De AVG is belangrijke wetgeving die van invloed is op iedereen die is gevestigd of zaken doet in de EU. Een groot deel van de AVG bundelt en standaardiseert de bestaande wetgeving in de hele EU, maar er zijn ook enkele belangrijke veranderingen. Veel daarvan breiden de rechten van personen uit met betrekking tot de persoonsgegevens die organisaties van hen bewaren. De AVG introduceert ook belangrijke nieuwe rechten voor de betrokkenen, zoals het recht om vergeten te worden en dataportabiliteit (overdracht). Organisaties hebben nu een korte periode om zich vertrouwd te maken met deze veranderingen en zich voor te bereiden.

Wijzigingen die u meer verplichtingen kunnen opleggen

1. Termijnen voor compliance

Er zijn nieuwe termijnen ingevoerd voor datacontrollers om informatie te verstrekken aan betrokkenen. In de meeste gevallen is dit één maand, maar waar er omvangrijke of complexe verzoeken zijn, kan dit worden verlengd met nog eens twee maanden.

2. Toegangsrecht

De categorieën van informatie die moet worden verstrekt in verband met een verzoek om toegang van een betrokkene zijn uitgebreid. Dit kan een extra administratieve last voor organisaties betekenen.

3. Verdwijning van vergoedingen voor toegang

In de meeste gevallen mogen organisaties niet langer een kleine vergoeding berekenen om in te gaan op verzoeken van betrokkenen. Dit opent de mogelijkheid dat groepen van individuele hun rechten als een goedkope maar effectieve wijze van protest tegen een organisatie kunnen uitoefenen.

4. Verbreding van het recht om vergeten te worden

De voorwaarden omtrent het recht om vergeten te worden (verwijdering van persoonlijke gegevens) zijn verduidelijkt en daardoor verruimd. Organisaties worden nu geconfronteerd met een breder spectrum van aanvragen waarop zij moeten ingaan.

5. Het recht om verwerking te beperken

Net als bij het recht om vergeten te worden, specificeert de AVG een veel breder scala van omstandigheden waarin betrokkenen kunnen eisen dat de verwerking van persoonsgegevens wordt beperkt.

6. Derden in kennis stellen

Organisaties worden verplicht om systemen en procedures te implementeren voor het in kennis stellen van betrokken derden met wie ze persoonlijke informatie hebben uitgewisseld waarover de betrokkenen hun rechten hebben uitgeoefend.

7. Recht van dataportabiliteit

Het recht van de betrokkenen om hun persoonlijke gegevens tussen datacontrollers te verplaatsen (bijv. bij het verplaatsen van een account van het ene bedrijf het andere.) kan een aanzienlijke investering in nieuwe systemen en processen vereisen.

8. Recht om bezwaar te maken tegen verwerking

Onder de AVG is de bewijslast omgekeerd, in plaats dat individuen zwaarwegende en gerechtvaardigde redenen moeten hebben om in verband met zijn/haar specifieke situatie bezwaar aan te tekenen tegen de verwerking, moet de datacontroller nu overtuigende legitieme redenen hebben dat de verwerking in het publieke of het legitieme belang van de datacontroller is.

9. Verplichting om de betrokkenen te informeren over het recht van bezwaar

Dit verplicht organisaties om nadere informatie te verstrekken aan betrokkenen, waarbij herzieningen van het standaard gegevensbeschermingbeleid en privacymededelingen nodig zullen zijn.

Wijzigingen die uw leven makkelijker kunnen maken

1. Het identificeren van betrokkenen

Individuen moeten nu het bewijs van hun identiteit leveren alvorens zij hun rechten kunnen activeren.

2. Gevallen waarin betrokkenen niet kunnen worden geïdentificeerd

Datacontrollers zijn niet verplicht om te voldoen aan bepaalde rechten van de betrokkenen als ze niet langer de gegevens kunnen koppelen (omdat deze zijn geanonimiseerd) aan die betrokkene.

3. Recht van dataportabiliteit

Omdat de betrokkenen het recht hebben op het overdragen van persoonlijke gegevens tussen datacontrollers, is het nu gemakkelijker voor bedrijven om klanten van concurrenten aan te trekken. Onder de AVG moet de concurrent nu toestemming geven dat accountgegevens worden overgedragen.

4. Recht om niet te worden beoordeeld op basis van geautomatiseerde verwerking

Mensen hebben het recht niet te worden beoordeeld (voor werkaanbiedingen, verzekeringen enz.) uitsluitend op basis van geautomatiseerde verwerking van hun persoonsgegevens. De AVG stelt dat betrokkenen hun toestemming hiervoor kunnen geven.

5. Eén EU-breed beleid

Het bieden van hun bewerkingshandelingen is hetzelfde in de EU en het beleid wordt ter beschikking gesteld in de lokale taal. Organisaties hebben nu de kans om één EU-breed privacybeleid te creeëren.

De volgende stap

Veel veranderingen zijn zeer gedetailleerd, met verfijningen die niet volledig kunnen worden uitgedrukt in een kort document. Organisaties moeten de tijd tussen nu en 2018 benutten om zich vertrouwd te maken met de manier waarop de AVG hen beïnvloed en de stappen te bepalen die zij moet nemen. Zodra de AVG volledig ten uitvoer is gelegd, zijn er zware boetes voor inbreuken op de naleving ervan.