Het is u wellicht niet ontgaan op 25 mei 2018 zal de Algemene verordening gegevensbescherming (hierna: “de AVG”) van kracht worden. Vanaf deze datum zal er in de gehele Europese Unie dezelfde privacyregelgeving gelden. In Nederland wordt de huidige Wet bescherming persoonsgegevens door de AVG vervangen. Wanneer de AVG van toepassing is, hebben organisaties die te maken hebben met persoonsgegevens meer verplichtingen en komen aan betrokkene meer rechten toe. In deze column leest u een beknopte uitleg over de AVG.
Onder persoonsgegevens wordt op grond van de AVG verstaan alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Organisaties mogen enkel uw persoonsgegevens verwerken wanneer u daar toestemming voor heeft gegeven of indien dit noodzakelijk is wegens een van de in de AVG genoemde redenen. Organisaties dienen uw persoonsgegevens voorts enkel te verwerken op een manier die rechtmatig, behoorlijke en transparant is. Organisaties dienen dan ook voorafgaand aan het verzamelen van persoonsgegevens vast te stellen voor welke doeleinden de gegevens worden verzameld en verwerkt en dienen u daarover te informeren. Bovendien dienen organisaties een register bij te houden met alle verwerkingsactiviteiten die zij uitvoeren en dienen zij aan te kunnen tonen dat zij voldoende technische en organisatorische maatregelen hebben genomen om uw persoonsgegevens te beschermen.
Naast het feit dat organisaties meer verplichtingen opgelegd krijgen, krijgt u als betrokkene meer mogelijkheden om voor uzelf op te komen door de uitbreiding van uw privacy rechten. Zo krijgt u het recht om uw persoonsgegevens op te vragen bij een organisatie en over te dragen aan een andere organisatie. Daarnaast heeft u het recht om uw persoonsgegevens in te zien, aan te vullen of te wijzigen en heeft u in bepaalde situaties het recht op beperking van de verwerking van uw persoonsgegevens. Bovendien kunt u bezwaar maken tegen het verwerken van uw persoonsgegevens. Daarnaast krijgt u het recht dat organisaties uw persoonsgegevens in een aantal gevallen binnen één maand moeten wissen als u daar om vraagt.
Vanwege het feit dat de AVG al in mei 2016 in werking is getreden, maar pas 25 mei 2018 van kracht wordt, hebben organisaties de afgelopen twee jaar voldoende tijd gekregen om hun organisatie AVG-proof te maken. Vanaf 25 mei 2018 zal de toezichthouder, de Autoriteit Persoonsgegevens, pas organisaties controleren of zij voldoen aan de AVG. Indien dit niet het geval is kunnen er hoge boetes worden opgelegd die op kunnen lopen tot maximaal 20 miljoen euro.
Kortom, de AVG zal niet tot gevolg hebben dat verwerking van uw gegevens onmogelijk wordt, maar uw huidige privacy rechten zullen vanaf 25 mei 2018 zijn uitgebreid en organisaties krijgen meer verplichtingen om aan te tonen dat zij voldoen aan de AVG.
Deze column is eerder gepubliceerd in De Kanaalgraver no. 56, mei 2018. Heeft u naar aanleiding van het voorgaande vragen? Neem dan contact met ons op.