Opheldering: de grootste verschillen tussen AVG en Wbp

05 sep 2017
Wat zijn nu precies de verschillen tussen de GDPR en AVG?

Op 25 mei 2018 wordt er een nieuwe Europese wetgeving van kracht, de ‘GDPR’ (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming). Deze wetgeving zal boven de huidige Wbp komen te staan en kent strengere regels en hogere sancties bij het niet naleven van de regels. Wat er nu precies gaat veranderen en hoe u zich kunt voorbereiden is voor veel organisaties nog onduidelijk. Uit verschillende onderzoeken en publicaties blijkt dat circa de helft van de Nederlandse organisaties überhaupt niet weet dat de nieuwe wetgeving van kracht wordt.

Update: In een artikel van de NOS, verschenen op 30 november 2017, wordt gemeld dat 80%(!) van Nederlandse bedrijven en overheden nog niet klaar is voor de nieuwe Europese Privacyverordening. 60% van de bedrijven en overheden weet zelfs niet waar gegevens van burgers of klanten opgeslagen zijn. Werk aan de winkel dus!

Als er geschreven wordt over de AVG of GDPR gaat het meestal over de boetebedragen die aanzienlijk hoger zijn dan voor de boetebedragen onder de wet Meldplicht Datalekken. Dit terwijl juist de verschillen tussen de Wbp en GDPR voor veel organisaties onduidelijk zijn. Daarom hebben wij uit de lange juridische tekstbrij de 10 belangrijkste verschillen tussen de GDPR en de Wbp voor u op een rij gezet.

1. Toepassing
De wet is ook van toepassing buiten de EU, voor organisaties die persoonsgegevens verwerken van EU-burgers. Het begrip “persoonsgegeven” is voorzien van een update: ook online indicators zijn toegevoegd als herleidbaar naar een natuurlijk persoon.

2. Toestemming
Bij meerdere verwerkingen van persoonsgegevens moet er bij alle verwerkingen afzonderlijk toestemming worden gevraagd aan betrokkenen, die ondubbelzinnig van aard is en waarbij een actieve handeling vereist is door betrokkenen. Geen stilzwijgende verlengingen meer van abonnementen. Alles moet in begrijpelijke taal geschreven worden aan betrokkenen.

3. Verwerkingsbeginselen
De GDPR introduceert kernbeginselen, waaraan alle verwerkingen van persoonsgegevens moeten voldoen:

  • Persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verwerkt;
  • Persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt;
  • Alleen persoonsgegevens, die noodzakelijk zijn voor het doel mogen worden verwerkt;
  • Gegevens moeten correct en actueel zijn;
  • Als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of geanonimiseerd;
  • De persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.

4. Recht van betrokkenen
Toegevoegde rechten ten opzichte van de Wbp zijn:

  • Het recht op vergetelheid;
  • Het recht op dataportibiliteit;
  • Het recht om de verwerking te beperken;
  • Het recht om bezwaar te maken tegen verwerkingen.

5. Administratieplicht
Als organisatie moet je kunnen aantonen dat je compliant bent aan de GDPR. Denk hierbij aan de toestemming, alle gegeven informatie, rechten van betrokkenen, minimalisatie van verwerking van persoonsgegevens en afspraken met bewerkers. Een veel gebezigde term binnen de GDPR is “privacy by design”: een systeem dat in een beginstadium van de ontwikkeling al zo is ingericht, dat het de privacy van betrokkenen optimaal waarborgt. Daarnaast is er nog de term “privacy by default”: de standaardinstellingen van het systeem zijn zo privacyvriendelijk mogelijk en er worden niet meer persoonsgegevens verwerkt dan strikt noodzakelijk.

6. Profilering
Betrokkenen hebben het recht om niet te worden onderworpen aan profilering als daar rechtsgevolgen aan zijn verbonden. De wet spreekt over profilering wanneer verwerking van persoonsgegevens middels een geautomatiseerd proces gebeurt zonder een menselijke tussenkomst. Als blijkt dat gerechtelijke vervolging kan plaats vinden op basis van profilering, zijn organisaties verplicht hier een PIA op uit te voeren (zie verschil 8). Betrokkenen hebben het recht hierover geïnformeerd te worden en hier bezwaar tegen te maken.

7. Inschakelen bewerker
De GDPR heeft een aantal verplichte onderdelen, die terug dienen te komen in een bewerkersovereenkomst, waaronder:

  • Het doel van de verwerking;
  • Het soort persoonsgegevens dat wordt verwerkt;
  • De categorieën van betrokkenen;
  • Dat passende beveiligingsmaatregelen zullen worden genomen;
  • Dat de bewerker meewerkt aan audits om te controleren of de bewerker zich aan alle verplichtingen houdt en na afloop van de verwerking het vernietigen of retourneren van de persoonsgegevens aan de verantwoordelijke;
  • De bewerker mag niet meer een derde partij inschakelen zonder de voorafgaande schriftelijke toestemming van de verantwoordelijke.

8. Privacy Impact Assessment
Een ‘gegevensbeschermingseffectbeoordeling’ is een beoordeling om het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens in kaart te brengen. Deze beoordeling is verplicht wanneer er bij de verwerking nieuwe technologieën worden gebruikt en er, gelet op de aard, de omvang, de context en de doeleinden van de verwerking een hoog risico is. Een PIA is in ieder geval verplicht bij profilering indien die profilering een besluit met een rechtsgevolg tot gevolg heeft of de betrokkene ‘wezenlijk treft’. Dit is een grijs gebied en mag op z’n zachtst gezegd “vaag” genoemd worden.

9. Meldplicht Datalekken
Sinds 1 januari 2016 is in Nederland de Meldplicht Datalekken actief. Deze meldplicht blijft onder de GDPR nagenoeg gelijk. Nieuw is dat de bewerker onder de GDPR verplicht is een datalek te melden aan de verantwoordelijke (bijvoorbeeld de opdrachtgever) en dat er pas een melding bij de toezichthouder hoeft te worden gedaan als er daadwerkelijk een lek heeft plaatsgevonden. Onder de Wbp moet er al een melding worden gedaan als niet kan worden uitgesloten dat er een onrechtmatige verwerking van persoonsgegevens kan plaatsvinden.

10. Overtredingen en sancties
De GDPR maakt het voor de (Europese) Autoriteit Persoonsgegevens mogelijk hogere boetes op te leggen. De maximumboete (bijvoorbeeld voor het niet rechtmatig verkrijgen van toestemming of niet voldoen aan regels omtrent data-uitwisseling met niet EU-landen) is € 20.000.000,- of 4% van de wereldwijde jaaromzet per incident.

Bron: Data Driven Marketing Association, 2016

Betrek de medewerker op de werkvloer!

De voorbereiding op de GDPR is niet alleen een zaak voor de beleidsmakers, Functionaris Gegevensbescherming, CISO of juridische afdeling. Ook de medewerkers op de werkvloer moeten op de hoogte gesteld worden van de nieuwe wetgeving en wat er allemaal gaat veranderen. Wij vinden het belangrijk om dit op een zo’n toegankelijk mogelijke manier te doen. Gemiddelde werknemers zitten echt niet te wachten op langdradige juridische verhalen, zij willen juist weten wat er concreet voor hen gaat veranderen. Daarbij moeten er praktische handvatten en tips gegeven worden hoe zijn met de nieuwe wetgeving dienen om te gaan.

Wat kunnen wij voor u betekenen?

Met het oog op de nieuwe Europese Privacywetgeving zijn we bezig om een een speciale GDPR E-learningmodule te ontwikkelen die gericht is op de gemiddelde medewerker. Deze module is vanaf 28 februari beschikbaar als losse module, maar is ook standaard opgenomen in ons Silver E-learningprogramma. Klik op onderstaande downloadlink voor meer inhoudelijke informatie. Daarnaast wordt ook een klassikale module ontwikkeld die losstaand of als toevoeging op een Security Awareness klassikale training afgenomen kan worden.

Download one-pager

Geïnteresseerd of vragen?

Stuur dan een mail naar info@nexttech.nl onder vermelding van “GDPR training” of bel ons op 088-0181610. We helpen u graag verder!

NextTech is specialist op het gebied van Security Awareness. Wij richten ons primair op gedragsverandering van uw medewerkers met een doorlopende benadering vanuit de vakgebieden security, communicatie en onderwijs. Bekijk ook onze andere leermethoden en onderzoeken.

Lees meer

Terug naar het overzicht