Actueel

Opheldering: de grootste verschillen tussen de AVG en Wbp

Op 25 mei 2018 is de nieuwe Europese privacywetgeving van kracht gegaan: de AVG (Algemene Verordening Gegevensbescherming) of GDPR (General Data Protection Regulation). Deze wetgeving vervangt de "oude" Wbp (Wet bescherming persoonsgegevens) en kent strengere regels en sancties bij het niet naleven van de regels. Wat er nu concreet moet veranderen binnen de bedrijfsvoering en je je als organisatie kan is vaak nog onduidelijk. Uit verschillende onderzoeken en publicaties blijkt dat circa de helft van de Nederlandse organisaties überhaupt niet weet dat de nieuwe wetgeving van kracht wordt.

25 mei photo

Als er geschreven wordt over de AVG of GDPR gaat het meestal over de boetebedragen die aanzienlijk hoger zijn dan de boetebedragen onder de meldplicht datalekken. De nieuwe wet gaat echter veel verder dan dit en de verschillen tussen de Wbp en AVG zijn voor veel organisaties onduidelijk. Daarom hebben wij uit de lange juridische tekstbrij de 10 belangrijkste verschillen tussen de AVG en de Wbp op een rij gezet.

1. Toepassing

De wet is ook van toepassing buiten de EU, voor organisaties die persoonsgegevens verwerken van EU-burgers. Het begrip “persoonsgegeven” is voorzien van een update: ook online indicators zijn toegevoegd als herleidbaar naar een natuurlijk persoon.

2. Toestemming

Bij meerdere verwerkingen van persoonsgegevens moet er bij alle verwerkingen afzonderlijk toestemming worden gevraagd aan betrokkenen, die ondubbelzinnig van aard is en waarbij een actieve handeling vereist is door betrokkenen. Geen stilzwijgende verlengingen meer van abonnementen. Alles moet in begrijpelijke taal geschreven worden aan betrokkenen.

3. Verwerkingsbeginselen

De AVG introduceert kernbeginselen, waaraan alle verwerkingen van persoonsgegevens moeten voldoen:

  • Persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verwerkt.
  • Persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt.
  • Alleen persoonsgegevens, die noodzakelijk zijn voor het doel mogen worden verwerkt.
  • Gegevens moeten correct en actueel zijn.
  • Als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of geanonimiseerd.
  • De persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.

4. Recht van betrokkenen

Toegevoegde rechten ten opzichte van de Wbp zijn:

  • Het recht op vergetelheid
  • Het recht op dataportabiliteit
  • Het recht om de verwerking te beperken
  • Het recht om bezwaar te maken tegen verwerkingen.

5. Administratieplicht

Als organisatie moet je kunnen aantonen dat je compliant bent aan de GDPR. Denk hierbij aan de toestemming, alle gegeven informatie, rechten van betrokkenen, minimalisatie van verwerking van persoonsgegevens en afspraken met bewerkers. Een veel gebezigde term binnen de GDPR is “privacy by design”: een systeem dat in een beginstadium van de ontwikkeling al zo is ingericht, dat het de privacy van betrokkenen optimaal waarborgt. Daarnaast is er nog de term “privacy by default”: de standaardinstellingen van het systeem zijn zo privacyvriendelijk mogelijk en er worden niet meer persoonsgegevens verwerkt dan strikt noodzakelijk.

6. Profilering

Betrokkenen hebben het recht om niet te worden onderworpen aan profilering als daar rechtsgevolgen aan zijn verbonden. De wet spreekt over profilering wanneer verwerking van persoonsgegevens middels een geautomatiseerd proces gebeurt zonder een menselijke tussenkomst. Als blijkt dat gerechtelijke vervolging kan plaats vinden op basis van profilering, zijn organisaties verplicht hier een PIA op uit te voeren (zie verschil 8). Betrokkenen hebben het recht hierover geïnformeerd te worden en hier bezwaar tegen te maken.

7. Inschakelen bewerker

De GDPR heeft een aantal verplichte onderdelen, die terug dienen te komen in een bewerkersovereenkomst, waaronder:

  • Het doel van de verwerking.
  • Het soort persoonsgegevens dat wordt verwerkt.
  • De categorieën van betrokkenen.
  • Dat passende beveiligingsmaatregelen zullen worden genomen.
  • Dat de bewerker meewerkt aan audits om te controleren of de bewerker zich aan alle verplichtingen houdt en na afloop van de verwerking het vernietigen of retourneren van de persoonsgegevens aan de verantwoordelijke.
  • De bewerker mag niet meer een derde partij inschakelen zonder de voorafgaande schriftelijke toestemming van de verantwoordelijke.

8. Privacy Impact Assessment

Een ‘gegevensbeschermingseffectbeoordeling’ is een beoordeling om het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens in kaart te brengen. Deze beoordeling is verplicht wanneer er bij de verwerking nieuwe technologieën worden gebruikt en er, gelet op de aard, de omvang, de context en de doeleinden van de verwerking een hoog risico is. Een PIA is in ieder geval verplicht bij profilering indien die profilering een besluit met een rechtsgevolg tot gevolg heeft of de betrokkene ‘wezenlijk treft’. Dit is een grijs gebied en mag op z’n zachtst gezegd “vaag” genoemd worden.

9. Meldplicht datalekken

Sinds 1 januari 2016 is in Nederland de meldplicht datalekken actief. Deze meldplicht blijft onder de GDPR nagenoeg gelijk. Nieuw is dat de bewerker onder de GDPR verplicht is een datalek te melden aan de verantwoordelijke (bijvoorbeeld de opdrachtgever) en dat er pas een melding bij de toezichthouder hoeft te worden gedaan als er daadwerkelijk een lek heeft plaatsgevonden. Onder de Wbp moet er al een melding worden gedaan als niet kan worden uitgesloten dat er een onrechtmatige verwerking van persoonsgegevens kan plaatsvinden.

10. Overtredingen en sancties

De GDPR maakt het voor de (Europese) Autoriteit Persoonsgegevens mogelijk hogere boetes op te leggen. De maximumboete (bijvoorbeeld voor het niet rechtmatig verkrijgen van toestemming of niet voldoen aan regels omtrent data-uitwisseling met niet EU-landen) is €20 miljoen of 4% van de wereldwijde jaaromzet per incident.

Bron: Data Driven Marketing Association, 2016

Awaretrain en de AVG

De AVG is niet alleen een zaak voor de beleidsmakers, FG of CISO. Ook de “normale medewerker” krijgt er mee te maken. De gemiddelde werknemer zit echter niet te wachten op lange juridische verhalen en regels. Hij wil juist weten wat er concreet voor hem gaat veranderen. Daarbij heeft hij behoefte aan tips over hij met de nieuwe wetgeving om moet gaan.

Speciaal hiervoor hebben wij leuke en leerzame trainingsmodules over de AVG ontwikkeld. In 15 minuten leggen we de basisprincipes van de AVG uit, gaan we dieper in op persoonsgegevens en datalekken en hoe de wet van invloed is op de dagelijkse werkzaamheden. De AVG-trainingen zijn beschikbaar als "Privacy Pack" in ons online security awareness platform. Lees meer of vraag direct een demo aan.

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte via onze nieuwsbrief

Inschrijven

Actuele ontwikkelingen

Mis niets van onze blogs, diensten en events door je in te schrijven voor onze periodieke updates.

logo 02 jun
You got spoofed! Alle ins en outs over email spoofing Lees meer
logo 12 jun
NIEUW | Online interactieve kennissessie Lees meer
logo 19 mei
Awaretrain opent kantoor in Duitsland Lees meer
Nieuwsarchief