Opheldering: de grootste verschillen tussen AVG en Wbp

10 aug 2017
Wat zijn nu precies de verschillen tussen de GDPR en AVG?

Op 25 mei 2018 wordt er een nieuwe Europese wetgeving van kracht, de ‘GDPR’ (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming). Deze wetgeving zal boven de huidige Wbp komen te staan en kent strengere regels en hogere sancties bij het niet naleven van de regels. Wat er nu precies gaat veranderen en hoe u zich kunt voorbereiden is voor veel organisaties nog onduidelijk. Uit verschillende onderzoeken en publicaties blijkt dat circa de helft van de Nederlandse organisaties überhaupt niet weet dat de nieuwe wetgeving van kracht wordt.

Als er geschreven wordt over de AVG of GDPR gaat het meestal over de boetebedragen die aanzienlijk hoger zijn dan voor de boetebedragen onder de wet Meldplicht Datalekken. Dit terwijl juist de verschillen tussen de Wbp en GDPR voor veel organisaties onduidelijk zijn. Daarom hebben wij uit de lange juridische-tekstbrij de 10 belangrijkste verschillen tussen de GDPR en de Wbp voor u op een rij gezet.

1. Toepassing
De wet is ook van toepassing buiten de EU, voor organisaties die persoonsgegevens verwerken van EU-burgers. Het begrip “persoonsgegeven” is voorzien van een update: ook online indicators zijn toegevoegd als herleidbaar naar een natuurlijk persoon.

2. Toestemming
Bij meerdere verwerkingen van persoonsgegevens moet er bij alle verwerkingen afzonderlijk toestemming worden gevraagd aan betrokkenen, die ondubbelzinnig van aard is en waarbij een actieve handeling vereist is door betrokkenen. Geen stilzwijgende verlengingen meer van abonnementen. Alles moet in begrijpelijke taal geschreven worden aan betrokkenen.

3. Verwerkingsbeginselen
De GDPR introduceert kernbeginselen, waaraan alle verwerkingen van persoonsgegevens moeten voldoen:

  • Persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verwerkt;
  • Persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt;
  • Alleen persoonsgegevens, die noodzakelijk zijn voor het doel mogen worden verwerkt;
  • Gegevens moeten correct en actueel zijn;
  • Als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of geanonimiseerd;
  • De persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.

4. Recht van betrokkenen
Toegevoegde rechten ten opzichte van de Wbp zijn:

  • Het recht op vergetelheid;
  • Het recht op dataportibiliteit;
  • Het recht om de verwerking te beperken;
  • Het recht om bezwaar te maken tegen verwerkingen.

5. Administratieplicht
Als organisatie moet je kunnen aantonen dat je compliant bent aan de GDPR. Denk hierbij aan de toestemming, alle gegeven informatie, rechten van betrokkenen, minimalisatie van verwerking van persoonsgegevens en afspraken met bewerkers. Een veel gebezigde term binnen de GDPR is “privacy by design”: een systeem dat in een beginstadium van de ontwikkeling al zo is ingericht, dat het de privacy van betrokkenen optimaal waarborgt. Daarnaast is er nog de term “privacy by default”: de standaardinstellingen van het systeem zijn zo privacyvriendelijk mogelijk en er worden niet meer persoonsgegevens verwerkt dan strikt noodzakelijk.

6. Profilering
Betrokkenen hebben het recht om niet te worden onderworpen aan profilering als daar rechtsgevolgen aan zijn verbonden. De wet spreekt over profilering wanneer verwerking van persoonsgegevens middels een geautomatiseerd proces gebeurt zonder een menselijke tussenkomst. Als blijkt dat gerechtelijke vervolging kan plaats vinden op basis van profilering, zijn organisaties verplicht hier een PIA op uit te voeren (zie verschil 8). Betrokkenen hebben het recht hierover geïnformeerd te worden en hier bezwaar tegen te maken.

7. Inschakelen bewerker
De GDPR heeft een aantal verplichte onderdelen, die terug dienen te komen in een bewerkersovereenkomst, waaronder:

  • Het doel van de verwerking;
  • Het soort persoonsgegevens dat wordt verwerkt;
  • De categorieën van betrokkenen;
  • Dat passende beveiligingsmaatregelen zullen worden genomen;
  • Dat de bewerker meewerkt aan audits om te controleren of de bewerker zich aan alle verplichtingen houdt en na afloop van de verwerking het vernietigen of retourneren van de persoonsgegevens aan de verantwoordelijke;
  • De bewerker mag niet meer een derde partij inschakelen zonder de voorafgaande schriftelijke toestemming van de verantwoordelijke.

8. Privacy Impact Assessment
Een ‘gegevensbeschermingseffectbeoordeling’ is een beoordeling om het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens in kaart te brengen. Deze beoordeling is verplicht wanneer er bij de verwerking nieuwe technologieën worden gebruikt en er, gelet op de aard, de omvang, de context en de doeleinden van de verwerking een hoog risico is. Een PIA is in ieder geval verplicht bij profilering indien die profilering een besluit met een rechtsgevolg tot gevolg heeft of de betrokkene ‘wezenlijk treft’. Dit is een grijs gebied en mag op z’n zachtst gezegd “vaag” genoemd worden.

9. Meldplicht Datalekken
Sinds 1 januari 2016 is in Nederland de Meldplicht Datalekken actief. Deze meldplicht blijft onder de GDPR nagenoeg gelijk. Nieuw is dat de bewerker onder de GDPR verplicht is een datalek te melden aan de verantwoordelijke (bijvoorbeeld de opdrachtgever) en dat er pas een melding bij de toezichthouder hoeft te worden gedaan als er daadwerkelijk een lek heeft plaatsgevonden. Onder de Wbp moet er al een melding worden gedaan als niet kan worden uitgesloten dat er een onrechtmatige verwerking van persoonsgegevens kan plaatsvinden.

10. Overtredingen en sancties
De GDPR maakt het voor de (Europese) Autoriteit Persoonsgegevens mogelijk hogere boetes op te leggen. De maximumboete (bijvoorbeeld voor het niet rechtmatig verkrijgen van toestemming of niet voldoen aan regels omtrent data-uitwisseling met niet EU-landen) is € 20.000.000,- of 4% van de wereldwijde jaaromzet per incident.

Bron: https://ddma.nl/actueel/gdpr-de-10-belangrijkste-veranderingen-voor-marketeers/

Terug naar het overzicht