Belangrijke veranderingen bij de AVG
Hier volgt een overzicht van de belangrijkste wijzigingen onder de AVG en hoe ze verschillen van de vorige richtlijn.
Het doel van de AVG is om alle EU-burgers te beschermen tegen inbreuken op hun privacy en gegevens in een wereld waarin data een toenemende rol speelt, en een wereld die enorm verschilt toen de richtlijn in 1995 voor het eerst werd ingesteld. Hoewel de belangrijkste principes van de vorige richtlijn nog steeds opgeld doen, zijn er veel veranderingen voorgesteld inzake het regelgevingsbeleid; de belangrijkste punten van de AVG en ook de informatie over de impact die het zal hebben op een bedrijf is te lezen in het onderstaande.
Toegenomen territoriale toepassing (extraterritoriale toepassing)
De grootste verandering in het wetgevende landschap wat betreft de data privacy wordt mogelijk veroorzaakt door de uitgebreide jurisdictie van de AVG aangezien deze van toepassing is op alle bedrijven die de persoonlijke gegevens van gegevenssubjecten verwerken die in de Unie verblijven, ongeacht de locatie van het bedrijf. De vorige territoriale toepasselijkheid van de richtlijn was ambigu en verwees naar dataproces als ‘in de context van een establishment’. Dit onderwerp werd een paar keer ter discussie gesteld in enkele spraakmakende rechtszaken. De AVG maakt haar toepasselijkheid heel erg duidelijk - het is van toepassing op het verwerken van persoonlijke gegevens door gegevensbeheerders en -verwerkers in de EU, ongeacht of het verwerken ervan plaatsvindt in de EU of niet. De AVG is ook van teopassing op het verwerken van persoonlijke gegevens van gegevenssubjecten in de EU door een gegevensbeheerder of -verwerken die niet in de EU is gevestigd, en waarbij de activiteiten zijn gerelateerd aan: het aanbieden van producten of diensten aan EU-burgers (ongeacht of betaling is vereist of niet) en het monitoren van gedrag dat plaatsvindt in de EU. Niet-EU-bedrijven die gegevens van EU-burgers verwerken moeten een vertegenwoordiger in de EU benoemen.
Boetes
Onder de AVG kunnen organisaties die handelen in strijd handelen met de AVG een boete krijgen tot wel 4% van hun jaarlijkse totale omzet of €20 miljoen (afhankelijk welke hoger is). Dit is de maximum boete die kan worden opgelegd aan de ernstigste overtredingen, bijvoorbeeld voor het niet hebben van voldoende instemming van klanten voor het verwerken van gegevens of het plegen van inbreuk op de concepten van Privacy door ontwerp. Er bestaat een gelaagde benadering met betrekking tot boetes. Een bedrijf kan bijvoorbeeld een boete van 2% krijgen als haar administratie niet op order is (Artikel 28), voor het niet op de hoogte brengen van de toezichthouder en de gegevenssubject over een inbreuk of het niet uitvoeren van een effectbeoordeling. Het is belangrijk te weten dat deze regels van toepassing zijn op zowel gegevensbeheerders en -verwerkers, wat inhoudt dat ‘clouds’ niet zijn uitgezonderd van afdwinging van de AVG.
Instemming
De voorwaarden voor het verkrijgen van instemming zijn strenger geworden, en bedrijven kunnen geen gebruik meer maken van lange onleesbare voorwaarden vol met juridische tekst omdat het verzoek tot instemming gedaan moet worden in een duidelijke en makkelijk te begrijpen vorm, waarbij het doel voor het verwerken van gegevens bijgevoegd wordt aan die instemming. Het verkrijgen van instemming moet duidelijk en onderscheidbaar zijn van andere zaken, en moet op een duidelijke en makkelijk te begrijpen manier worden verzocht, in duidelijke en gewone taal. Het moet net zo makkelijk zijn de instemming terug te trekken als het is om deze te geven.
Rechten gegevenssubject
Melding van inbreuk
Onder de AVG, wordt het melden van inbreuk verplicht in alle lidstaten waar een inbreuk op de gegevens kan leiden tot “een gevaar voor de rechten en vrijheid van individuen”. Dit moet binnen 72 uur na het ontdekken van de inbreuk worden gedaan. Gegevensverwerkers zijn eveneens verplicht hun klanten, de gegevensbeheerders, “zonder onnodige vertraging” op de hoogte te brengen na het ontdekken van een inbreuk op gegevens.
