Vanaf morgen, 25 mei 2018, is de Algemene Verordening Gegevensbescherming (AVG) van kracht binnen alle lidstaten van de Europese Unie. Zo ook in Nederland. In de AVG is vastgelegd aan welke regels lidstaten en organisaties zich dienen te houden in het kader van privacy. Op 4 mei 2016 werd deze verordening al door de Europese Unie aangenomen. Hierna hebben alle lidstaten en organisaties een periode van ruim twee jaar gehad om aan deze nieuwe regelgeving te voldoen.
Uitvoeringswet AVG
De Eerste Kamer heeft op 15 mei jl. de Uitvoeringswet Algemene Verordening Gegevensbescherming aangenomen. Hierin wordt invulling gegeven aan de keuzeruimte die op sommige punten in de AVG aan de lidstaten wordt gegeven. Ook wordt hierin de positie van het toezichthoudende orgaan, de Autoriteit Persoonsgegevens, geregeld. Daarnaast regelt de Uitvoeringswet AVG dat de eerdere wetgeving op het gebied van privacy, de Wet Bescherming Persoonsgegevens, wordt ingetrokken. De Uitvoeringswet AVG treedt tegelijk met de AVG in werking.
Organisaties klaar voor de AVG?
Uit de berichtgeving in de media van de afgelopen dagen blijkt dat slechts de minderheid van alle organisaties op tijd klaar is voor de komst van de AVG. De inschatting is zelfs dat ook aan het einde van dit jaar nog altijd een kwart van alle organisaties niet zal voldoen aan de verplichtingen uit de AVG. Dit zou voornamelijk veroorzaakt worden door een gebrek aan duidelijkheid, kennis en budget.
De Autoriteit Persoonsgegevens verlangt wel dat iedere organisatie tijdig aan de AVG voldoet. Organisaties hebben immers twee jaar de tijd gehad om hierop te anticiperen. Zij stelt dat de bescherming van de privacy en persoonlijke informatie als ‘essentieel’ en ‘een grondrecht’ moet worden aangemerkt. Zij kondigt dan ook aan ‘ver’ te zullen gaan in de handhaving van de AVG. Daarbij is in principe geen reden om onderscheid te maken tussen de grote ondernemingen, het mkb of de zzp’er.
In de AVG wordt de werkgever met minder dan 250 werknemers uitgezonderd van de verplichting een verwerkingsregister bij te houden, mits deze werkgever slechts incidenteel persoonsgegevens verwerkt. In dit register houdt de werkgever alle gegevens bij die binnen de onderneming worden verwerkt. Hoewel het mkb reeds heeft aangegeven gebaat te zijn bij een beroep op deze uitzondering, heeft de Autoriteit Persoonsgegevens al benoemd dat hier slechts in zeer beperkte mate een beroep op zal kunnen worden gedaan.
Meteen handhaving?
Of de Autoriteit Persoonsgegevens vanaf het eerste moment strikt zal handhaven, moet nog worden bezien. De Tweede Kamer heeft de Autoriteit Persoonsgegevens opgeroepen zich in het eerste jaar voornamelijk te richten op voorlichting en hulp bij de interpretatie en uitvoering van de nieuwe regelgeving. Ook Minister Dekker van Rechtsbescherming heeft zich hierover zeer recent uitgelaten. Hij verwacht dat kleine organisaties, die wel bezig zijn met de implementatie van de AVG, niet direct voor boetes van de Autoriteit Persoonsgegevens hoeven te vrezen. Ook is zowel in de AVG als de Uitvoeringswet AVG uitdrukkelijk opgenomen dat bij toepassing van de AVG met de specifieke situatie van kleinere ondernemingen rekening dient te worden gehouden.
Wel is duidelijk dat elke organisatie, ongeacht de omvang hiervan, dient te voldoen aan de verplichtingen uit de AVG. Organisaties doen er goed aan om deze verplichtingen daadwerkelijk na te leven. Immers, met boetes van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet kan een schending van de AVG een organisatie duur komen te staan.
Vragen voor onze advocaten en juristen Privacy?
Clairfort beschikt over een team van advocaten en juristen met specifieke kennis op het gebied van het privacyrecht, ook op de snijvlakken met arbeidsrecht en IT. Mocht u vragen hebben over dit onderwerp of ondersteuning wensen bij de implementatie van de AVG binnen uw onderneming, neemt u dan gerust contact op via privacy@clairfort.nl.
Neem contact op