Een driehoek, die altijd in de linkerbovenhoek hangt Een driehoek, die altijd in de rechterbovenhoek hangt

Privacywetgeving: wat je moet weten over de algemene verordening gegevensbescherming

Vanaf mei 2018 krijgen organisaties en consumenten te maken met de Algemene Verordening Gegevensbescherming (AVG). Deze Europese wet vervangt in Nederland de huidige Wet bescherming persoonsgegevens (Wbp). De nieuwe privacywetgeving heeft gevolgen voor bedrijven en organisaties die data opslaan en verwerken. De kans dat jouw organisatie of afdeling met de wet te maken krijgt is groot. Ook bij Superlatief bereiden we er ons op voor.

Waarom de Algemene Verordening Gegevensbescherming?

De nieuwe wetgeving is beter afgestemd op de huidige technologische ontwikkelingen. De regels passen beter bij de steeds groeiende en specifiekere digitale informatie die wordt gemaakt, vastgelegd en opgeslagen. Met de algemene verordening wil de EU de privacy en rechten van burgers beter beschermen en in alle lidstaten standaardiseren.

Privacy en het verwerken persoonsgegevens

De AVG legt een grotere verantwoordelijkheid bij de organisaties die persoonsgegevens verwerken. En je verwerkt deze gegevens al snel. Alle data die gebruikt kan worden om een persoon te identificeren vallen onder de nieuwe privacywetgeving. Een naam, locatiegegevens, IP-adres of een (e-mail)adres. Maar ook bijvoorbeeld de personeelsadministratie valt onder de wet.

Wist je dat:

  • … de Algemene Verordening Gegevensbescherming de Nederlandse naam is voor de General Data Protection Regulation (GDPR)? Deze werd op 14 april 2016 aangenomen in het Europees Parlement
  • … de Algemene Verordening Gegevensbescherming vanaf 25 mei 2018 zal worden gehandhaafd?
  • … de AVG de huidige Wet bescherming persoonsgegevens (Wbp) vervangt?
  • … datalekken al sinds 1 januari 2016 meldplichtig zijn in Nederland? Deze verplichting blijft in de nieuwe verordening, maar wijzigt iets.

De AVG geldt voor iedereen

De regels gelden voor alle organisaties die persoonsgegevens verwerken. Daarbij worden geen uitzonderingen gemaakt voor bijvoorbeeld het mkb of zzp’ers. Wel wordt er een verschil gemaakt tussen de soort gegevens die verwerkt worden. Bij de verwerking van bijzondere persoonsgegevens gelden strengere eisen. Onder deze persoonsgegevens vallen bijvoorbeeld gegevens over gezondheid, politieke opvatting of informatie over een strafrechtelijk verleden.

De AVG: de grootste veranderingen

De grootste veranderingen die de AVG met zich meebrengt ten opzichte van de huidige privacywetgeving:

  • 1. Verantwoordingsplicht (accountability)

    Organisaties krijgen meer verantwoordelijkheid bij de verwerking van persoonsgegevens. De AVG stelt dat zij moeten kunnen aantonen dat zij voldoen aan de privacywet. Hierbij is het belangrijk te kunnen laten zien dat een organisatie zich houdt aan de belangrijkste beginselen van verwerking. Daarnaast dient te kunnen worden aangetoond dat de juiste technische en organisatorische stappen zijn ondernomen om persoonsgegevens te beschermen.

  • 2. Europese toezichthouder en wet

    De AVG geldt voor alle Europese lidstaten. De landelijke toezichthouders, zoals de Nederlandse Autoriteit Persoonsgegevens, worden aangestuurd door de Europese toezichthouder: de European Data Protection Board (EDPB).

  • 3. Geldt ook voor data buiten de EU

    Data van Europese individuen of organisaties die is opgeslagen buiten de EU valt ook onder de AVG.

  • 4. Privacy als een standaard

    Bij toepassingen waarbij privacyinstellingen door gebruikers zelf kunnen worden ingesteld moeten deze standaard het hoogste privacyniveau hebben. Geen vooraf ingevulde vinkjes dus meer op een website.

  • 5. Regelmatige assessments bij mogelijk hoog privacyrisico

    Het regelmatig uitvoeren van Privacy Impact Assessments (PIA) wordt verplicht bij de verwerking van gegevens die mogelijk een hoog privacyrisico met zich meebrengen. Een regelmatige beoordeling moet privacyrisico’s zoveel mogelijk minimaliseren.

