Naar de inhoud
DW&P Dr. Werner and Partners

Klaar voor de AVG? Alles wat u moet weten!

Dr. jur. Jörg WernerDr. jur. Jörg WernerBijgewerkt 6 min leestijd.md

We leven in een datagedreven wereld – in alle facetten van ons leven hebben we te maken met het verzamelen, verwerken en opslaan van gegevens. Het is dan ook geen wonder dat de oude privacyrichtlijn (Richtlijn 95/46/EG) de snelle technologische ontwikkelingen niet meer kon bijbenen.

Daarom heeft de Europese Commissie in 2012 wetsvoorstellen gepubliceerd om de gegevensbescherming in de hele Europese Unie te hervormen. Het doel: Europa 'klaarstomen voor het digitale tijdperk'.

Centraal in deze hervorming staat de invoering van de Algemene Verordening Gegevensbescherming (de 'AVG' of 'GDPR'), die het volgende beoogt:

Belangrijkste wijzigingen door de AVG

PARTIJEN DIE GEGEVENS VERWERKEN

De AVG is van toepassing op twee soorten partijen die gegevens verwerken: de verwerkingsverantwoordelijken en de verwerkers.

  • Een betrokkene (Data Subject) is iedere direct of indirect identificeerbare persoon wiens persoonsgegevens worden verzameld, verwerkt en opgeslagen, zoals sollicitanten, werknemers, klanten en websitebezoekers.
  • Een verwerkingsverantwoordelijke (Data Controller) is een natuurlijke persoon of rechtspersoon die alleen of samen met anderen het doel, de middelen en de manier van de verwerking van persoonsgegevens bepaalt.
  • Een verwerker (Data Processor) is een afzonderlijke natuurlijke persoon of rechtspersoon die door de verwerkingsverantwoordelijke wordt ingeschakeld om persoonsgegevens namens hem en volgens zijn strikte instructies te verwerken.

MEER RECHTSZEKERHEID

Eén enkele wet die de gegevensbescherming in heel Europa regelt, maakt een einde aan de voorheen verwarrende situatie. Tot nu toe had elke lidstaat namelijk zijn eigen nationale wetten, wat leidde tot grote verschillen in regelgeving en sancties tussen de landen.

UITBREIDING VAN HET TERRITORIALE TOEPASSINGSGEBIED

Waar het onder Richtlijn 95/46/EG nog vaag bleef of deze ook buiten de EU van toepassing was, maakt de verordening duidelijk dat de geografische locatie geen factor is. De AVG geldt voor bedrijven die:

  • goederen of diensten aanbieden in de EU;
  • informatie van EU-burgers/inwoners verzamelen, verwerken en opslaan, ongeacht of deze activiteiten binnen de EU plaatsvinden.

Dus als ik besluit om op vakantie te gaan naar China en in een hotel verblijf, is dat hotel nog steeds verplicht om mijn gegevens en rechten te beschermen, aangezien het hotel gegevens verzamelt die betrekking hebben op een EU-burger.

STRENGERE SANCTIES

Onder de oude richtlijn verschilden de boetes per land. Zo waren de boetes onder de oude Maltese wetgeving (hoofdstuk 440 van de wetten van Malta) bijvoorbeeld niet hoger dan € 23.000.

Onder de nieuwe verordening kan de Information and Data Protection Commissioner ('IDPC') boetes opleggen die beginnen bij € 10 miljoen of 2% van de wereldwijde jaaromzet, en afhankelijk van de ernst van de overtreding kunnen oplopen tot maximaal € 20 miljoen of 4% van de wereldwijde jaaromzet.

HET BEPALEN VAN EEN PASSENDE STRAF IS MAATWERK!

Hierbij wordt rekening gehouden met de volgende factoren:

  • Aard, ernst en duur van de inbreuk;
  • Of de inbreuk opzettelijk of nalatig was;
  • Alle maatregelen die zijn genomen om de schade voor de betrokkenen te beperken;
  • De mate van verantwoordelijkheid;
  • Eventuele eerdere inbreuken.

NIEUWE VERPLICHTINGEN

Verantwoordingsplicht – Naast het invoeren van passende technische en beveiligingsmaatregelen, zijn verwerkingsverantwoordelijken verplicht om de genomen maatregelen, de effectiviteit ervan en de manier waarop deze worden gecontroleerd en bijgewerkt, te documenteren.

Transparantie – Verwerkingsverantwoordelijken zijn in principe verplicht om betrokkenen op een eenvoudige en nauwkeurige manier te informeren over hun rechten en over hoe hun persoonsgegevens worden verzameld, gebruikt en opgeslagen.

Aanstelling van een Functionaris Gegevensbescherming ('FG' of 'DPO') – Om naleving te vergemakkelijken, zijn overheidsinstanties (wettelijk) verplicht een FG aan te stellen. De FG is verantwoordelijk voor het uitvoeren van regelmatige controles en evaluaties, het bevorderen van een privacycultuur en fungeert als brug tussen de organisatie, de betrokkenen en de toezichthouder.

Toezicht op verwerkers – Verwerkingsverantwoordelijken moeten een gedetailleerde due diligence uitvoeren om er zeker van te zijn dat de verwerkers voldoende garanties (d.w.z. beveiligingscontroles) bieden in overeenstemming met de eisen van de AVG.

AANSPRAKELIJKHEID

Waar verwerkingsverantwoordelijken onder Richtlijn 95/46/EG nog fungeerden als een soort schild voor de verwerkers, kunnen betrokkenen onder de nieuwe verordening rechtstreeks juridische stappen ondernemen tegen verwerkers en schadevergoeding eisen voor materiële of immateriële schade.

MELDPLICHT DATALEKKEN

Onder de oude richtlijn was een dergelijke melding alleen verplicht voor de sector elektronische communicatie.

NU is elke organisatie die gegevens verzamelt, verwerkt en/of opslaat, verplicht om datalekken binnen 72 uur (inclusief weekenden en feestdagen) te melden aan de toezichthoudende autoriteit. Als dit niet binnen de gestelde termijn gebeurt en de betrokkenen een hoog risico lopen, is de aansprakelijkheid van de verwerkingsverantwoordelijke aanzienlijk groter, aangezien het om een wettelijke verplichting gaat.

PRIVACY BY DESIGN & DEFAULT

Vanaf het begin, dus vóór de aanschaf van een nieuw systeem, de start van een nieuw proces of het openen van een nieuwe dienst, moeten verwerkingsverantwoordelijken waarborgen dat de gegevensbescherming geregeld is.

Zij moeten ervoor zorgen dat:

  • het principe van dataminimalisatie wordt toegepast – er mogen alleen gegevens worden verzameld die strikt noodzakelijk zijn. Het verzamelen van gegevens voor 'toekomstig gebruik' is dus geen geldig excuus meer;
  • de verwerking beperkt blijft tot het doel waarvoor de gegevens zijn verzameld (doelbinding);
  • de gegevens beschermd zijn door versleuteling, anonimisering, sterke wachtwoorden en back-ups (hoewel geen enkel systeem 100% onfeilbaar is);
  • er voorafgaande effectbeoordelingen (DPIA's) worden uitgevoerd wanneer de verwerking risico's met zich mee kan brengen voor de betrokkenen;
  • de gegevens alleen kunnen worden ingezien door geautoriseerd personeel wanneer dit strikt noodzakelijk is; en
  • de verwerkingsactiviteiten worden gedocumenteerd.

DUIDELIJKERE REGELS VOOR TOESTEMMING

Toestemming moet aan de volgende eisen voldoen:

  • Vrijwillig gegeven
  • Specifiek
  • Positieve opt-in (geen vooraf aangevinkte vakjes)
  • Ondubbelzinnig
  • Geïnformeerd
  • Gedocumenteerd

Het recht om toestemming in te trekken moet net zo EENVOUDIG zijn als het geven van toestemming!

BEWAARTERMIJNEN

Hoewel de verplichting om persoonsgegevens niet langer dan noodzakelijk te bewaren al in Richtlijn 95/46/EG stond, eist de AVG dat verwerkingsverantwoordelijken de specifieke bewaartermijn (of de criteria om deze te bepalen) vastleggen.

UITZONDERING – Gegevens die in het algemeen belang worden opgeslagen voor archivering, statistiek, of wetenschappelijk en historisch onderzoek, mogen voor onbepaalde tijd worden bewaard.

MEER CONTROLE

Hoewel de oude richtlijn al bepaalde rechten kende (recht op informatie, inzage, rectificatie, beperking, bezwaar en het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming), was het hoofddoel van de verordening om burgers meer controle over hun persoonsgegevens te geven.

Met de AVG zijn de volgende extra rechten geïntroduceerd:

  • het recht op gegevenswissing (ook wel het 'recht op vergetelheid' genoemd);
  • het recht op dataportabiliteit (overdraagbaarheid van gegevens).

Bovenstaande rechten zijn NIET ABSOLUUT en verzoeken moeten doorgaans binnen 1 maand worden beantwoord.

CONCLUSIE

Al met al is er bij de AVG geen 'one-size-fits-all' aanpak die voor elk bedrijf werkt. Het staat echter buiten kijf dat bedrijven uitgebreide en passende maatregelen moeten nemen om de gegevensbescherming te waarborgen en het risico op inbreuken te minimaliseren.

“De digitale toekomst van Europa kan alleen op vertrouwen worden gebouwd. Met solide, gemeenschappelijke standaarden voor gegevensbescherming kunnen mensen er zeker van zijn dat ze de controle houden over hun persoonsgegevens.” – Andrus Ansip.

Dr. jur. Jörg Werner

Over de auteur

Dr. jur. Jörg Werner

Management

Dr. jur. Jörg Werner richtte DW&P in 2013 op in Malta met als doel Duitstalige ondernemers ter plaatse te adviseren over oprichting en fiscale planning. Zijn uitgebreide juridische expertise en strategisch inzicht in de behoeften van internationale cliënten bepalen tot op heden de koers van het kantoor.

Uw situatie verdient een persoonlijke beoordeling

In een gratis gesprek van 30 minuten bespreken onze senior adviseurs uw opties. Vertrouwelijk en vrijblijvend.

Boek een adviesgesprek

Lees meer

Meer artikelen

Kantoornieuws

Iran-conflict: Hoe veilig zijn Dubai en Cyprus voor expats?

4 Min.

Kantoornieuws

Een goklicentie aanvragen bij de Malta Gaming Authority (MGA)

8 Min.

Kantoornieuws

Jachtregistratie op Malta: Dit moet u weten!

7 Min.
Alle artikelen
CSP Licensed Badge

Corporate Services bij DW&P Dr. Werner & Partners worden verleend door DW&P Services Ltd. (C 103208), dat onder toezicht staat van de MFSA en een vergunning heeft onder Authorised Person ID: DSER-23577 voor het uitvoeren van activiteiten als Class C CSP conform de Company Services Providers Act (Cap. 529 van de wetten van Malta).

BellenGratis Adviesgesprek