Vanaf 25 mei 2018 geldt er nog maar één privacywet in de hele Europese Unie (EU): dan is de Algemene Verordening Gegevensbescherming (AVG) immers definitief van toepassing.
Is jouw bedrijf nu al volledig mee met deze nieuwe regelgeving? Mooi zo! Heb je nog nooit van de Algemene Verordening Gegevensbescherming gehoord? Geen probleem. In dit artikel ontdek je:
- wat de Algemene Verordening Gegevensbescherming (AVG) is.
- wat de hoofdlijnen van deze wetgeving zijn.
- wat de voordelen – ja hoor, ze zijn er – zijn voor bedrijven.
- wat je kunt doen om de wetgeving goed te implementeren binnen je bedrijf.
Here we go!
Wat is de Algemene Verordening Gegevensbescherming?
De Algemene Verordening Gegevensbescherming (AVG) – ook wel General Data Protection Regulation (GDPR) – is een Europese privacyverordening die het verwerken van persoonsgebonden gegevens in de Europese Unie regelt.
De AVG zorgt onder meer voor:
- een versterking en uitbreiding van privacyrechten
- meer verantwoordelijkheden voor organisaties
- dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders
Deze “nieuwe” verordening vervangt de verouderde databeschermingsrichtlijn uit 1995 eigenlijk al sinds 2016, maar de Europese Unie geeft organisaties tot 25 mei 2018 de tijd om de AVG te implementeren. Er zit een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat ze daadwerkelijk van toepassing is.
Vanaf 25 mei geldt er dus één privacywet in de hele Europese Unie in plaats van 28 verschillende nationale wetten en mag iedereen organisaties op de naleving van de AVG aanspreken. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming.
Als de algemene verordening gegevensbescherming (AVG) van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden.
Wat zijn de hoofdlijnen van de Algemene Verordening Gegevensbescherming?
Hieronder sommen we de hoofdlijnen van de nieuwe wetgeving voor je op. Nood aan meer details? Klik hier om de officiële wetteksten te raadplegen.
1. De werkingssfeer van de privacywetgeving wordt uitgebreid
De wet is van toepassing als de dataverstrekker (de persoon) en/of de dataverwerker (de organisatie) in Europa woonachtig/gevestigd zijn.
In tegenstelling tot de vorige databeschermingsrichtlijn uit 1995, is de wetgeving dus ook van toepassing als er sprake is van opslag en verwerking van persoonlijke gegevens van EU-burgers buiten de EU.
2. Eén regelset en één “one-stop shop” voor iedereen
De nieuwe wetgeving:
- introduceert één reeks regels voor gegevensverwerking die van toepassing is op alle lidstaten van de EU.
- stelt dat iedere lidstaat één “Supervisory Authority” of toezichthouder moet aanstellen die waakt over gegevensverwerking.
- stelt dat alle nationale Supervisory Authorities worden gecoördineerd door één European Data Protection Board (EDPB).
- stelt dat iedere organisatie binnen de EU zaken doet met/wordt opgevolgd door één “Supervisory Authority” of “one-stop shop” i.v.m. gegevensverwerking, klachten, boetes, enz.
3. Uitgebreidere privacyverklaringen
De vereisten voor privacyverklaringen worden uitgebreid. Volgende informatie moet verplicht opgenomen worden:
- bewaartermijnen van persoonlijke gegevens
- contactgegevens van de organisatie
- contactgegevens van de “Data Protection Officer”
4. Beperkt gebruik van automatische gegevensverwerking om beslissingen te nemen
Individuen hebben het recht om beslissingen die gebaseerd zijn op geautomatiseerde verwerking van hun persoonsgegevens te betwisten.
Met andere woorden: burgers hebben nu het recht om beslissingen die hen treffen en die gemaakt zijn op een louter algoritmische basis op te vragen en aan te vechten.
5. Privacy by Design en by Default worden verplicht
De AVG introduceert een verplichting tot gegevensbescherming door ontwerp (privacy by design) en door standaardinstellingen (privacy by default).
De verplichting tot privacy by design houdt in dat je er al bij het ontwerpen van producten, diensten en bedrijfsprocessen voor moet zorgen dat persoonsgegevens worden beschermd.
De verplichting tot privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je standaard alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.
Waar gebruikers hun privacy-instellingen zelf kunnen aanpassen moeten deze bijvoorbeeld standaard op het hoogste niveau worden ingesteld.
6. Data Protection Officer wordt verplicht
Organisaties die persoonlijke gegevens van meer dan 5000 data-personen per jaar verwerken moeten een Data Protection Officer (DPO) of functionaris voor de gegevensbescherming (FG) aanstellen.
De DPO moet onafhankelijk zijn en zowel kennis hebben van privacywetgeving, informatiebeveiliging als risicomanagement. Je mag met een groep organisaties een gezamenlijke DPO aanstellen. Voorwaarde is dat die goed bereikbaar is vanuit alle vestigingen.
7. Privacy (Impact) Assessments worden verplicht
Wanneer de rechten en vrijheden van personen worden bedreigd door specifieke risico’s moeten “Data Protection Impact Assessments” worden uitgevoerd.
Je bent in ieder geval verplicht om een PIA uit te voeren als je:
- systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering.
- op grote schaal bijzondere persoonsgegevens verwerkt.
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
De Data Protection Officer van de organisatie in kwestie moet toezien op de naleving.
