekken diensten van derden om persoonsgegevens te verwerken of te bewaren, zoals bijvoorbeeld clouddiensten van Microsoft of IBM. In dat geval is een ‘Verwerkersovereenkomst’ vereist tussen het faciliterende bedrijf en de afnemer. Als een bedrijf gebruikt maakt van derden in dat kader, moet vooraf toestemming worden verkregen van de klant.
Ook het aanstellen van een privacy officer is nieuw en verplicht voor bedrijven die grote hoeveelheden persoonsgegevens verwerken. Denk bijvoorbeeld aan de NS. Deze functionaris is een onafhankelijke persoon die adviseert en rapporteert over naleving van de AVG.
Bedrijven kunnen ook verplicht worden om een privacy impact assessment (‘pia’) om te anticiperen op mogelijk risicovolle verwerking van persoonsgegevens.
Ook softwareontwikkelaars ontsnappen niet aan de AVG. Alle software en diensten moeten van meet af aan privacy proof zijn, of ook wel ‘privacy by design’ en ‘privacy by default’ genoemd. De standaardinstellingen van een nieuwe software of dienst moeten daarnaast zo privacy vriendelijk mogelijk zijn. Daar zal het in de praktijk nog weleens knellen: want wat privacy proof is, is niet meteen privacy vriendelijk.
Conclusie
De AVG trekt de privacy teugels dus strak aan. Dat blijkt ook uit de gigantische boetes die kunnen worden opgelegd. Onder de huidige privacywetgeving bedraagt een boete maximaal 900.000 euro. Onder de AVG wordt dat maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Wil je zeker weten dat jouw organisatie AVG-proof is en je privacyverklaring voldoet aan de AVG, neem dan contact met ons op. Mis in ieder geval niet over twee weken ons blog dat ingaat op de vraag ‘Wat moet er minimaal in de nieuwe privacyverklaring staan?’.
[1] In Nederland is deze via de Wet bescherming persoonsgegevens van toepassing.