Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming ("AVG") in werking. Gebrek aan vertrouwen in de verouderde bestaande wetgeving voor gegevensbescherming en de verschillende beschermingsniveaus in de lidstaten van de EU hebben er uiteindelijk toe geleid dat het Europees Parlement en de Europese Raad gekozen hebben voor het in werking laten treden van deze AVG. Met de invoering van de AGV per 25 mei 2018 komen de Richtlijn 95/46/EG (de "Privacyrichtlijn") en de daarop gebaseerde Nederlandse Wet bescherming persoonsgegevens ("Wbp") te vervallen.

De AVG brengt een aantal nieuwe verplichtingen met zich mee, maar bevat ook veel bepalingen die al in de Privacyrichtlijn en de Wbp staan. Ook in de Uitvoeringswet AVG, die nog door de Eerste Kamer moet worden aangenomen, zijn veel bepalingen van de Wbp overgenomen. Wat verandert er nou daadwerkelijk onder de AVG? Wij geven een beknopt overzicht van de top 5 aan veranderingen.

1. Register van verwerkingsactiviteiten
De verwerkingsverantwoordelijke die meer dan 250 personen in dienst heeft, moet in een (schriftelijk of elektronisch) register bijhouden welke verwerkingsactiviteiten onder zijn verantwoordelijkheid plaatsvinden. Ondernemingen of organisaties die minder dan 250 personen in dienst hebben, maar waarbij (i) het wel waarschijnlijk is dat de (gegevens)verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen; (ii) de verwerking niet incidenteel is; of (iii) de verwerking bijzondere categorieën van gegevens of persoonsgegevens in verband met strafbare veroordelingen of feiten betreft, moeten ook een dergelijk register bijhouden.

2. Verwerkersovereenkomst
De verwerking van persoonsgegevens door een verwerker namens een verwerkingsverantwoordelijke moet vanaf 25 mei 2018 worden geregeld in een overeenkomst of andere rechtshandeling krachtens Europees of nationaal recht. In deze zogeheten ‘verwerkersovereenkomst’ moeten onder andere het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen alsmede de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.

3. Gegevensbeschermingseffectbeoordeling
Voorafgaand aan bepaalde risicovolle verwerkingen moet eerst een zogenaamde 'gegevensbeschermingseffectbeoordeling' worden gemaakt. Deze gegevensbeschermingseffectbeoordeling houdt in dat uitgebreid onderzoek moet worden gedaan naar het effect van de beoogde risicovolle verwerkingsactiviteiten op de bescherming van persoonsgegevens. Het betreft een instrument om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen, waarna vervolgens maatregelen genomen kunnen worden om deze risico's te verkleinen.

4. Aanwijzing van een functionaris voor gegevensbescherming
Voor bepaalde bedrijven en instellingen wordt een functionaris gegevensbescherming verplicht. De AVG stelt het aanstellen van deze functionaris verplicht voor (i) overheidsinstanties; (ii) organisaties die hoofdzakelijk belast zijn met verwerkingen die vanwege hun aard, omvang en doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; en (iii) organisaties die hoofdzakelijk belast zijn met grootschalige verwerkingen van bijzondere categorieën van persoonsgegevens of strafrechtelijke gegevens. Organisaties die in deze categorieën vallen, dienen zich er dus bewust van te zijn dat zij tijdig een functionaris voor gegevensbescherming aanstellen.

5. Rechten van betrokkenen
Met invoering van de AVG krijgen natuurlijke personen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. De (privacy)rechten van inzage, rectificatie, gegevenswissing (vergetelheid), beperking van de verwerking, dataportabiliteit, bezwaar en het recht met betrekking tot geautomatiseerde besluitvorming en profilering worden versterkt, uitgebreid of zijn zelfs helemaal nieuw.

Bent u voorbereid op de AVG? Onze advocaten helpen u graag met het AVG-proof maken van uw organisatie!


12-4-2018