Op 25 mei 2018 gaat de Algemene verordening gegevensbescherming (AVG) in; tot die tijd geldt de Wet bescherming persoonsgegevens.

Aanpassing procedures Autoriteit Persoonsgegevens tot startdatum AVG

Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Tot die datum geldt de Wet bescherming persoonsgegevens (Wbp). Vooruitlopend op de AVG hanteert de Autoriteit Persoonsgegevens (AP) een overgangsregeling voor de afhandeling van verzoeken om een voorafgaand onderzoek en voor het goedkeuren van nieuwe gedragscodes.

Overgangsregeling AP afhandeling verzoeken

Onder de Wbp is voor bepaalde soorten verwerkingen een voorafgaand onderzoek door de AP vereist. Voor de meldingen die leiden tot een voorafgaand onderzoek geldt tot 25 mei 2018:
  • Bij het indienen van een nieuw verzoek tot 27 april 2018 bekijkt de AP bekijkt van geval tot geval hoe de melding het beste behandeld kan worden.
  • Vanaf 27 april neemt de AP geen verzoeken om een voorafgaand onderzoek meer in behandeling omdat de AP het verzoek dan niet meer tijdig kan afhandelen.
  • Besluiten die de AP in het kader van een voorafgaand onderzoek in het verleden heeft genomen blijven ook na 25 mei 2018 geldig, tenzij de verwerking wijzigt.
De AVG kent geen voorafgaand onderzoek. Vanaf 25 mei zijn organisaties onder de AVG verplicht een data protection impact assessment (DPIA) uit te voeren als een verwerking mogelijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. Als uit de DPIA blijkt dat de verwerking inderdaad een hoog risico oplevert en een organisatie geen maatregelen neemt om dit risico te beperken, dan moet de verwerking voor toepassing eerst worden voorgelegd aan de AP.

Gedragscodes

Een branche of sector kan een gedragscode opstellen om de algemene normen uit de AVG concreter te maken. Een organisatie kan aansluiten bij een goedgekeurde gedragscode om te onderschrijven dat de vereisten in de AVG worden nageleefd. Vanaf 25 mei 2018 gelden voor gedragscodes de normen uit de AVG. De AP brengt op verzoek advies uit over de vraag of een ontwerp-gedragscode overeenkomt met de AVG. Als de gedragscode voldoende passende waarborgen biedt zal de AP de code goedkeuren. Ook voor 25 mei 2018 kan al een gedragscode worden voorgelegd op grond van de AVG. De AP neemt over deze gedragscodes na 25 mei 2018 een besluit.

Vervallen meldplicht verwerking persoonsgegevens

Met de AVG vervalt de meldplicht. Organisaties hoeven dus geen melding meer te doen als zij persoonsgegevens verwerken. Alleen als er sprake is van een gegevensverwerking waarvoor een voorafgaand onderzoek moet worden aangevraagd, blijft een melding verplicht.

Organisaties die moeten voldoen aan de AVG

Alle private en publieke organisaties die persoonsgegevens verwerken moeten voldoen aan de AVG. Dit zijn niet alleen de partijen die verantwoordelijk zijn voor de gegevensverwerking, maar ook organisaties die dit in opdracht doen. Dit kunnen dus ook organisaties zijn die bedrijven als primaire klant hebben, omdat ook daar persoonsgegevens verwerkt kunnen worden.

Veranderingen ten opzichte van de WBP

De belangrijkste verplichtingen vanuit de AVG zijn:
  • Vastleggen gegevensverwerkingen. De AVG verplicht een organisatie om bij te houden welke persoonsgegevens worden verwerkt, welke verwerkingen hebben plaatsgevonden, op welke (wettelijke) basis de verwerkingen plaatsvinden en welke beveiligingsmaatregelen zijn genomen.
  • Verwerkersovereenkomsten met externe leveranciers met daarin afspraken over de gegevensverwerking.
  • Organisaties die gebruikmaken van geautomatiseerde besluitvorming (profilering) moeten de betrokkenen hiervan informeren.
  • Organisaties moeten een Functionaris Gegevensbescherming aanstellen. De inhoud daarvan is vormvrij.
  • De AP blijft onder de AVG belast met het toezicht op de naleving. Anders dan bij de WBP kunnen aan het niet voldoen aan de wetgeving boetes worden opgelegd.
Bron: HRpraktijk

 

Delen: