skip to Main Content

Een overzicht van veranderingen op de privacywetgeving

Len Stovers

Privacywetgeving na 23 jaar in nieuw Europees jasje

1995 is het jaar dat er een Europese Privacyrichtlijn opgesteld is. Iedere Europese lidstaat heeft deze vertaald naar haar eigen privacywetgeving. Voor Nederland is dat de WPB, de Wet Bescherming Persoonsgegevens en die loopt op 24 mei 2018 af. In ruim 20 jaar is er op het gebied van internet, data verzamelen, big data, data intelligence, profiling en tracking etc. zoveel veranderd, dat een update om de privacyrechten van mensen te verbeteren hard nodig is.

Wet Algemene Verordening Gegevensbescherming

Per 25 mei 2018 wordt daarom de AVG, Algemene Verordening Gegevensbescherming van kracht, die ook wel GDPR (General Data Protection Regulation) wordt genoemd. Deze wet is niet nieuw, want deze privacywetgeving AVG is reeds in mei 2016 al in werking gesteld. Dit geeft organisaties 2 jaar de gelegenheid om zich hierop voor te bereiden. Als je nog niet gestart bent met de voorbereiding hierop en je verwerkt wel persoonsgegevens, dan moet je nu toch echt aan de bak. Inmiddels heb je nog maar 1 jaar en die tijd hebt je ook heel hard nodig. Let wel dat de toezichthouders – in Nederland het AP (Autoriteit Persoonsgegevens) – die de privacywetgeving gaan controleren, handhaven en je dus ook fors kunnen beboeten, zich óók aan het voorbereiden zijn op hun taak.

De AVG doet – bij organisaties die persoonsgegevens verwerken – een appèl op de eigen verantwoordelijkheid om de AVG niet alleen na te leven, maar ook aantoonbaar te maken

Opsomming van de belangrijkste veranderingen

  • De documentatieplicht: Middels documenten aantonen dat de juiste organisatorische en technische maatregelen getroffen zijn om aan de AVG te voldoen.
  • Doel & noodzaak: Je mag persoonsgegevens alleen verwerken indien dit noodzakelijk is en/of als het past binnen een vooraf opgesteld doel. Het mogen ook meer doelen zijn.
  • Dataminimalisatie: Alleen data verzamelen die nodig zijn om je doel te bereiken, overige data verwijderen en duidelijke bewaartermijnen aangeven.
  • Meldplicht Datalekken: Deze verplichting bestaat in Nederland al langer en wordt zelfs vanaf 01-01-2016 gehandhaafd door het AP. Een (sub)bewerkersovereenkomst maakt hier ook onderdeel van uit, wanneer je organisatie persoonsgegevens van derden laat verwerken. Het AVG stelt weer andere eisen, dus een update van je huidige beleid en procedures hierop is noodzakelijk.
  • Beveiligingsplicht: Gegevens moeten passend worden beveiligd. Afhankelijk van de gevoeligheid van de persoonsgegevens moeten er technische en organisatorische maatregelen genomen worden. Je dient een beveiligingsbeleid op te stellen.
  • Toestemmingsverplichting: Een geldige transparante toestemming (opt-in) verkrijgen voor alle communicatie kanalen en dit kunnen bewijzen. De toestemming moet makkelijk in te trekken zijn voor mensen.
  • PIA verplichting: Indien je persoonsgegevens verwerkt die voor betrokkenen een groot privacy risico veroorzaakt ben je verplicht om een PIA (Privacy Impact Assessment) uit te voeren. Hierin worden de risico’s en de maatregelen die getroffen zijn vastgelegd.
  • Privacy by Design plicht: Al in de ontwerpfase van producten en diensten zorgen dat de persoonsgegevens beschermd worden.
  • Privacy by default plicht: Alléén persoonsgegevens verwerken die voor dat specifieke doel nodig zijn.
  • DPO verplichting: In bepaalde gevallen ben je verplicht een DPO (Data Protection Officer) aan te stellen.

Dus trek dit nieuwe Europese jasje snel aan voordat je de mantel wordt uitgeveegd.

En als je er zelf niet uitkomt, kunnen we uiteraard helpen.

Len Stovers

Compliance Engineer

 

 


Len Stovers | Compliance Engineer, Founder
+31 (0)13 528 73 07 | LinkedIn
Back To Top