Algemene verordening gegevensbescherming

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken
Een infografiek van de Europese privacyverordening
Overzicht algemene verordening gegevensbescherming

De Europese privacyverordening algemene verordening gegevensbescherming (AVG) gaat over de 'bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens'. In het Engels heet de AVG General Data Protection Regulation (GDPR). Deze verordening vervangt de databeschermingsrichtlijn uit 1995. Die sloot niet meer aan op de huidige digitale wereld. De AVG is in mei 2016 in werking getreden. Van organisaties wordt verwacht dat zij vanaf die tijd hun bedrijfsvoering met de AVG in overeenstemming brengen. Zij krijgen daarvoor tot 25 mei 2018 de tijd. Daarna mag iedereen organisaties op de naleving van de AVG aanspreken. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, waarbij de hoogste variant geldt. Voor opsporingsinstanties en het Openbaar Ministerie geldt aparte privacywetgeving. Het EU voorstel is om de AVG op 25 mei 2018 te laten vergezellen door de e-privacyverordening. Het EU-VS-privacyschild is een overeenkomst over de bescherming van persoonsgegevens van EU-burgers die in de VS worden verwerkt.

Principes[bewerken]

  • transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten.
  • doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
  • gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
  • juistheid: de persoonsgegevens moeten correct zijn en blijven
  • bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
  • integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
  • verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

Tijdlijn[bewerken]

21 oktober 2013 introductie in het Europees Parlement
2013-2015 onderhandelingen tussen het Europees Parlement, de Raad en de Commissie
4 mei 2016 publicatie wetteksten
24 mei 2016 de AVG is in werking getreden[1]
24 mei 2016 t/m 24 mei 2018 implementatieperiode
25 mei 2018 de AVG is van toepassing - aanspreekbaar op naleving – boetes kunnen worden opgelegd[1]

Nederland[bewerken]

De (concept) Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) strekt tot uitvoering van de Algemene verordening gegevensbescherming. De Wet bescherming persoonsgegevens (Wbp) geldt nog, totdat de UAVG deze vervangen heeft.

De Autoriteit Persoonsgegevens heeft 10 stappen beschreven om voorbereid te zijn op de AVG.[2]

  • Stap 1: Bewustwording - Aanpassen huidige processen, diensten en goederen.
  • Stap 2: Rechten van betrokkenen - recht op inzage, recht op correctie en verwijdering, recht op dataportabiliteit.
  • Stap 3: Overzicht verwerkingen - Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Documentatieplicht.
  • Stap 4: Privacy Impact Assessment (PIA) - Verplicht PIA uit te voeren bij waarschijnlijk hoog privacyrisico.
  • Stap 5: Privacy by design & privacy by default - Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn. Op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
  • Stap 6: Functionaris voor de gegevensbescherming – Mogelijke verplichting om een functionaris voor de gegevensverwerking (FG) aan te stellen.
  • Stap 7: Meldplicht datalekken - U moet alle datalekken documenteren.
  • Stap 8: Bewerkersovereenkomsten - Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend?
  • Stap 9: Leidende toezichthouder - Vestigingen of gegevensverwerkingen in meerdere EU-lidstaten? Toch één privacytoezichthouder.
  • Stap 10: Toestemming - Kunnen aantonen geldige toestemming van mensen heeft gekregen. Het moet net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Zie ook[bewerken]

Externe links[bewerken]