Vergroot contrast

Algemene verordening gegevensbescherming

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Wat verandert er?

De AVG zorgt onder meer voor:

Overgangsperiode tussen Wbp en AVG

Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.

Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Let op: tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

Aparte richtlijn politie en justitie

Naast de AVG is er een aparte Richtlijn gegevensbescherming opsporing en vervolging. Deze richtlijn is alleen bedoeld voor politie en justitie.

Nieuws

Alle nieuwsberichten over het onderwerp 'Algemene verordening gegevensbescherming'

Alle antwoorden op mijn vragenVragen over de algemene verordening gegevensbescherming (AVG)

  • Wat zijn de belangrijkste veranderingen voor organisaties?

    Als de algemene verordening gegevensbescherming (AVG) van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability).

      Documentatieplicht

      Organisaties hebben daarom een documentatieplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

        Hulp bij naleving wet

        Maar de AVG biedt organisaties tegelijkertijd meer instrumenten die hen helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor de relatie tussen de verantwoordelijke en de verwerker (in de Wbp heet dit de bewerker) en voor doorgifte van persoonsgegevens.

          Veranderingen per 25 mei 2018

          Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:

        • Wat merken mensen van wie persoonsgegevens worden verwerkt van de AVG?

          Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid.

          Toestemming

          In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken.

          Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

          Aanvullende rechten

          Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.

          Zij hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

          Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

          Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

        • Hoe hoog zijn de boetes onder de AVG?

          Overtreedt een organisatie straks de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.

          Boete van maximaal 10 miljoen euro

          Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben onder de AVG bepaalde verplichtingen, zoals een documentatieplicht.

          Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

          Boete van maximaal 20 miljoen euro

          Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)?

          Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

        • Wat levert de AVG mij als organisatie op?

          Als de algemene verordening gegevensbescherming (AVG) van toepassing is, geldt er nog maar één privacywet in de hele Europese Unie (EU) in plaats van 28 verschillende nationale wetten. Dit betekent dat u zich nog maar aan één Europese wet hoeft te houden als u persoonsgegevens verwerkt.

          Bent u in meerdere EU-lidstaten actief ? Dan levert de AVG u het volgende op:

          • u heeft minder administratieve kosten en nalevingskosten;
          • u heeft meer rechtszekerheid;
          • er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU;
          • u hoeft nog maar met één toezichthouder zaken te doen (onestopshop).
        • Moet ik mijn gegevensverwerkingen straks nog melden bij de AP?

          Nee. Zodra de algemene verordening gegevensbescherming (AVG) van toepassing is (25 mei 2018), hoeft u uw gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP).

          U heeft vanaf deze datum wél een documentatieplicht. Dit houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen (accountability).

          Let op: uw gegevensverwerkingen melden bij de AP is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet. Als de AVG van toepassing is, moet u dus nog steeds datalekken melden bij de AP.

        • Waarom is er nieuwe Europese privacywetgeving?

          In de EU heeft nu nog elke lidstaat een eigen privacywet. Deze nationale wetten zijn wel allemaal gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is de nationale uitvoering van deze richtlijn de Wet bescherming persoonsgegevens.

          De Europese privacyrichtlijn werd vastgesteld toen internet nog in de kinderschoenen stond. Daarom is de Europese privacywetgeving de afgelopen jaren herzien.

        Hulpmiddelen voor professionals