De Algemene Verordening Gegevensbescherming komt eraan

20 oktober 2017

De Algemene Verordening Gegevensbescherming komt eraan

Vanaf 25 mei 2018 moeten organisaties voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De AVG is onder andere in het leven geroepen om in de hele Europese Unie de regels omtrent gegevensverwerking en privacy te stroomlijnen. De AVG zal de huidige Wet bescherming persoonsgegevens (Wbp) vervangen.

De AVG en de Wbp kennen in grote lijnen veel overeenkomsten, maar verschillen zijn er ook. Zo moeten organisaties meer dan nu kunnen verantwoorden/aantonen dat ze bij hun gegevensverwerking voldoen aan de zorgvuldigheidseisen die daarvoor gelden. Ook kan het zo zijn dat een organisatie een Data Protection Impact Assessment (DPIA) moet uitvoeren (dat is een instrument om vooraf privacyrisico’s in kaart te brengen en maatregelen te nemen om die risico’s te verkleinen) of een Functionaris Gegevensbescherming (FG) dient aan te stellen (dat is een interne privacytoezichthouder). Ook krijgen betrokkenen (dat zijn degenen van wie persoonsgegevens worden verwerkt) een paar extra rechten.

De grondslagen en basisbeginselen voor een zorgvuldige gegevensverwerking zijn grotendeels hetzelfde onder de AVG. De kern van deze basisbeginselen (ga netjes om met de gegevens die je verwerkt en verwerk niet meer gegevens dan nodig voor het doel waarvoor je de gegevens verwerkt) ligt voor de hand, maar wordt nogal eens over het hoofd gezien. Verder ligt er veel nadruk op transparantie richting betrokkenen. Dit komt er (in het kort) op neer dat in begrijpelijke taal kenbaar wordt gemaakt welke persoonsgegevens worden verwerkt, van wie, waarom, hoe deze beveiligd zijn en met welke partijen deze worden gedeeld. Daarnaast gelden onder de AVG zwaardere eisen omtrent het vragen van de toestemming (van ouders) voor het verwerken van de gegevens van kinderen.

In verband met de AVG is het van groot belang om bedrijfsvoeringsprocessen op een dusdanige manier vorm te geven of aan te passen dat er in lijn met de AVG gehandeld wordt. De toezichthoudende organisatie, de Autoriteit Persoonsgegevens (AP), krijgt een uitbreiding van haar boetebevoegdheid. Straks kan een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet worden opgelegd.

Over de concrete invulling van veel bepalingen uit de AVG bestaan nog onduidelijkheden. Er komt een Nederlandse Uitvoeringswet waarin een nadere uitwerking wordt gegeven aan enkele regels uit de AVG. Ook worden er samen met andere Europese privacy toezichthouders ‘guidelines’ ontwikkeld die bepaalde onderdelen van de AVG zullen verduidelijken.

Als brancheorganisatie houden we de ontwikkelingen op dit gebied nauwlettend in de gaten en zullen we onze leden hierover op de hoogte houden. Momenteel zijn we aan het inventariseren op welke manier we onze leden het beste kunnen ondersteunen op dit gebied met specifiek op de kinderopvang toegesneden materiaal en uitleg.

Voor nu verwijzen we naar algemene informatie over de AVG op de website van de AP. Hier is bijvoorbeeld ook een stappenplan voor de voorbereiding op de AVG te vinden en wordt antwoord gegeven op een aantal veelgestelde vragen.