De Europese Commissie bereikte gisteren een akkoord met het Europees Parlement (EP) en de Raad van de Europese Unie over de hervorming van de Europese privacywetgeving. Het hervormingsproces van de Europese gegevensbeschermingsregels startte bijna vier jaar geleden, in januari 2012.
Het hervormingspakket bestaat uit de Algemene Verordening Gegevensbescherming (AVG) en de Gegevensbeschermingsrichtlijn voor Politie en Justitie. De AVG wijzigt en vervangt de huidige regels die hun grondslag vinden in de Europese privacyrichtlijn uit 1995, zoals de Wet bescherming persoonsgegevens.
Volgens de Commissie stoomt deze hervorming Europa klaar voor het digitale tijdperk en maakt het een einde aan de lappendeken van gegevensbeschermingsregels zoals die er binnen de EU nu nog is. De nieuwe regels moeten enerzijds een hoog niveau van bescherming bieden en anderzijds kansen creëren voor bedrijven en innovatie stimuleren binnen de digitale interne markt. De definitieve teksten zullen begin 2016 door het EP en de Raad worden aangenomen. De nieuwe regels treden dan twee jaar later in werking. Ook ondernemingen kunnen niet stil blijven zitten: zij zullen hun gegevensverwerkingsbeleid in lijn moeten brengen met de nieuwe regels.
Zeggenschap over persoonsgegevens
De hervorming is erop gericht om mensen de controle over hun persoonsgegevens terug te geven. De nieuwe regels omvatten:
- Eenvoudiger toegang tot eigen gegevens – Personen krijgen meer informatie over hoe hun gegevens worden gebruikt en welke gegevens worden opgeslagen.
- Het recht om gegevens over te dragen – Het wordt voor personen makkelijker om data van de ene dienstverlener over te laten dragen naar de andere.
- Een verduidelijkt ‘recht om vergeten te worden’ – Als personen willen dat hun gegevens niet langer verwerkt worden, en er geen legitieme redenen zijn om deze gegevens te behouden, moeten de gegevens verwijderd worden.
- Het recht van een persoon om te weten dat zijn gegevens gehackt zijn – Bedrijven en organisaties moeten bijvoorbeeld zo snel mogelijk een melding doen bij de persoon in kwestie en bij de nationale toezichthouder als er sprake is van datalek.
Gevolgen voor ondernemingen
De AVG voorziet in één pakket van privacyregels. Hierdoor moet het voor bedrijven makkelijker en goedkoper worden om zaken te doen in de EU. Een greep uit de nieuwe regels:
- Functionaris gegevensbescherming – Ondernemingen moeten een functionaris gegevensbescherming aanstellen als het tot hun kernactiviteit behoort om op grote schaal persoonsgegevens te verwerken.
- One-stop-shop – Ondernemingen krijgen nog maar met één toezichthouder te maken, ook als ze meerdere vestigingen binnen de EU hebben.
- Op Europese bodem gelden Europese regels – Voor bedrijven die buiten de EU gevestigd zijn gelden, wanneer zij binnen de EU diensten aanbieden, dezelfde regels als voor bedrijven binnen de EU.
- Privacy by design – De AVG schrijft voor dat privacywaarborgen vanaf het eerste ontwikkelingsstadium worden ingebouwd in producten en diensten.
Boete
Als een organisatie de regels uit de AVG overtreedt kan een substantiële boete (van maximaal 4% van de wereldwijde jaaromzet) worden opgelegd.
KVdL Update: Algemene Verordening Gegevensbescherming
Op 15 maart 2016 wordt u door onze privacy-specialisten bijgepraat over de algemene verordening gegevensbescherming. Ga voor meer informatie en inschrijven naar: KVdL Update: Algemene Verordening Gegevensbescherming.