Nieuwe wet AVGVanaf 25 mei 2018 zal de nieuwe wet AVG (Algemene Vordering Gegevensbescherming) van toepassing zijn. Hierdoor krijgt iedereen van wie persoonsgegevens worden verwerkt een nieuw recht, namelijk dat van overdraagbaarheid van persoonsgegevens (dataportabiliteit).  Organisaties hebben tot die datum de tijd om aan de nieuwe eisen te voldoen die worden gesteld.

Uitbreiding en versterking van de privacy rechten. Dat is waar de AVG voor zal zorgen. Er zijn overeenkomsten te vinden met het recht op inzage, maar toch zijn er ook verschillen.

Inzagerecht
Volgens artikel 35 van de Wet bescherming persoonsgegevens hebben personen van wie momenteel gegevens worden verwerkt alleen een inzagerecht. Dit is geregeld in artikel 35 van de Wet bescherming persoonsgegevens. Het inzagerecht houdt in dat je een organisatie die jouw persoonsgegevens verwerkt, mag vragen om inzage. De organisatie moet diegene die verzoekt om inzage op een begrijpelijke manier laten weten of de organisatie zijn of haar persoonsgegevens gebruikt en om welke gegevens het gaat, wat het doel is van het gebruik, aan wie de organisatie de gegevens eventueel heeft verstrekt en wat de herkomst is van de gegevens.


Dataportabiliteit

De AVG definieert het recht op dataportabiliteit in Artikel 20(1) als volgt: De betrokkene heeft het recht zijn persoonsgegevens die hij aan een verantwoordelijke heeft verstrekt in een gestructureerde, gangbare en machine-leesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verantwoordelijke aan wie de persoonsgegevens waren verstrekt. Het doel van dit nieuwe recht is om de positie van personen wiens gegevens worden verwerkt te versterken zodat die personen meer controle krijgen over hun gegevens.

De persoonsgegevens die een persoon verkrijgt van een organisatie die deze verwerkt, kan hij opslaan of (her)gebruiken om zelf aan een andere organisatie te verstrekken. De organisatie die de gegevens verstrekt, mag de persoon niet tegenwerken en moet ervoor zorgen dat de betrokkene zijn gegevens makkelijk krijgt en kan doorgeven. Dat betekent dat de gegevens moeten worden verstrekt in een gestructureerde, gangbare en machine-leesbare vorm. Welke gegevens precies vallen onder het recht op dataportabiliteit is te lezen in de “Guidelines on the right to data portability”.

Belangrijk om te weten is dat het alleen om digitale gegevens gaat. Papieren dossiers vallen dus niet onder de nieuwe wet. Bedrijven moeten zich realiseren dat de wet ook betrekking heeft op gegevens die een organisatie heeft verkregen doordat personen gebruik hebben gemaakt van een product of dienst, zoals zoekgeschiedenis en locatiegegevens. Een organisatie moet binnen een maand na ontvangst van een verzoek de gegevens in beginsel kosteloos verstrekken. De toepasbaarheid van de AVG per 25 mei 2018 dwingt organisaties die persoonsgegevens verwerken om zich goed voor te bereiden en maatregelen te nemen zodat vanaf 25 mei 2018 wordt voldaan aan de AVG.

De AVG is zowel op grote als kleine organisaties van toepassing. Het is dus ook als kleinere organisatie raadzaam om alvast te gaan nadenken over hoe je vanaf 25 mei 2018 kan voldoen aan de AVG.

Sancties bij overtreding wet AVG
De Autoriteit Persoonsgegevens (AP)) mag uit eigen beweging optreden tegen organisaties die de regels uit de AVG overtreden. Het zal echter vaak voor komen dat actie wordt ondernomen naar aanleiding van een klacht van een getroffen betrokkene. Denk aan situaties waar een organisatie persoonsgegevens gebruikt voor een ander doel dan waarvoor toestemming is gegeven. Nieuw is dat de AP zeer hoge boetes mogen opleggen bij dit soort overtredingen van de AVG, zowel aan de verwerkingsverantwoordelijke als de verwerker. De bevoegdheid van toezichthouders om administratieve geldboetes op te leggen bij inbreuk op de AVG is bedoeld ter afschrikking.

De AVG introduceert twee categorieën overtredingen:

1. Overtredingen die zien op fundamentele verplichtingen
Overtredingen van de eerste categorie kunnen worden bestraft met een geldboete van maximaal € 20.000.000,- of 4% van de wereldwijde omzet. Onder categorie 1 vallen:

  • Basisbeginselen van gegevensverwerking, waaronder de voorwaarden voor toestemming;
  • Doorgiften van persoonsgegevens aan een derde land (buitende Europese Economische Ruimte) en internationale organisaties;
  • Verplichtingen die volgen uit nationale wetgeving, zoals ten aanzien van de vrijheid van meningsuiting en verwerking van persoonsgegevens in het arbeidsrecht;
  • Niet-naleving van een bevel van de toezichthouder of een tijdelijke of definitieve verwerkingsbeperking of opschorting

2. Overtredingen die voornamelijk zien op meer administratief georiënteerde verplichtingen.
Voor categorie 2-overtredingen is dit maximaal € 10.000.000,- of 2% van de wereldwijde omzet. Als het percentage van de wereldwijde omzet hoger is dan de genoemde maximale geldboete, dan geldt dat als maximum. Dit geldt onder andere voor het niet voldoen aan de onderstaande onderwerpen die volgen uit de AVG:

  • Toestemming van een kind voor diensten van de informatiemaatschappij;
  • Privacy by design and default;
  • Aanstelling van de privacy officer/functionaris gegevensbescherming;
  • Melden van datalekken aan de AP en de betrokkene;
  • Privacy Impact Assessment;

Bron: FNV ZZP