Opheldering: de grootste verschillen tussen AVG en Wbp

05 sep 2017
Wat zijn nu precies de verschillen tussen de GDPR en AVG?

Inzicht in de grootste verschillende tussen de AVG en Wbp

Op 25 mei 2018 wordt de nieuwe Europese privacywetgeving van kracht, de AVG (Algemene Verordening Gegevensbescherming) of ‘GDPR’ (General Data Protection Regulation). Deze wetgeving vervangt de huidige Wbp en kent strengere regels en sancties bij het niet naleven van de regels. Wat er nu precies gaat veranderen en hoe u zich kunt voorbereiden is voor veel organisaties nog onduidelijk. Uit verschillende onderzoeken en publicaties blijkt dat circa de helft van de Nederlandse organisaties überhaupt niet weet dat de nieuwe wetgeving van kracht wordt.

Update: In een artikel van de NOS, verschenen op 30 november 2017, wordt gemeld dat 80%(!) van Nederlandse bedrijven en overheden nog niet klaar is voor de nieuwe Europese privacyverordening. 60% van de bedrijven en overheden weet zelfs niet waar gegevens van burgers of klanten opgeslagen zijn. Werk aan de winkel dus!

Als er geschreven wordt over de AVG of GDPR gaat het meestal over de boetebedragen die aanzienlijk hoger zijn dan de boetebedragen onder de meldplicht datalekken. Dit terwijl juist de verschillen tussen de Wbp en AVG voor veel organisaties onduidelijk zijn. Daarom hebben wij uit de lange juridische tekstbrij de 10 belangrijkste verschillen tussen de AVG en de Wbp voor u op een rij gezet.

1. Toepassing

De wet is ook van toepassing buiten de EU, voor organisaties die persoonsgegevens verwerken van EU-burgers. Het begrip “persoonsgegeven” is voorzien van een update: ook online indicators zijn toegevoegd als herleidbaar naar een natuurlijk persoon.

2. Toestemming

Bij meerdere verwerkingen van persoonsgegevens moet er bij alle verwerkingen afzonderlijk toestemming worden gevraagd aan betrokkenen, die ondubbelzinnig van aard is en waarbij een actieve handeling vereist is door betrokkenen. Geen stilzwijgende verlengingen meer van abonnementen. Alles moet in begrijpelijke taal geschreven worden aan betrokkenen.

3. Verwerkingsbeginselen

De AVG introduceert kernbeginselen, waaraan alle verwerkingen van persoonsgegevens moeten voldoen:

  • Persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verwerkt;
  • Persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt;
  • Alleen persoonsgegevens, die noodzakelijk zijn voor het doel mogen worden verwerkt;
  • Gegevens moeten correct en actueel zijn;
  • Als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of geanonimiseerd;
  • De persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.

4. Recht van betrokkenen

Toegevoegde rechten ten opzichte van de Wbp zijn:

  • Het recht op vergetelheid;
  • Het recht op dataportibiliteit;
  • Het recht om de verwerking te beperken;
  • Het recht om bezwaar te maken tegen verwerkingen.

5. Administratieplicht

Als organisatie moet je kunnen aantonen dat je compliant bent aan de GDPR. Denk hierbij aan de toestemming, alle gegeven informatie, rechten van betrokkenen, minimalisatie van verwerking van persoonsgegevens en afspraken met bewerkers. Een veel gebezigde term binnen de GDPR is “privacy by design”: een systeem dat in een beginstadium van de ontwikkeling al zo is ingericht, dat het de privacy van betrokkenen optimaal waarborgt. Daarnaast is er nog de term “privacy by default”: de standaardinstellingen van het systeem zijn zo privacyvriendelijk mogelijk en er worden niet meer persoonsgegevens verwerkt dan strikt noodzakelijk.

6. Profilering

Betrokkenen hebben het recht om niet te worden onderworpen aan profilering als daar rechtsgevolgen aan zijn verbonden. De wet spreekt over profilering wanneer verwerking van persoonsgegevens middels een geautomatiseerd proces gebeurt zonder een menselijke tussenkomst. Als blijkt dat gerechtelijke vervolging kan plaats vinden op basis van profilering, zijn organisaties verplicht hier een PIA op uit te voeren (zie verschil 8). Betrokkenen hebben het recht hierover geïnformeerd te worden en hier bezwaar tegen te maken.

