Algemene verordening gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG), of de General Data Protection Regulation (GDPR), is de Europese Verordening EU 2016 / 679. De verordening, die in heel de Europese Unie geldt, is op 27 april 2016 aangenomen en is de opvolger van Gegevensbeschermingsrichtlijn (Richtlijn 95/46/EC). De AVG is per 25 mei 2018 van toepassing: tot die datum was de Wet bescherming persoonsgegevens de geldende regelgeving.

Inhoud AVG

De AVG zorgt voor

  • versterking van privacyrechten
  • meer verantwoordelijkheden voor organisaties
  • dezelfde bevoegdheden voor alle Europese toezichthouders, waaronder de mogelijkheid om hoge(re) boetes op te leggen.

Gebruik van persoonsgegevens

Een organisatie mag alleen persoonsgegevens gebruiken wanneer daarvoor toestemming bestaat, en mag dat ook alleen doen voor het doel waarvoor de toestemming is gegeven. Dat is al geregeld in de Wet bescherming persoonsgegevens. Maar onder de AVG worden ook voorwaarden gesteld aan het verkrijgen van die (geldige) toestemming. Wanneer u als organisatie persoonsgegevens verwerkt, moet u kunnen aantonen dat u toestemming heeft gekregen. En er moeten voorzieningen zijn om de toestemming weer in te trekken, zonder dat dit lastiger mag zijn dan het verlenen van toestemming.

Privacyrechten

Behalve aanvullende eisen geeft de AVG ook nieuwe privacyrechten, zoals het recht om voor een persoon om (al!) zijn of haar persoonsgegevens te laten verwijderen. Ook hierbij geldt dat u als organisatie verplicht bent om aan te tonen dat u hieraan hebt voldaan. Een ander (nieuw) recht is dat op dataportabiliteit: onder voorwaarden hebben personen het recht om hun persoonsgegevens in aan standaardformaat te ontvangen. U moet als organisatie hierop voorbereid zijn.

Voor organisaties is van belang dat u verplicht kunt worden om een DPIA (data protection impact assessment) uit te moeten voeren of dat u verplicht kunt zijn om een FG (functionaris voor de gegevensbescherming) aan te stellen.