Achtergrond

Wanneer gaat de AVG van kracht?


De Algemene Verordening Gegevensbescherming is aangenomen op  27 april 2016. Om landen en organisaties de tijd te geven om de nieuwe regels te kennen en hun dataprocessen daarop aan te passen is besloten de wet niet gelijk te laten ingaan.


De AVG is met ingang van 25 mei 2018 van toepassing.


Wat is gegevensbeschermingsrecht?


In de Algemene Verordening Gegevensbescherming staan regels over het verwerken van persoonsgegevens. Persoonsgegevens zijn kortgezegd gegevens over mensen van vlees en bloed. Dat kan gaan van 'Meneer De Wit heeft een rode stropdas aan' tot 'Mevrouw De Zwart heeft nog maar 3 maanden te leven'.


De regels in de AVG geven aan onder welke voorwaarden je de gegevens mag verwerken. Denk daarbij aan regels over hoe lang je gegevens mag opslaan, voor welke doelen je ze mag gebruiken en hoe je ze moet beveiligen. Ook zijn er diverse rechten van individuen, zoals het recht op bezwaar, recht op inzage en het recht op informatie.



Is gegevensbescherming hetzelfde als privacy?


Vaak wordt gezegd dat het recht op gegevensbescherming onder het recht op privacy valt. Dat klopt echter niet. Privacy en gegevensbescherming zijn in het Handvest van de Grondrechten van de Europese Unie, zeg maar de grondwet van de EU, juist twee aparte rechten.


Privacy gaat om de integriteit van het lichaam, de bescherming van de woning, het briefgeheim, de persoonlijke levenssfeer en over bepaalde data. Het recht op gegevensbescherming gaat alleen om de bescherming van informatie over personen.


Bij het gegevensbeschermingsrecht gaat het om werkelijke alle gegevens over een persoon, ook openbare en ongevoelige gegevens, terwijl onder het recht op privacy alleen gegevens over personen worden beschermd als die iemands persoonlijke leven kunnen raken. De zin 'Kijk, die man heeft groene schoenen aan' valt dus wel onder het recht op gegevensbescherming, maar niet onder privacy.

Wat is een Verordening?


De Algemene Verordening Gegevensbescherming is een 'Verordening'. De vorige regels uit de EU stonden in een 'Richtlijn', namelijk de Richtlijn bescherming persoonsgegevens uit 1995. Die richtlijn was in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens.


Dat is gelijk het belangrijkste verschil tussen een verordening en een richtlijn. Een verordening geldt voor de hele EU en de regels die daarin staan hoeven niet nog eens in een nationale wet te worden aangenomen. Bij een richtlijn moet dat wel.


Het probleem was vroeger dus dat Nederland, Duitsland, Frankrijk en alle andere EU landen een eigen wet hadden. Die was weliswaar gebaseerd op de Richtlijn van de EU, maar er bestonden toch aanzienlijke verschillen. Bij de Algemene Verordening Gegevensbescherming hoeven de regels niet in nationale wetten te worden vastgelegd, waardoor de regels over de hele EU gelijk zullen zijn.


Slechts op een paar kleine punten, waar de AVG expliciet aangeeft dat landen speciale regels mogen aannemen, zullen er nationale wetten komen. Voorbeelden zijn regels over het verwerken van gevoelige persoonsgegevens (over iemands ras, geaardheid, medische gezondheid, etc) en regels over hoe de vrijheid van meningsuiting zich verhoudt tot het recht op gegevensbescherming. In Nederland heet die wet de Uitvoeringswet.

Waarom is het belangrijk om de regels te volgen?


De belangrijkste reden om de regels uit de Algemene Verordening Gegevensbescherming te volgen is, naast het risico op reputatieschade en de mogelijkheid om aansprakelijk te worden gesteld voor eventuele schade, het feit dat er boetes kunnen worden opgelegd.


Ten eerste kunnen de administratieve geldboetes  oplopen tot 10 miljoen euro of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dit cijfer hoger is, kortgezegd als de plichten van de verantwoordelijke niet worden nageleefd.


Ten tweede kunnen de administratieve geldboetes  oplopen tot 20 miljoen euro of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dit cijfer hoger is, kortgezegd als de beginselen van de AVG of de rechten van individuen niet worden gerespecteerd.

 

Hoe weet je of je aan de AVG voldoet?


In de Algemene Verordening Gegevensbescherming worden veel van de controleverplichtingen opgelegd aan organisaties die persoonsgegevens verwerken zelf.


Je moet nauwgezet bijhouden welke gegevens je verwerkt, waarom en hoe.


Je moet analyseren in hoeverre er risico's zijn te verwachten bij nieuwe projecten en hoe die risico's kunnen worden beperkt.


En je moet een interne functionaris aanstellen die er op toeziet dat alle regels uit de Verordening worden nageleefd binnen de organisatie.


Organisaties die gegevens verwerken moeten dus zelf nagaan of zij aan de AVG voldoen. Houden zij dat niet goed bij, dan kan ook daarvoor een boete worden opgelegd.


Organisaties die andere organisaties inschakelen bij het verwerken van gegevens, bijvoorbeeld een software leverancier of een cloudprovider, zijn ook aansprakelijk als die bedrijven fouten maken. Lekt de Amerikaanse cloudprovider dus klantgegevens van een Nederlands bedrijf, dan is dat Nederlands bedrijf daar vaak voor aansprakelijk.

Op welke landen is de AVG van toepassing?


De Algemene Verordening Gegevensbescherming is een wet van de Europese Unie. Alle landen van de EU zijn dus gebonden aan de regels uit de AVG.


Momenteel zijn er 27 landen lid van de Europese Unie: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, Italië, Kroatië, Letland, Litouwen, Luxemburg, Malta, Koninkrijk der Nederlanden, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Slowakije, Spanje, Tsjechië en Zweden.