7. Inschakelen bewerker

De GDPR heeft een aantal verplichte onderdelen, die terug dienen te komen in een bewerkersovereenkomst, waaronder:

  • Het doel van de verwerking;
  • Het soort persoonsgegevens dat wordt verwerkt;
  • De categorieën van betrokkenen;
  • Dat passende beveiligingsmaatregelen zullen worden genomen;
  • Dat de bewerker meewerkt aan audits om te controleren of de bewerker zich aan alle verplichtingen houdt en na afloop van de verwerking het vernietigen of retourneren van de persoonsgegevens aan de verantwoordelijke;
  • De bewerker mag niet meer een derde partij inschakelen zonder de voorafgaande schriftelijke toestemming van de verantwoordelijke.

8. Privacy Impact Assessment

Een ‘gegevensbeschermingseffectbeoordeling’ is een beoordeling om het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens in kaart te brengen. Deze beoordeling is verplicht wanneer er bij de verwerking nieuwe technologieën worden gebruikt en er, gelet op de aard, de omvang, de context en de doeleinden van de verwerking een hoog risico is. Een PIA is in ieder geval verplicht bij profilering indien die profilering een besluit met een rechtsgevolg tot gevolg heeft of de betrokkene ‘wezenlijk treft’. Dit is een grijs gebied en mag op z’n zachtst gezegd “vaag” genoemd worden.

9. Meldplicht datalekken

Sinds 1 januari 2016 is in Nederland de meldplicht datalekken actief. Deze meldplicht blijft onder de GDPR nagenoeg gelijk. Nieuw is dat de bewerker onder de GDPR verplicht is een datalek te melden aan de verantwoordelijke (bijvoorbeeld de opdrachtgever) en dat er pas een melding bij de toezichthouder hoeft te worden gedaan als er daadwerkelijk een lek heeft plaatsgevonden. Onder de Wbp moet er al een melding worden gedaan als niet kan worden uitgesloten dat er een onrechtmatige verwerking van persoonsgegevens kan plaatsvinden.

10. Overtredingen en sancties

De GDPR maakt het voor de (Europese) Autoriteit Persoonsgegevens mogelijk hogere boetes op te leggen. De maximumboete (bijvoorbeeld voor het niet rechtmatig verkrijgen van toestemming of niet voldoen aan regels omtrent data-uitwisseling met niet EU-landen) is €20 miljoen of 4% van de wereldwijde jaaromzet per incident.

Bron: Data Driven Marketing Association, 2016


Betrek de medewerker op de werkvloer!

De voorbereiding op de AVG is niet alleen een zaak voor de beleidsmakers, Functionaris Gegevensbescherming, CISO of juridische afdeling. Iedereen krijgt ermee te maken, ook de “normale medewerker” moet weten wat er allemaal gaat veranderen. De gemiddelde werknemers zit alleen niet te wachten op langdradige juridische verhalen, hij wil juist weten wat er concreet voor hem gaat veranderen. Daarbij moeten er praktische handvatten en tips gegeven worden hoe zijn met de nieuwe wetgeving dienen om te gaan.

Wat kunnen wij voor u betekenen?

Met het oog op de nieuwe Europese privacywetgeving hebben we een online AVG-trainingsmodule ontwikkeld die gericht is op de gemiddelde medewerker. In minder dan 15 minuten leggen we de basisprincipes van de AVG uit, gaan we dieper in op persoonsgegevens en datalekken en hoe de wet van invloed is op de dagelijkse werkzaamheden. Deze module is los verkrijgbaar, maar is ook standaard opgenomen in ons complete online security awareness programma.

Bekijk de impressie!

Probeer de demo!

Probeer de gratis demoversie om onze aanpak te ervaren.

Ik ontvang graag de demo

Over NextTech Security

Organisaties worstelen vaak met de betrokkenheid van medewerkers op het gebied van cyberveiligheid en informatiebeveiliging. Wij zijn specialist in het creëren van bewustwording en gedragsverandering op dit vlak. Wij testen het gedrag van medewerkers, geven inzicht in het actuele veiligheidsniveau en trainen medewerkers hoe zij zakelijk en privé moeten handelen. Leer uw medewerkers beveiligingsrisico’s herkennen en maak van hen de sterkste schakel in informatiebeveiliging! Kijk ook eens op nexttech.nl/onze-aanpak voor een overzicht van onze onderzoeken en trainingen.

Terug naar het overzicht