8. Duidelijke toestemming is nodig voor gegevensverwerking
Voordat gegevens verwerkt mogen worden moet de persoon in kwestie expliciet zijn geldige toestemming geven op basis van volledige informatie.
Voor kinderen jonger dan 13 jaar moet de voogd/ouder deze toestemming geven. Toestemming moet altijd weer ingetrokken kunnen worden. Organisaties moeten bovendien kunnen aantonen dat deze toestemming daadwerkelijk werd gegeven.
9. Meldplicht datalekken
Iedere organisatie die gegevens verwerkt heeft een meldplicht bij datalekken ten opzichte van de bevoegde Supervisory Authority en betrokken personen.
10. Hogere boetes
Boetes voor overtredingen kunnen vanaf mei 2018 oplopen tot 20 miljoen euro of 4% van de totale jaaromzet (als dit bedrag hoger is).
11. Recht op verwijdering gegevens
De wetgeving introduceert “The Right to Erasure”. Personen die hun gegevens verstrekken kunnen onder bepaalde omstandigheden eisen dat hun gegevens weer verwijderd worden.
12. Recht op overdracht van persoonsgegevens
Personen moeten hun persoonlijke gegevens kunnen downloaden in een voor hen begrijpelijk formaat. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere.
Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.
Zijn er ook voordelen voor bedrijven?
Strengere regelgeving en boetes, het zijn termen die bedrijven niet graag horen. Toch ziet de Europese Unie ook voordelen voor bedrijven in deze nieuwe maatregelen. De wetgeving:
- zorgt voor een gelijk speelveld, want alle regels zijn hetzelfde voor alle bedrijven in de EU.
- introduceert één privacywet in de hele Europese Unie.
- zorgt ervoor dat organisaties de digitale eengemaakte markt maximaal kunnen benutten.
- introduceert een risicogebaseerde benadering: verplichtingen worden afgestemd op het risiconiveau van de gegevensverwerking.
Is je organisatie in meerdere EU-lidstaten actief ? Dan levert de AVG je bovendien volgende voordelen op:
- minder administratieve kosten en nalevingskosten
- meer rechtszekerheid
- je hoeft nog maar met één toezichthouder zaken te doen (one-stop shop)
Wat kun je doen om de wetgeving goed te implementeren?
Weet je niet waar te beginnen om de wetgeving te implementeren binnen je organisatie? Deze algemene richtlijnen helpen je alvast op weg:
1. Breng de gegevensverwerking van je organisatie in kaart
Om de wetgeving goed na te kunnen leven is het nodig dat je weet waar welke data wordt bewaard binnen je organisatie, hoe deze wordt verwerkt en voor welke doeleinden. Breng dus eerst alle datastromen binnen je bedrijf in kaart en documenteer alle persoonsgegevens waarover je beschikt.
2. Centraliseer je gegevensopslag en -verwerking
Alles in het bedrijf moet volledig worden ingericht in functie van de nieuwe wetgeving. Beheer daarom je gegevensopslag en -verwerking voortaan in één centrale tool. Alleen zo kun je aantonen dat je transparant communiceert, dat je je data beschermt en dat je je contacten respecteert.
3. Ken de rechten van individuen en de plichten van je organisatie
Je bedrijf en je bedrijfsprocessen moeten kunnen inspelen op alle rechten die individuele personen hebben, bijvoorbeeld:
- opvragen en overdragen van persoonlijke gegevens
- correctie van onjuistheden
- verwijdering van informatie
- aantonen van expliciete geldige toestemming
- preventie van direct marketing zonder toestemming
Zorg er dan ook voor dat je de rechten van individuen kent. Klik hier om de officiële tekst van de Algemene Verordening Gegevensbescherming te raadplegen.
4. Evalueer je huidige bedrijfsprocessen
Onderzoek alvast of je je huidige processen, diensten en goederen op bepaalde punten moet aanpassen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG).
Zorg er bijvoorbeeld voor dat je weet of je huidige systemen deze aanpassingen ondersteunen en of het nodig is om privacy by design en privacy by default meer te integreren in je bedrijfsvoering. Vergeet ook niet de dataportabiliteit (overdracht) en de door jouw gebruikte formaten voor informatieverstrekking te verkennen.
Onderzoek ook of je een functionaris voor de gegevensbescherming (FG) moet aanstellen en ga na of je periodieke risico-analyses en privacy-effectbeoordelingen moet doorvoeren.
5. Plan organisatorische en budgettaire maatregelen in
Breng de organisatorische en budgettaire maatregelen die je organisatie moet treffen volledig in kaart:
- een juridische expert raadplegen
- je privacyverklaringen en -beleid moderniseren
- privacy by design en privacy by default integreren
- ervoor zorgen dat je de expliciete en geldige toestemming verkrijgt van individuen
- leeftijdsverificatie en een aangepaste toestemming voor ouders en voogden voorzien
- een wettelijke grondslag voor de verwerking van je persoonsgegevens voorzien
- indien nodig privacy-effectbeoordelingen voorzien
- procedures voor datalekken voorzien
- je voorbereiden op inzageverzoeken
- indien nodig een functionaris voor gegevensbescherming benoemen
- …
Stel ook tijdslijnen op om je organisatie volledig in te richten volgens de nieuwe wetgeving. Op die manier voldoet je bedrijf tegen 25 mei 2018 aan de regels.
6. Voer je planning uit en volg de implementatie op
Een planning stelt natuurlijk niets voor als ze niet uitgevoerd wordt. Volg de implementatie daarom nauwgezet op en blijf op de hoogte van eventuele nieuwe veranderingen.