EU akkoord over nieuwe privacyverordening

In Brussel is een akkoord bereikt over de Algemene Verordening Gegevensbescherming (AVG). Gisteravond werden de laatste horden genomen in de wetgevingsonderhandelingen tussen de Europese Commissie, het Europese Parlement en de EU-Raad. Er resteren nu alleen nog maar enkele formaliteiten voordat de AVG officieel wordt gepubliceerd. Hiermee is een einde gekomen aan een wetgevingstraject van vier jaar.

De AVG is van belang voor alle organisaties, publiek en privaat, die persoonsgegevens verwerken – en daarmee voor iedere organisatie, want geen enkele organisatie verwerkt géén persoonsgegevens. De AVG treedt waarschijnlijk in februari of maart volgend jaar al in werking, maar er volgt een termijn van twee jaar waarin organisaties hun bestaande gegevensverwerkingsprocessen aan de AVG kunnen aanpassen. Laat die periode niet voorbij gaan want aanpassingen aan de AVG kosten tijd en en kunnen een flinke uitdaging blijken. In die tijd moet Nederland bestaande (privacy)wetten zoals de Wet Basisregistratie Personen fors aanpassen. De AVG zal op termijn de Wet bescherming persoonsgegevens (Wbp) helemaal gaan vervangen (dus óók de meldplicht datalekken en de boetebevoegdheid van de Autoriteit Persoonsgegevens die per 1 januari a.s. in werking treden).

De meest praktische verandering in de AVG ten opzichte van de huidige privacywetgeving, is de veel nadrukkelijkere plicht om privacy op bestuurs- of directieniveau te managen. Op gebrekkig privacymanagement worden in de AVG hoge boetes gesteld; tot 4% van de wereldwijde omzet. Besturen en directies moeten aantoonbaar in control zijn (“demonstrate compliance”) door te sturen op aspecten zoals de legitimiteit, kwaliteit en veiligheid van de eigen informatiehuishouding, evenals de gegevensuitwisseling met derden. De eisen aan bewerkersovereenkomsten, informatieplichten en de verwerking van de gegevens van kinderen worden flink aangescherpt. En misschien wel de grootste uitdaging: alle verwerkingen moeten uitgebreid worden gedocumenteerd, dus van de klantenregistratie tot aan het cameratoezicht en de CV’s van sollicitanten. Bovendien zijn deze verplichtingen van toepassing op alle verwerkingen waar de organisatie verantwoordelijk voor is; dus ook op de gegevens die op de harde schijven of USB-sticks van medewerkers staan of in de cloud.

Het bewijs van deugdelijk privacymanagement moet steeds klaar liggen voor het geval dat de toezichthouder, de Autoriteit Persoonsgegevens, dit opvraagt. Organisaties worden in de AVG verplicht om in sommige gevallen Data Protection Impact Assessments uit te voeren. En overheidsorganisaties als ook bedrijven die extra privacygevoelig opereren moeten een Data Protection Officer (DPO) aanwijzen, die rechtstreeks moet rapporteren aan de directie. De DPO heeft zowel een coachende als monitorende rol en ondersteunt het management. Een organisatie mag ook vrijwillig voor een DPO kiezen en zelfs extern worden ingehuurd. Een goede DPO schept zowel in maatschappelijk als juridisch opzicht vertrouwen en is het gezicht van de organisatie richting de klant, de burger en/of de medewerker als het gaat om diens privacybescherming.

Naast de bepalingen op het gebied van privacy management bevat de AVG allerlei andere voorschriften, zoals aangescherpte regels voor toestemming, een meldplicht datalekken, verplichtingen op het gebied van privacy by design, een recht om gegevens te laten verwijderen, regels voor profiling, bepalingen over binding corporate rules en grenzen aan internationaal gegevensverkeer.

Wij zullen u via onze blogs en nieuwsbrief verder informeren over de Algemene Verordening Gegevensbescherming. In deze blog stellen wij de officiële tekst voor u beschikbaar en leggen we uit waarom deze tekst ‘voorlopig definitief’ is. Neem contact met ons op als u wilt weten wat de Algemene Verordening Gegevensbescherming voor uw organisatie betekent. Privacy Management Partners biedt op verschillende manieren ondersteuning bij uw compliance met de AVG, zoals externe DPO’s, een juridische helpdesk, het doorlichten van afdelingen en organisaties, privacy impact assessments, training en awareness, privacy control frameworks en ondersteuning bij datalekken.

2 reacties

  1. Rob Wierenga schreef:

    Ik blijf graag op de hoogte d.m.v. uw nieuwsbrief.

  2. Karen Siemers schreef:

    Beste Rob, dank voor je reactie! Ik heb je ingeschreven voor de nieuwsbrief. Voor specifieke vragen kun je altijd direct contact opnemen met ons.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *