Wetsverandering bescherming persoonsgegevens: Wbp wordt AVG

Voor bedrijven gelden strenge eisen bij het verzamelen, gebruiken en uitwisselen van persoonsgegevens. Net nu de meeste bedrijven min of meer bekend zijn met de inhoud van de Wet bescherming persoonsgegevens (Wbp) en de daarin opgenomen meldplicht datalekken, wordt in 2018 een nieuwe wet geintroduceerd: de Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe wet heeft als doel de privacy te beschermen en gegevensverwerking te reguleren.

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking en vervangt de Wet bescherming persoonsgegevens. De AVG vervangt de Wbp niet alleen, er zijn ook belangrijke aanvullingen opgenomen die voor iedere ondernemer in Nederland relevant zijn.

Net als onder de Wbp bent u ook onder de AVG verplicht om de betrokkenen, de personen waarvan u gegevens verwerkt, te informeren. Zo moet u melden welke gegevens u verwerkt, en aan wie en met welk doel u de gegevens ter beschikking stelt. Ook moet u zorgen voor afdoende beveiliging van uw systemen waarin persoonsgegevens zijn opgeslagen en moet u zorgen voor schriftelijke bewerkersovereenkomsten met alle partijen die persoonsgegevens voor u verwerken. Maar in de AVG zijn ook nieuwe verplichtingen opgenomen. De meest in het oog springende nieuwe verplichtingen zijn:

1. Aanstelling functionaris voor gegevensbescherming: uw organisatie kan verplicht zijn om een functionaris voor gegevensbescherming aan te stellen. Dit moet in ieder geval als u een overheidsinstantie of overheidsorgaan bent of indien u grootschalige bijzondere persoonsgegevens verwerkt. 
2. Uitvoeren DPIA: uw organisatie kan verplicht zijn een data privacy impact assessment (DPIA) uit te voeren. Hiermee brengt u in kaart welke privacy risico’s er zijn met betrekking tot de gegevensverwerking, met als doel maatregelen te nemen om deze risico’s te verkleinen. De verplichting voor het uitvoeren van een DPIA bestaat altijd wanneer de verwerking van persoonsgegevens in uw organisatie een hoog risico mee brengt. Of er sprake is van een hoog risico bepaalt u zelf. Hier is in ieder geval sprake van wanneer in uw organisatie op grote schaal bijzondere persoonsgegevens worden verwerkt of wanneer u op grote schaal personen observeert in publieke ruimtes (bijv. cameratoezicht). Maar ook wanneer u persoonsgegevens doorgeeft aan landen buiten de EU bestaat er een grote kans dat u verplicht bent een DPIA uit te voeren. 
3. Registratie verwerkingsactiviteiten: uw organisatie moet kunnen aantonen dat zij in overeenstemming met de AVG handelt. Dit doet u bijvoorbeeld door een register bij te houden waarin alle in uw organisatie uitgevoerde verwerkingsactiviteiten worden geregistreerd. De Autoriteit Persoonsgegevens is gerechtigd inzage te verlangen in dit register. 
4. Toepassen Privacy by Design en Privacy by Default: uw organisatie is verplicht om Privacy by Design en Privacy by Default toe te passen. Dit betekent dat u bijvoorbeeld bij het ontwerpen van applicaties of systemen voor gegevensverwerking al rekening moet houden met de bescherming van persoonsgegevens en de rechten van de betrokkene (de persoon wiens gegevens verwerkt worden). Dit doet u bijvoorbeeld door afdoende beveiligingsmaatregelen in het systeem of de applicatie op te nemen. Ook kan dit doel bereikt worden door er voor te zorgen dat de hoeveelheid data die voor het doel verwerkt moet worden zo klein mogelijk is (dataminimalisatie).

Onderneem tijdig actie

25 mei 2018 lijkt nog ver weg, maar het is belangrijk om uw onderneming tijdig voor te bereiden op de introductie van de AVG. Niet in het minst omdat de boetebevoegdheid van de Autoriteit Persoonsgegevens onder de AVG fors zal toenemen. DeHaan Advocaten en Notarissen heeft alle wijzigingen, verplichtingen en valkuilen omtrent de AVG in kaart gebracht. Wij helpen u graag bij het in kaart brengen en doorvoeren van de noodzakelijke wijzigingen voor uw bedrijf, zodat u op het moment van introductie aan alle eisen voldoet. Aarzel niet om contact met mij op te nemen wanneer u meer informatie wenst.