De afgelopen jaren is er veel om te doen geweest. De bescherming van (online) gegevens voor bedrijven. Jarenlang hebben we te maken gehad met de Wet Bescherming Persoonsgegevens (Wpb). Maar sinds het voorjaar 2016 is de Algemene Verordening Gegevensbescherming (AVG) van kracht die de Wpb vervangt.
Waarom nieuwe wetgeving?
De landen die deel uitmaken van de Europese Unie kende tot voorheen enkel nationale privacywetten die voortkwamen uit de Europese privacyrichtlijnen uit 1995. In het voorjaar van 2016 is hiermee dus een eerste aanzet gegeven om dit te centraliseren en gelijk te trekken voor alle lidstaten. Op 25 mei 2018 zijn alle nationale wetgevingen omtrent de privacywetgeving vervangen voor de AVG. In Europe heet deze wet de General Data Protection Regulation (GDPR).
Met deze stap heeft de Europese Unie elke Europese burger gelijkgetrokken op het gebied van ‘recht op privacy’. Vandaag de dag leven we in een wereld waar elk stukje data over alles en iedereen wordt opgeslagen en geanalyseerd. Met het verscherpen van de privacy rechten middels de AVG, heeft de burger of een klant meer recht om zich hiertegen te beschermen. Een klant mag bijvoorbeeld vragen om inzage in de opgeslagen data en heeft zelfs het recht om in sommige gevallen de verwerking van data te weigeren.
Voor wie geldt deze wetgeving?
De wetgeving geldt voor alle organisaties en bedrijven die persoonlijke gegevens van klanten, personeel en andere Europese burgers vastleggen. Uiteraard vallen daaronder de commerciële bedrijven. Van zzp’ers en MKB’ers tot de grootste aller aarden, elke organisatie moet aan de wet AVG voldoen. Maar ook andere instellingen zoals scholen, verenigingen, stichtingen en zorginstanties moeten zich aan deze wetgeving houden.
Wat valt er onder de wet AVG
Alle persoonlijke zaken of zaken die naar personen te herleiden zijn, vallen onder deze wetgeving. Daarbij vallen natuurlijk persoonlijke- en adresgegevens, cookies op internet en e-mailadressen. Maar ook gegevens waar je niet zo snel aan denkt. Neem bijvoorbeeld een inschrijf- of aanmeldformulier bij een bedrijf. Een organisatie is vrij om deze data te verzamelen maar is wel verantwoordelijk voor een goede en veilige verwerking van deze data. Een organisatie moet dus zorgen dat er een goed bezoekersregistratie systeem aanwezig is.
Toezicht op de AVG-wetgeving
In Nederland wordt er door het orgaan Autoriteit Persoonsgegevens (AP) toezicht gehouden dat de wetgeving ook daadwerkelijk nageleefd wordt door elke organisatie. Doet een organisatie dit niet, dan kan er een flinke straf uitgedeeld worden van maximaal 20 miljoen euro of 4% van de wereldwijze omzet van de organisatie.
De AP kan langskomen bij een organisatie om een controle uit te voeren. Een organisatie moet in allerlei documenten kunnen aantonen dat zij inderdaad netjes aan de AVG voldoen. Een organisatie moet bijvoorbeeld kunnen aantonen dat zij toestemming hebben gekregen om persoonsgegevens te verwerken. Wordt er hiervoor gebruik gemaakt van een derde partij, dan moeten er een aantal zaken worden vastgelegd in een verwerkingsovereenkomst.
Ga aan de slag!
De wet is inmiddels al geruime tijd in werking getreden. Zijn nog niet alle zaken binnen de uw organisatie netjes op orde? Dan is het van belang dat dit z.s.m. geregeld wordt. De AP heeft hiervoor een 10 stappenplan opgesteld.