Toegangsrecht
Een deel van de uitgebreide rechten van gegevenssubjecten beschreven door de AVG is het recht van gegevenssubjecten om een bevestiging van de gegevensbeheerder te verkrijgen of persoonlijke gegevens met betrekking tot hen wordt vewerkt of niet, en waar en met welk doel. Bovendien moet de gegevensbeheerder een kopie van de persoonlijke gegevens kosteloos en in elektronische vorm afgeven. Deze verandering is een enorme verschuiving richting transparantie inzake gegevens en emancipatie van gegevenssubjecten.
Het recht om te worden vergeten
Dit staat ook wel bekend als Gegevenswissing, het recht om te worden vergeten geeft een gegevenssubject het recht om de gegevensbeheerder zijn of haar persoonlijke gegevens te laten wissen, verdere verspreiding van gegevens te stoppen, en derde partijen in potentie het verwerken van gegevens te laten stoppen. De voorwaarden voor het wissen, zoals beschreven in Artikel 17, omvatten gegevens die niet meer relevant zijn voor het oorspronkelijke doel voor het verwerken ervan, of het intrekken van de instemming van een gegevenssubject. Tevens moet worden vermeld dat dit recht gegevensbeheerders verplicht de rechten van de gegevenssubjecten te vergelijken met “het openbare belang in het verkrijgbaar zijn van de gegevens” als een dergelijk verzoek wordt overwogen.
Gegevensportabiliteit
De AVG introduceert gegevensportabiliteit - het recht van een gegevenssubject om persoonlijke gegeven met betrekking tot hem of haar te ontvangen, die hij of zij eerder in een ‘gewone en door een machine te lezen indeling’ hebben afgegeven, en hebben het recht om die gegevens over te zenden naar een andere gegevensbeheerder.
Privacy door ontwerp
Als concept bestaat Privacy door ontwerp reeds enkele jaren, maar het is pas recentelijk onderdeel geworden van een juridische vereiste van de AVG. In principe omvat Privacy door ontwerp het opnemen van gegevensbescherming vanaf het begin van het ontwerpen van systemen in plaats van als een aanvulling later. Specifieker gezegd - ‘De gegevensbeheerder moet..geschikte technische en organisatorische maatregelen implementeren...op een effectieve wijze...om te voldoen aan de vereisten van deze Regel en de rechten van gegevenssubjecten beschermen’. Artikel 23 verplicht gegevensbeheerders om gegevens alleen te bewaren en te verwerken als dat absoluut noodzakelijk is voor zijn of haar verplichtingen (minimalisatie van gegevens), en ook tot het beperken van de toegang tot persoonlijke gegevens tot hen die het nodig hebben voor het verwerken.
Functionarissen voor gegevensbescherming
Op dit moment zijn gegevensbeheerders verplicht hun activiteiten inzake het verwerken van gegevens te melden bij agentschappen voor het beschermen van gegevens, iets dat voor multinationals een bureaucratische nachtmerrie kan zijn aangezien de meeste lidstaten verschillende meldingsvereisten hanteren. Onder de AVG is het niet nodig om meldingen te doen of registraties vast te leggen bij elk lokaal agentschap voor het beschermen van gegevens inzake activiteiten met betrekking tot het verwerken van gegevens, noch zal het een vereiste zijn om melding te doen of goedkeuring te krijgen voor overdracht op basis van het modelcontractbepalingen. In plaats daarvan zijn er vereisten voor het bijhouden van interne dossiers, die in het onderstaande verder zullen worden besproken, en een DPO moet verplicht worden benoemd voor alleen die gegevensbeheerders en -verwerkers wiens kerntaak bestaat uit het verwerken van gegevens waarvoor het regelmatig en systematisch monitoren van gegevenssubjecten op grote schaal nodig is, of voor speciale categorieën van gegevens of gegevens gerelateerd aan criminele veroordelingen en overtredingen. Belangrijk, de DPO:
- Moet worden benoemd op basis van professionele kwaliteiten en vooral op basis van deskundige kennis inzak de wet op bescherming gegevens.
- Kan een personeelslid of een externe dienstverlener zijn.
- Contactgegevens moeten aan het relevante agentschap voor het beschermen van gegevens worden afgegeven.
- Moet worden voorzien van de juiste resources om zijn of haar taak te kunnen uitvoeren en deskundigheid op peil te kunnen houden.
- Moet direct rapporteren aan het hoogste managementniveau.
- Mag geen andere taken uitvoeren die kunnen leiden tot een belangenverstrengeling.