EU AVG: Wat is het en hoe werkt het?

Inleiding tot de EU Algemene Verordening Gegevensbescherming (AVG)

Wat is AVG, en waarom praat iedereen erover? De Algemene Verordening Gegevensbescherming mikt op het aanbieden van een uniforme en geharmoniseerde benadering ten aanzien van de in de Europese Unie aan de ingezetenen van de EU, en streeft ernaar de rechten van de mensen te versterken op gegevensbescherming als bepaald in Artikel 8 van de EU Handvest van Fundamentele Rechten. Na bijna vier jaar van beraadslagen en debatteren, werd de AVG eindelijk goedgekeurd door het Europees Parlement op 14 april 2016.

Alhoewel het document geldig 20 dagen na de goedkeuringsdatum geldig werd, werd de bekrachtigingsdatum op 25 mei 2018 vastgesteld. Het lijkt veel tijd om voor te bereiden, maar de waarheid is dat er veel dingen gedaan moeten worden, als gevolg van enkele belangrijke wijzigingen. In dit artikel kunt u uitleg over AVG vinden.

Verordening vs. richtlijn

Een van de eerste wijzigingen, en een fundamentele wijziging, van het voormalige gegevensbeschermingsraamwerk (EU Gegevensbeschermingsrichtlijn – Richtlijn 95/46/EU) is dat, na vele debatten, het Europees Parlement heeft besloten dat het nieuwe privacy raamwerk in de vorm van een verordening moet worden neergezet in plaats van een richtlijn.

Waarom een verordening? Het antwoord is eenvoudig – een verordening is een bindende wet die direct toepasselijk is voor alle lidstaten van de EU, de noodzaak op lokale wetgeving op te stellen wegnemend, het is aannemelijk dat er verschillen zullen zijn in hoe de EU AVG wordt geïnterpreteerd en ingevoerd binnen de verschillende lidstaten.

Naast de behoefte voor een gemeenschappelijk privacy-raamwerk, door het passeren van de EU AVG, stuurt de EU een sterke boodschap ten aanzien van zijn toewijding om de persoonsgegevens van EU natuurlijke personen (een natuurlijk persoon is een levend individu waaraan persoonsgegevens gerelateerd is), en niet alleen van bedrijven opererend binnen de EU.

De extra reikwijdte van de AVG

Naast de vraag wat AVG is, is een van de veelgestelde vragen waar de EU AVG toepasselijk is? De extraterritoriale reikwijdte van de AVG is een van de nieuwe kenmerken die substantieel bijdragen aan het verhoogde beschermingsniveau van persoonsgegevens. Wat houdt extraterritoriaal in? Waarschijnlijk een van de meest belangrijke wijzigingen, de AVG zal een verlengde toepasselijkheid entiteiten rakend die niet in de EU zijn gevestigd. Natuurlijk, enkele voorwaarden moeten worden nagekomen voor het extraterritoriale om toepasselijk te zijn. De AVG zal toepasselijk zijn op het verwerken van persoonsgegevens van EU natuurlijke personen, ongeacht of de verwerkende activiteiten plaatsvinden EU of niet. De EU AVG is tevens van toepassing voor entiteiten die buiten de EU gevestigd zijn indien ze goederen of diensten aanbieden aan personen in de Europese Unie, of indien ze toezicht houden op het gedrag van personen in de Europese Unie (bijv., profilingsactiviteiten, bijhouden activiteiten van individuen op het internet, enz.).

De sleutel tot het begrijpen wanneer de AVG van toepassing is, is het begrijpen van de betekenis van “binnen de Europese Unie.” De AVG is enkel toepasselijk op persoonsgegevens betreffende personen binnen de Europese Unie, waarbij de nationaliteit of de gebruikelijke woonplaats van deze personen irrelevant is. Bijvoorbeeld, een bedrijf dat in de EU gevestigd is en de gegevens verwerkt van Japanse personen, gevestigd in Japan, moet evengoed de AVG naleven. Derhalve zullen deze Japanse personen van alle rechten van de AVG profiteren, zelfs indien deze rechten niet bestaan in de wetten van hun eigen land.

