AVG: Afschuwelijk Veel Gedoe?

0
435

25 mei 2018

Het is zover: de Algemene verordening gegevensbescherming (AVG) is in werking getreden. Althans, de AVG was er al eigenlijk al twee jaar, maar aan de overgangsperiode is nu een einde gekomen. Voor veel bedrijven staat de afkorting AVG voor afschuwelijk veel gedoe. De indruk bestaat ook dat er een groot verschil is met het tijdperk vóór de AVG. Maar is dat ook zo? Verandert er met ingang van vandaag nu echt zoveel?

In Nederland kenden we met de Wet bescherming persoonsgegevens (Wbp) al een vrij strenge privacywet. Bijna alle privacyrechten uit de AVG stonden al in de Wbp. De extra rechten die de AVG aan betrokkenen toekent (recht op vergetelheid, dataportabiliteit) hebben op veel sectoren, zoals de uitzendbranche, waarschijnlijk geen grote impact. Ook onder de Wbp moesten ondernemingen beschikken over een wettelijke grondslag voor het verwerken van persoonsgegevens. De verplichtingen om datalekken te melden en overeenkomsten te sluiten met bewerkers/verwerkers zijn evenmin nieuw.

De voornaamste verandering die de AVG met zich brengt is de verantwoordingsplicht. Zorgvuldig omgaan met persoonsgegevens moest al, maar nu moet die zorgvuldigheid nog meer aangetoond kunnen worden. Het verwerkingsregister speelt daarbij een cruciale rol. Iedere organisatie moet een document opstellen en daarin vermelden welke categorieën persoonsgegevens worden verwerkt, maar ook met welk doel, op basis van welke grondslag, welke bewaartermijnen gehanteerd worden et cetera. Een flinke klus, maar het helpt bij het krijgen van overzicht en dwingt tot nadenken.

Hoewel de AVG dus op bepaalde punten tot wat wijzigingen leidt, heeft de ‘hype’ rondom de AVG natuurlijk vooral te maken met de handhaving door de toezichthouder. De Autoriteit Persoonsgegevens (AP) deed onder de Wbp ook al onderzoek naar de naleving van de wet, maar tot het opleggen van boetes heeft dit niet geleid. De AVG gaat daar verandering in brengen. Wel behoudt de AP de mogelijkheid om eerst een lichtere sanctie op te leggen en daarnaast moet de hoogte van een eventuele boete in een redelijke verhouding staan tot de ernst van de overtreding. Terecht, want een (kleine) fout is zo gemaakt. Ook bij organisaties die alles op de rit denken te hebben, kan er nog een bericht met persoonsgegevens in een mailbox zijn achtergebleven, zonder dat daarvoor een grondslag bestaat. Het wekt geen verbazing dat veel bedrijven en ook overheden vandaag nog niet ‘klaar’ zijn voor de AVG. Als dat ook voor uw organisatie geldt, is er werk aan de winkel. Maar u verkeert in elk geval in goed gezelschap.

Jeroen Brouwer, jurist, beleidsmedewerker van de ABU

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here