Algemene verordening gegevensbescherming (AVG)

De Algemene verordening gegevensbescherming (AVG) is een nieuwe wet die de privacyrechten van mensen regelt. De AVG vervangt per 25 mei 2018 de huidige Wet bescherming persoonsgegevens (Wbp). Vanaf die datum geldt in de hele Europese Unie (EU) dezelfde privacywetgeving.

op deze pagina

    inhoud AVG

    De AVG zorgt onder meer voor:

    • versterking en uitbreiding van privacyrechten van mensen
    • meer verantwoordelijkheden voor organisaties
    • dezelfde bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro of 4% van de wereldwijde omzet op te leggen.

    De nadruk ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

    versterking en uitbreiding van privacyrechten

    Mensen krijgen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Zo moeten organisaties kunnen bewijzen dat zij een geldige grondslag hebben om hun persoonsgegevens te verwerken. Het moet ook voor iedereen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten. Zij hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. De nieuwe wet maakt het mogelijk dat zij daarnaast eisen dat derden – namelijk alle andere organisaties die deze gegevens van deze organisatie hebben gekregen – dat doen.

    meer verantwoordelijkheden voor organisaties

    Organisaties die persoonsgegevens verwerken krijgen een verantwoordingsplicht. Dit houdt in dat zij, met documenten, moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Tegelijkertijd krijgen organisaties meer instrumenten die hen helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens. Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:

    Europese privacytoezichthouders

    Alle Europese privacytoezichthouders krijgen dezelfde bevoegdheden, ook om boetes op te leggen. In Nederland is dat de Autoriteit Persoonsgegevens (AP). De AP heeft samen met de andere Europese privacytoezichthouders ook richtlijnen opgesteld die meer uitleg geven over wanneer en hoe organisaties een data protection impact assessment (DPIA) moeten uitvoeren. Hiermee kan men vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen.

    overgangsperiode

    De AVG is al in mei 2016 in werking getreden, maar de wet wordt pas op 25 mei 2018 van toepassing. Organisaties en toezichthouders hebben dus twee jaar de tijd om zich voor te bereiden op de AVG. Tot 25 mei 2018 geldt in Nederland nog steeds de Wet bescherming persoonsgegevens (Wbp).

    De Autoriteit Persoonsgegevens adviseert organisaties op tijd te beginnen met de implementatie van de regels. Als hulpmiddel hierbij heeft zij 10 stappen benoemd die organisaties helpen in de voorbereidingen op de nieuwe Europese privacywetgeving.

    boete

    Overtredingen van deze wet kunnen oplopen tot boetes van 20 miljoen euro of 4% van de wereldwijde jaaromzet.