Wanneer de gegevens van EU-burgers buiten de EU worden verwerkt door bedrijven die tevens buiten de EU gevestigd zijn, dan wordt dit niet beschouwd als “binnen de Europese Unie”. Bijvoorbeeld, de AVG zal niet van toepassing zijn voor een school die in de Verenigde Staten gevestigd is, enkel omdat de mogelijkheid bestaat dat één of meerdere van de studenten EU-burgers zouden kunnen zijn. In dit geval vindt het verwerken niet “binnen de Europese Unie” plaats, en evenmin bevindt de persoon zich “binnen de Europese Unie”.

Een van de gevolgen van het extraterritoriale bereik, is dat bedrijven die niet in de EU gevestigd zijn, een vertegenwoordiger moeten aanwijzen. Deze vertegenwoordiger dient een gevestigde zijn in een Lidstaat waarin de relevante natuurlijke personen zijn gestationeerd. Slechts een beperkte afbreuk is toegestaan waar de verwerking af en toe plaatsvindt, het geen grootschalige verwerking van gevoelige persoonsgegevens betreft, en het doel en resultaat van de verwerking onwaarschijnlijk een risico is voor de individuen.

EU AVG: Wat is het en hoe werkt het? - Advisera

Overdracht van persoonsgegevens over grenzen

Wanneer het gaat om het overdragen van gegevens, legt de AVG strikte beperkingen op ten aanzien van locaties buiten de Europese Unie. Dit wordt gedaan om de bescherming van persoonsgegevens op een adequaat niveau te houden. Wanneer mogen gegevensoverdrachten uitgevoerd worden naar plaatsen buiten de EU? Zoals de AVG het uitlegt, mag gegevensoverdracht uit de EU plaatsvinden indien:

  • een besluit van toereikendheid is gedaan door de EU (de EU heeft vastgesteld dat een bepaald land gegevensbeschermingswetgeving heeft vergelijkbaar met de EU)
  • toepasselijke waarborgen bestaan (bijvoorbeeld, contracten die de EU modelclausules voor overdracht van persoonsgegevens bevatten)
  • specifieke uitzonderingen (bijvoorbeeld, helder geïnformeerde toestemming door de natuurlijke persoon)

Persoonsgegevens veilig houden

De EU AVG verlangt dat bedrijven de persoonsgegevens veilig houden, zoals de huidige richtlijn doet. Hoe wel deze verplichting in algemene termen is uitgedrukt, geeft het enige indicaties gerelateerd aan de maatregelen die zijn bedoeld om de persoonsgegevens te beschermen, zoals:

  • encryptie en anonimiseren
  • waarborgen en onderhouden vertrouwelijkheid, integriteit, beschikbaarheid, en veerkracht van zijn IT-systemen
  • vermogen tijdig beschikbaarheid en toegang tot persoonsgegevens te herstellen
  • regelmatig de effectiviteit van de beveiligingsmaatregelen te ondersteunen en testen uitgerold om de gegevens te beschermen

De maatregelen hierboven genoemd zijn slechts voorbeelden – niet verplicht – en dienen alleen worden toegepast “indien van toepassing.” Dus, het is de verantwoordelijkheid van het bedrijf om aan te tonen dat de beveiligingsmaatregelen geschikt zijn.

Een goed gebruik aangaande beveiligingsmaatregelen zou de ISO 27001-norm kunnen zijn, dus bedrijven kunnen dit gebruiken als een vertrekpunt wanneer ze hun databeveiligingsmaatregelen bouwen.

EU AVG: Wat is het en hoe werkt het? - Advisera

Verantwoordelijken vs. verwerkers

De EU AVG legt eveneens nieuwe sancties op aan gegevensverwerkers. Dit is een grote afwijking van eerdere gegevensbeschermingswetten, waar alle verplichtingen gecentreerd waren rondom de gegevensbeheerder. Voor een beter begrip van wat AVG is, is het belangrijk te weten dat gegevensverwerkers nu, onder andere, administratie van verwerkingsactiviteiten moeten bijhouden.

Wie is een gegevensverwerker? Zoals eerder, een gegevensverwerker is een entiteit (zoals een wettelijk persoon, publieke autoriteit, agentschap, of elke andere instantie) dat gegevens verwerkt namens een beheerder.

Nieuw rechten voor natuurlijke personen

In een grote update, introduceerde de EU AVG nieuwe rechten voor natuurlijke personen. Deze zijn:

  • rechten tot toegang, rectificatie, en portabiliteit
  • recht om bezwaar te maken
  • rechten tot wissen en beperking van verwerking

De meest prominente van deze wijzigingen is de uitgebreide bediscussieerde “recht om vergeten te worden” (welke nu het “recht om wissen” wordt genoemd”). Dit recht om kan in gang worden gezet in bepaalde specifieke situaties, inclusief wanneer de natuurlijke persoon zijn of haar toestemming intrekt of dat er niet langer enige rechtvaardiging voor de verwerking van de persoonsgegevens.

De gegevensverantwoordelijke dient “zonder onnodige vertraging” te reageren wanneer deze aanvragen worden ontvangen en dient alle entiteiten in te lichten met wie deze gegevens zijn gedeeld. Het is duidelijk dat voor alle natuurlijke persoonsrechten, er een strikt vereiste voor gegevensverantwoordelijken is om de persoonsgegevens te inventariseren en in kaart te brengen teneinde te reageren op de toegangsverzoeken (in elke vorm) van de natuurlijke persoon “zonder onnodige vertraging.”

Wel of geen FG hebben

Onder de AVG is er eveneens een verplichting voor sommige organisaties een Functionaris voor de gegevensbescherming (FG) aan te stellen, alhoewel alleen in specifieke instanties:

  • waar de gegevensverantwoordelijke of -verwerker is een publieke autoriteit
  • waar de kern activiteiten van de gegevensverantwoordelijke of -verwerker “regelmatig en systematisch de natuurlijke personen op een grote schaal” bewaakt
  • waar de gegevensverantwoordelijke of -verwerker op grote schaal de verwerking van speciale categorieën van persoonsgegevens uitvoert (zoals etniciteit, ras, politieke opvatting, geloofsovertuigingen, etc.)

Datalekken & beveiliging

Naast de introductie van de nieuwe rechten voor natuurlijke personen, introduceert de EU AVG nieuwe regels voor datalekken. Vergeleken met de voorgaande richtlijnen, legt de AVG verplichtingen op aan zowel de gegevensverantwoordelijken als de gegevensverwerkers. De AVG biedt eveneens begeleiding en voorbeelden om het voor organisaties makkelijk te maken om risico’s te mitigeren. Waaronder deze zijn:

  • pseudonimiseren van persoonlijke gegevens (wat betekent: persoonlijke gegevens verwerken op een manier die niet langer kan worden toegeschreven aan een specifiek gegevensonderwerp zonder het gebruik van extra informatie)
  • het vermogen om de beschikbaarheid (en toegang tot) van persoonsgegevens op een tijdige wijze volgend op fysieke of technische incidenten
  • het vermogen vertrouwelijkheid, integriteit en veerkracht, van de verwerkende systemen, te verzekeren
  • processen toevoegen om regelmatig testen en evalueren van technische en organisatorische maatregelen te verzekeren om de veiligheid van verwerkte persoonlijke gegevens te verzekeren

Voorts, organisaties dienen nu aan de normen te voldoen wanneer het tot het melden van lekken. Ten eerste, organisaties die te maken hebben gekregen met een datalek dienen nu de leidende toezichthouder te alarmeren (onafhankelijke publieke autoriteit die is opgericht door een lidstaat volgend op Artikel 51 van de AVG) “zonder onnodige vertraging” tenzij het lek geen risico vormt voor de datasubjects. Indien er een risico is voor de getroffen individuen, dan dienen de organisaties dit eveneens te communiceren naar de getroffen natuurlijke personen, wederom “zonder onnodige vertraging.”

Boetes en sancties onder de AVG

Om de AVG uit te leggen, is het zeer belangrijk te weten dat slecht omgaan met gegevenslekken strafbaar is op het hoogste niveau van sancties onder de AVG.

Een andere manier voor het Europees Parlement om z’n toewijding tot privacy te bevestigen zijn de nieuwe sancties, welke aanzienlijk hoger zijn dan onder de voorgaande richtlijn. De boetes kunnen nu zo hoog zijn als 4% van de wereldwijde jaaromzet van het bedrijf in overtreding. De logica achter de gigantische met anti-trust vergelijkbare boetes is eigenlijk eenvoudig: hogere straffen voor afwijkingen worden gezien om tot hogere niveaus van naleving te komen. Het zal toenemend moeilijker worden voor bedrijven om zomaar een bepaald niveau van risico te accepteren wanneer ze te maken krijgen met persoonsgegevens, omdat de straffen nu extreem zijn en zou een bedrijf op de knieën kunnen krijgen.

Straffen onder de AVG zullen vallen onder twee categorieën in naam van de hoogte van de boete:

  1. Tot aan 2% van de wereldwijde jaaromzet of €10m, welke hoger is, voor inbreuk in gevallen waar daar is een:
    • falen om een datalek te rapporteren
    • falen om met privacy bij ontwerp principes te voldoen als opgesteld in Artikel 25 van de AVG
    • falen om een vertegenwoordiger te benoemen (waar de entiteit is gevestigd buiten de EU)
    • falen om toestemming te verkrijgen wanneer het gaat op de verwerking van gegevens van kinderen
    • falen om toereikende gegevensbeschermende clausules in te voeren in contracten met verwerkers
    • falen om een Functionaris voor de gegevensbescherming aan te stellen
    • falen om geschreven registraties te onderhouden
  2. Tot aan 4% van de wereldwijde jaaromzet of €20m, welke hoger is, voor meer ernstige overtredingen zoals:
    • falen om te voldoen aan de principes van wettelijke gegevensverwerking als opgesteld in de AVG
    • falen om aan de regelingen gerelateerd aan overdracht van persoonsgegevens buiten de EU te voldoen
    • falen om te conformeren aan rechten van natuurlijke personen

De nieuwe set van sancties zijn eveneens toegevoegd door additionele krachten die eenvoudig toegankelijk zijn voor de gegevensbeschermende leidende toezichthouders, zoals het uitvaardigen van waarschuwingen van niet-naleving, uitvoeren van audits, vereisen van specifieke sanering binnen een specifiek tijdspad, verordonneren van het wissen van gegevens, en het opschorten van gegevensoverdrachten naar een derde land.

De impact van de AVG in verschillende rechtsgebieden

Hoe zit het met de impact van de AVG in verschillende rechtsgebieden? De impact van de AVG kan iets anders zijn voor organisaties opererend vanuit rechtsgebieden als Duitsland, Frankrijk, of Nederland waar de gegevensbeschermingswetgeving historisch strikt is, en in enkele gevallen, zelfs de bestaande richtlijn overstijgen. AVG compliance zal worden eenvoudiger worden bereikt door bedrijven in deze domeinen, omdat de leidende toezichthouders autoriteiten in deze landen reeds ijverig hebben gewerkt om de rechten en vrijheden van het individu te beschermen.

Echter, voor andere rechtsgebieden waar leidende toezichthouders autoriteiten “slapende bleven” als gevolg van het gebrek aan administratieve kracht en bijna onbetekenende boetes, hebben organisaties de risico’s ten aanzien van de rechten en vrijheden van individuen genegeerd, wetende dat de leidende toezichthouders niet de middelen hebben of de kracht om sancties aan de overtreders op te leggen. Verwerkers, in het bijzonder, zullen worden getroffen binnen deze rechtsgebieden omdat, tot nu toe, ze nooit een doelwit waren van de onderzoeken van de gegevensbeschermende toezichthouders.

Een stap voorwaarts . . . ?

Wat is de betekenis van de AVG in het algemeen? Het is ontegenzeggelijk een noodzakelijke stap vooruit om het wettelijke kader van gegevensbescherming naar de 21e eeuw te brengen, en gecombineerd met de inwerkingtreding van de ePrivacy richtlijn, is er nooit eerder een ingrijpendere verandering in gegevensbeschermingswetgeving geweest, wellicht sinds Louis Brandeis aanvoerde dat privacy een recht is, en geen gunst.

Met andere woorden, indien uw organisatie niet al was begonnen met het reviseren van het gegevensbeschermingsraamwerk, dan is het nu een goede tijd om te starten.

Om meer te weten te komen over EU AVG implementatie, bezoek onze EU AVG Gratis download pagina. U zult veel nuttige bronnen vinden.