201604.28
0

Algemene Verordening Gegevensbescherming

Op 14 april 2016 heeft het Europees Parlement plenair ingestemd met de verordening gegevensbescherming (samen met de richtlijn gegevensbescherming). Deze verordening vervangt de Wet Bescherming persoonsgegevens en introduceert een uniform privacyrecht in de gehele Europese Unie.

AVG
De Algemene Verordening Gegevensbescherming (AVG) kent een roerige voorgeschiedenis van talloze amendementen. Het Europese Parlement heeft de tekst van de AVG nu goedgekeurd en de AVG zal in werking treden twee jaar na publicatie van de tekst in het Official Journal van de EU. Dat betekent dat eenieder die te maken heeft met de verwerking van persoonsgegevens deze tijd moet gebruiken om te zorgen dat er gehandeld wordt conform de vereisten van deze wet. Wij sommen de belangrijkste punten op.

Right to be forgotten

Een betrokkene wiens gegevens verwerkt wordt, krijgt een strikter recht op verwijdering van zijn gegevens. Indien de gegevensverwerking niet langer noodzakelijk is voor het doel waarvoor de gegevens zijn verzameld, moeten de gegevens verwijderd worden. hetzelfde geld als de grondslag van de verwerking was gebaseerd op de toestemming van de betrokkenen, en de betrokkene die toestemming intrekt.

Functionaris gegevensbescherming

Waar in eerdere versies van de AVG nog sprake was van een verplichting om een functionaris voor de gegevensbescherming aan te stellen bij het verwerken van persoonsgegevens van een bepaald aantal personen, is dat in de finale versie van de AVG aangepast. De verplichting geldt nu voor overheidsinstanties, organisaties waarvan de kernactiviteit bestaat uit (i) het systematisch en op grote schaal monitoren van persoonsgegevens of (ii) het op grote schaal verwerken van bijzondere persoonsgegevens of strafrechtelijke gegevens.

Meldplicht datalekken

De AVG kent ook een verplichting om datalekken te melden aan de Autoriteit Persoonsgegevens. Deze verplichting was in Nederland al geïntroduceerd met de wetswijziging van 1 januari 2016. De AVG stelt dat een verantwoordelijke een datalek binnen 72 uur na ontdekking dient te melden bij de Autoriteit Persoonsgegevens.

Boetes

Afhankelijk van welke bepaling in de AVG wordt overtreden, kan de Autoriteit Persoonsgegevens boetes opleggen van maximaal tien of twintig miljoen euro, dan wel twee respectievelijk vier procent van de bruto wereldwijde omzet in het geval van een onderneming. Nu was de boetebevoegdheid van de Autoriteit Persoonsgegevens al uitgebreid met de Wet Meldplicht Datalekken tot maximaal 810.000 euro bij overtreding van bepaalde bepalingen in de Wet Bescherming Persoonsgegevens.