  • 6. Data Protection Officer

    Voor organisaties die voldoen aan bepaalde voorwaarden is de aanstelling van een Data Protection Officer (DPO) verplicht. In het Nederlands heet dat een Functionaris gegevensbescherming (FG)

  • 7. Aanscherpen voorwaarden

    Meldingen over privacy moeten meer en beter informeren hoe en welke data wordt verwerkt. Hierbij moet begrijpelijke taal worden gebruikt en bijvoorbeeld worden vermeld hoe lang gegevens worden bewaard.

  • 8. Toestemming

    Toestemming voor het gebruik van gegevens dient door betrokkene een “ondubbelzinnige wilsuiting” te zijn. Daarnaast moet de vraag om toestemming duidelijk zijn en dient er voor verschillend gebruik van gegevens apart toestemming worden gevraagd. De toestemming moet te allen tijde ingetrokken kunnen worden. Voor personen onder de 13 jaar is de toestemming van ouder of voogd benodigd.

  • 9. Recht op wijziging, vergetelheid en overdraagbaarheid

    Het recht van betrokkenen wordt ook vergroot op het gebied van inzage, verbetering en verwijdering van gegevens. Daarnaast krijgen betrokkenen het recht op dataportabiliteit. Hiermee moeten gegevens makkelijk kunnen worden verkregen en doorgegeven kunnen worden aan andere organisaties. Ook krijgt betrokkene altijd het recht om bezwaar te maken tegen bepaalde verwerkingen of toepassingen.

  • 10. Hogere boetes

    De boetes voor het niet naleven van de verordening zijn substantieel. Ze kunnen oplopen tot €20 miljoen of 4% van de wereldwijde omzet van de overtreder.

Hoe Superlatief omgaat met de AVG

Binnen Superlatief zijn we actief en proactief bezig met de invoering van de AVG. Naast onze eigen processen en datastromen inventariseren we ook die van klanten. Daarbij kijken we naar de impact die de AVG op bestaande websites, applicaties en processen heeft. Deze inventarisaties koppelen we de komende tijd terug. Hiermee hopen we onze opdrachtgevers niet alleen van dienst te zijn, maar ook het bewustzijn rond de AVG te verhogen.

AVG en de invloed op online toepassingen

Bij de opstart van nieuwe projecten houden we op dit moment al rekening met de AVG. Doordat we relatief veel bedrijfskritische en privacygevoelige toepassingen ontwikkelen is het in de AVG verplichte uitgangspunt privacy by design geen nieuw begrip. Hoe dan ook zal de nieuwe privacywetgeving invloed hebben op vrijwel alle door ons ontwikkelde toepassingen.

Privacy by what?

Binnen de AVG gelden de uitgangspunten privacy by design en privacy by default. Wat wordt er met deze vertrekpunten bedoeld?

Privacy by design

Onder privacy by design wordt verstaan dat er bij de ontwikkeling van producten of diensten al wordt gezorgd dat persoonsgegevens goed worden beschermd. Dit houdt in dat privacyverhogende maatregelen al in het eerste stadium van ontwikkeling de hoogste prioriteit krijgen. Dataminimalisatie is ook een onderdeel van privacy by design. Hierbij wordt zorgvuldig bepaald welke gegevens echt noodzakelijk zijn voor het uiteindelijke doel.

Privacy by default

Bij de verwerking van persoonsgegevens moeten technische en organisatorische maatregelen zorgen voor het hoogst mogelijke privacyniveau. Hierbij dienen dan ook alleen die persoonsgegevens verwerkt te worden die nodig zijn voor een expliciet doel.

Bij een online toepassing waar gebruikers zelf privacyinstellingen kunnen aanpassen betekent dit dat deze standaard moet zijn ingesteld op het hoogst mogelijk privacyniveau.

Is jouw organisatie al klaar?

Uit een recente poll van Smart Insights blijkt dat meer dan 50% van de ondervraagden op dit moment bewust is van de aankomende veranderingen in de privacywet, maar er nog niet actief mee bezig is in de organisatie. Nog maar zo’n 25 % van de respondenten is er mee bezig of al helemaal mee klaar. Mocht je binnen jouw organisatie nog niet bezig zijn met de voorbereiding met de nieuwe verordening, dan is dit een goed moment!

Meer over de verordening?

Meer over de AVG lees je op de website van de Autoriteit Persoonsgegevens welke ook een stappenplan aanbiedt voor de invoering binnen jouw organisatie. Op de website van de Europese Unie lees je meer over de achtergronden van de GDPR. Op Emerce lees je een inspirerend artikel over de kansen die de wet biedt voor bedrijven.

Natuurlijk staan we bij Superlatief ook klaar om je vragen met betrekking tot de AVG en online toepassingen te beantwoorden. Neem gerust contact op! Ook als je wilt reageren, aanvullingen of correcties hebt op dit artikel.