Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Wat verandert er door deze wetgeving en wat zijn de belangrijkste gevolgen voor uw organisatie?
De Algemene verordening gegevensbescherming (AVG) bevat regels voor het verwerken van persoonsgegevens en geldt straks voor alle lidstaten van de Europese Unie. Door de invoering van de AVG vervalt de Wet bescherming persoonsgegevens (WBP). Hoewel de AVG pas op 25 mei 2018 van toepassing is, is deze verordening al op 25 mei 2016 in werking getreden. Dit betekent dat uw organisatie twee jaar de tijd heeft gekregen om zich op deze verordening voor te bereiden. In de tussentijd is de WBP blijven gelden.
Door de AVG krijgt uw organisatie meer verplichtingen bij het verwerken van persoonsgegevens. Zo kan uw organisatie bijvoorbeeld te maken krijgen met een registratieplicht. Dit betekent dat er een overzicht moet worden opgesteld waarin alle verwerkingen van persoonsgegevens inzichtelijk zijn gemaakt en bijgehouden worden. Ook kan uw organisatie verplicht zijn om een functionaris voor de gegevensbescherming aan te stellen. De belangrijkste maatregel is echter dat een werkgever moet kunnen aantonen dat hij de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.
Werknemers krijgen door de AVG (e-learning) meer rechten met betrekking tot de verwerking van hun persoonsgegevens. Zo gelden er straks strengere eisen voor het zogenoemde toestemmingsvereiste. Als uw organisatie niet kan aantonen dat een verwerking van persoonsgegevens strikt noodzakelijk is, zal hiervoor expliciet om toestemming gevraagd moeten worden. Uw organisatie moet kunnen bewijzen dat werknemers deze toestemming (vrijelijk) hebben gegeven. Het moet voor werknemers bovendien mogelijk zijn om hun toestemming in te trekken. Daarnaast hebben werknemers het recht om te weten aan wie uw organisatie hun persoonsgegevens verstrekt. De werkgever moet de werknemer daarover actief informeren, tenzij hij kan aantonen dat de werknemer al over deze informatie beschikt.
Als uw organisatie niet op de juiste manier omgaat met het verwerken van persoonsgegevens, loopt uw organisatie een aanzienlijk boeterisico. De Autoriteit Persoonsgegevens kan boetes (tool) opleggen die oplopen tot € 20 miljoen of 4% van de wereldwijze jaaromzet.