Het Verenigd Koninkrijk is uitgetreden; de juridische status op het punt van gegevensbeschermingsrecht is nog niet duidelijk. Daarnaast is de AVG van toepassing op Noorwegen, IJsland en Lichtenstein.

Wat is het doel van de AVG?


De bevoegdheid om deze Algemene Verordening Gegevensbescherming aan te nemen is apart neergelegd in het Verdrag voor de Werking van de Europese Unie.


Het doel van de Algemene Verordening Gegevensbescherming is tweeledig.


Enerzijds worden individuen over wie gegevens worden verwerkt beschermd door middel van waarborgen en individuele rechten.


Anderzijds is het doel om organisaties, als zij zich houden aan de regels, juist de mogelijkheid te bieden om met die gegevens aan de slag te gaan en binnen de EU uit te wisselen met andere organisaties.



Waarom is er een Verordening?


Vaak wordt gezegd dat de Algemene Verordening Gegevensbescherming is aangenomen met het oog op de nieuwe technologische ontwikkelingen. De oude regels kwamen immers uit 1995, het pre-internet en pre-Big Data tijdperk.


Dat klopt echter niet. De regels uit de richtlijn en de verordening zijn in wezen hetzelfde, al zijn ze hier en daar wat meer verduidelijkt.


Het belangrijkste probleem met de regels uit de Richtlijn bescherming persoonsgegevens en de Wet bescherming persoonsgegevens was simpelweg dat ze niet werden nageleefd en beperkt werden gehandhaafd. Omdat verschillende landen verschillende regels hadden, vestigden bedrijven zich vaak in de landen met de laagste wettelijke vereisten.


Ook waren er weinig handhavingsmogelijkheden voor de overheid om de regels af te dwingen. De pakkans bij een overtreding van de regels was klein en de boetes die er op volgden bedroegen vaak slechts een paar duizend euro.


Nu is dat veranderd. De Verordening trekt de regels voor de hele EU gelijk, geeft meer mogelijkheden voor handhavingsorganisaties om samen te werken en geeft hun meer middelen en mogelijkheden om op te treden bij een geconstateerde overtreding. Boetes kunnen aanzienlijk zijn.


Welke regels moet je volgen?


1. De regels uit de Algemene Verordening Gegevensbescherming

2. De Uitvoeringswet van de AVG

3. De andere regels uit de EU, zoals uit het telecommunicatierecht (cookieregels)

4. De regels uit de Nederlandse Grondwet en sectorspecifieke regelgeving uit Nederland.

5. De regels uit gedragscodes die op je van toepassing zijn (het aannemen van certificaten is optioneel en niet verplicht)

6. De uitspraken van de Nederlandse of Europese rechter

7. De uitspraken en richtsnoeren van de Nederlandse handhavingsautoriteit

8. De uitspraken en richtsnoeren van een buitenlande handhavingsautoriteit als je in het buitenland zaken doet

9. De uitspraken en richtsnoeren van het Europese samenwerkingsverband van alle nationale handhavende organisaties: het Comité

10. De uitspraken en richtsnoeren van de Europese Commissie op het gebied van het gegevensbeschermingsrecht.



Wie is wie in de AVG?


De Autoriteit Persoonsgegevens (AP): is de handhavingsorganisatie van de overheid op het gebied van het gegevensbeschermingsrecht.


De leidende autoriteit: als een organisatie in meer dan één EU land zaken doet, dan kan de handhavende organisatie uit één van die landen de leiding krijgen en die organisatie integraal doorlichten.


De Europese Commissie (EC): De Commissie is zeg maar de regering van de EU en mag bijzondere regels aannemen over het gegevensbeschermingsrecht


De European Data Protection Board, ofwel het Europees Comité voor Gegevensbescherming: is het adviesorgaan van de EU op het gebied van het gegevensbeschermingsrecht. Daarin zitten alle nationale handhavingsorganisaties van de EU, zoals de Nederlandse Autoriteit Persoonsgegevens.


Het datasubject of de betrokkene: is de persoon over wie gegevens worden verwerkt. In de zin 'Piet houdt van de Italiaanse keuken' is Piet het datasubject. Als er gegevens over Piet worden verwerkt, dan kan hij tal van rechten inroepen.


De verantwoordelijke: is de organisatie of persoon die de gegevens over anderen verzamelt of gebruikt of daartoe opdracht geeft. De verantwoordelijke moet zorgen dat in het hele proces de beginselen en de plichten uit de AVG worden gerespecteerd.


De verwerker: is degene die in opdracht van de verantwoordelijke gegevens verwerkt.


De vertegenwoordiger: als een organisatie buiten de EU is gevestigd, maar toch gegevens verwerkt over EU burgers, dan moet die organisatie een persoon aanstellen die binnen de EU als aanspreekpunt kan dienen, bijvoorbeeld voor klachten of voor onderzoek.


Het Hof van Justitie (HvJ): de hoogste rechter van de EU. Het HvJ gaat uiteindelijk over de interpretatie van de Algemene Verordening Gegevensbescherming. De regels van de EU gaan ook boven de Nederlandse wetten en zelfs boven de Nederlandse Grondwet.


Het Europees Hof voor de Rechten van de Mens (EHRM): de hoogste rechter van de Raad van Europa. Alle landen van de EU zijn ook lid van de Raad van Europa. De Raad van Europa heeft het Europees Verdrag voor de Rechten van de Mens (EVRM) aangenomen. Hierin staat niet het recht op gegevensbescherming, maar wel het recht op privacy. De uitspraken over privacy van het EHRM zijn erg invloedrijk, ook binnen de Europese Unie.