
Nieuwsbrief mei 2017
Veranderingen op het gebied van de Privacy in 2018
De Europese Commissie en het Europees Parlement besloten, dat de huidige wetgeving niet langer aansluit op de constante veranderingen in de digitale wereld. Persoonsgegevens overschrijden de landsgrenzen in toenemende mate. Om een Europese regelgeving te creëren voor de bescherming van persoonsgegevens is een nieuwe Europese privacy verordening aangenomen: de Algemene Verordening Gegevensbescherming (AVG). De AVG is op 4 mei 2016 in het Publicatieblad van de Europese Unie gepubliceerd en wordt op 25 mei 2018 van kracht in alle lidstaten van de EU.
Wat betekent de AVG voor bedrijven?
Als bedrijf wordt u geacht om uw bedrijfsvoering met de AVG in overeenstemming te brengen. Daarvoor hebt u tot 25 mei 2018 de tijd. Tot deze datum geldt de Wet bescherming persoonsgegevens (Wbp).
De nieuwe Algemene Verordening Gegevensbescherming:
1. verstevigt de rechten van betrokkenen. De nieuwe verordening heeft als uitgangspunt dat er uitdrukkelijk toestemming nodig is voor het verzamelen en gebruiken van gegevens van burgers. Bovendien moeten burgers duidelijk ingelicht worden over het gebruik van hun gegevens en hun rechten, voordat zij die toestemming geven.
2. legt een grotere verantwoordelijkheid bij bedrijven en organisaties die persoonsgegevens verwerken. Zij moeten kunnen aantonen dat zij persoonsgegevens adequaat beschermen. Bij een datalek moeten zij dit onmiddellijk melden bij de nationale privacy toezichthouder.
3. verstevigt de rol van privacy toezichthouders. In de conceptverordening staan duidelijke criteria over de onafhankelijkheid van de privacy toezichthouders en hun onderzoeksbevoegdheden. Deze toezichthouders hebben bij voorbeeld het recht op informatie van bedrijven en organisaties en moeten toegang krijgen tot hun bedrijfsruimten. Ook krijgen zij geharmoniseerde en krachtige handhavingsbevoegdheden, inclusief de bevoegdheid een boete te geven bij overtreding van de AVG. Deze boetes kunnen variëren van 10 tot 20 miljoen euro of 2 – 4% van de omzet.
De Algemene Verordening Gegevensbescherming geeft een aantal belangrijke veranderingen ten opzichte van de Wbp:
- de verordening voorziet in strenge sancties tegen verwerkingsverantwoordelijken of verwerkers die de gegevensbeschermingsregels overtreden. De boete die de nationale toezichthouder geeft kan flink oplopen, zoals hierboven beschreven
- de AVG geldt ook voor organisaties die niet in de EU gevestigd zijn, maar wel diensten of producten aanbieden binnen de EU of het gedrag van individuen binnen de EU monitoren, zoals Google en Facebook
- de administratieve lasten voor organisaties worden verminderd. De verplichting om registratie van persoonsgegevens te melden bij de lokale toezichthouders is bij voorbeeld verdwenen. Organisaties moeten zelf een overzicht bijhouden van de verwerking van persoonsgegevens
- het ‘recht om vergeten te worden’ wordt van kracht. In artikel 17 van de AVG staat dat alle organisaties die persoonsgegevens verwerken, deze op verzoek moeten verwijderen indien aan bepaalde voorwaarden wordt voldaan. Dit bouwt voort op de reeds bestaande rechten van betrokkenen om hun gegevens te laten wissen. Kort gezegd heeft iedereen het recht op het wissen van zijn of haar gegevens, zonder onredelijke vertraging, in gevallen zoals:
– wanneer de persoonsgegevens niet meer nodig zijn voor de doelen, waarvoor deze zijn verzameld of verwerkt
– wanneer de betrokkene zijn toestemming voor de verwerking intrekt of bezwaar maakt tegen registratie
– als de persoonsgegevens onrechtmatig verwerkt zijn
– als de persoonsgegevens moeten gewist op basis van een regel uit het Unierecht of het nationale recht
– wanneer deze gegevens zijn verwerkt voor het van leveren van diensten aan kinderen jonger dan 16 jaar.
- de Algemene Verordening Gegevensbescherming is een verordening en geen EU-richtlijn. Hierdoor is deze, in tegenstelling tot richtlijn 95/46/EG, rechtstreeks geldig. Dit is gunstig voor organisaties die in meerdere landen opereren. De regelgeving is namelijk overal gelijk. Lokale overheden krijgen wel de kans om de wetgeving aan te passen aan de eigen behoefte omtrent de bescherming van persoonsgegevens. De AVG geeft ruimte om eigen, aanvullende regels op te stellen op het gebied van arbeid, zorg en sociale zekerheid. Een voorbeeld hiervan is de Autoriteit Persoonsgegevens, maar het is goed mogelijk dat andere instanties hierbij betrokken raken.
- het verbod op de verwerking van identificatienummers (artikel 24 in de Wbp), zoals het BSN, wordt opgeheven. In de AVG bestaat dat verbod niet, wat inhoudt dat voortaan vrijer gebruik van identificatienummers mogelijk is. Lokale overheden mogen wel aanvullende voorwaarden stellen aan het gebruik van identificatienummers.
Wat betekent de AVG voor de huidige Nederlandse wetgeving?
Vanaf 25 mei 2018 moet iedereen zich aan deze wet houden. Tot die tijd is de privacywetgeving, zoals de Wet bescherming persoonsgegevens (Wbp) en Wet basisregistratie personen (Wbrp), in Nederland van toepassing.
In tegenstelling tot de EU-richtlijn mogen EU-verordeningen niet worden omgezet naar nationale wetgeving, maar zijn ze rechtstreeks van toepassing in alle lidstaten. Wetten als de Wbp en de Wbrp mogen daarom vanaf 25 mei 2018 niet meer worden toegepast. Dit betekent dat de bestaande privacywetgeving moet worden herzien.
Arbo Triple One en de Algemene Verordening Gegevensbescherming
Om ons optimaal voor te bereiden op de gevolgen van de nieuwe regels op het gebied van de privacy hebben we binnen onze organisatie de functie Functionaris Gegevensbescherming in het leven geroepen. Deze functionaris houdt toezicht op de toepassing en de naleving van de Wet bescherming persoonsgegevens (Wbp) en vanaf 1 juli 2018 de Algemene Verordening Gegevensbescherming (AVG) binnen onze organisatie. Vanzelfsprekend zijn we als Arbo Triple One bezig om de gevolgen van de nieuwe wetgeving omtrent verzuimmanagement in kaart te brengen en te integreren in onze verzuimapplicatie VerzuimXpert.
Wilt u meer weten over de gevolgen van de nieuw aankomende privacywetgeving voor uw organisatie? Neem dan contact met ons op.