Pivoton investeert elk jaar substantieel om onze klanten te ondersteunen bij het naleven van uiteenlopende wet- en regelgeving. Een van deze wetten is de Wet bescherming persoonsgegevens (Wbp). In de EU heeft nu nog elke lidstaat een eigen privacywet. Deze wet, dus ook de Wbp, is gebaseerd is op een Europese privacyrichtlijn die al uit 1995 stamt. In die tijd was internet pas net in opkomst. Dat is tegenwoordig wel anders. Mensen en systemen zijn connected en informatie-uitwisseling een vanzelfsprekendheid. Dat is er mede aanleiding voor geweest dat de Europese privacywetgeving de afgelopen jaren herzien is. Op 4 mei 2016 is de algemene verordening gegevensbescherming (AVG) (.pdf) gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Toch zit er een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Hoewel veel van de Wbp terug te vinden is in de AVG, geldt de Wbp vanaf dat moment niet meer. Dat betekent dat er vanaf 25 mei 2018 maar één privacywet geldt in de hele Europese Unie (EU) en vanaf dat moment ook door de toezichthouders gehandhaafd zal worden op basis van de AVG.
De AVG zorgt onder meer voor:
- Uitbreiding en betere verankering van privacyrechten van individuen;
- meer verantwoordelijkheden neerleggen bij organisaties;
- uniformiteit in bevoegdheden voor alle Europese privacytoezichthouders.
Organisaties waar persoonsgegevens verwerkt worden krijgen onder de AVG meer verplichtingen. Zo moeten ze nog meer de verantwoordelijkheid nemen om de wet na te leven én aantonen dat dit ook daadwerkelijk gebeurt en effectief is. Ook wel accountability en auditability genoemd. Dit zie je bijvoorbeeld terug in de documentatieplicht, waarmee aantoonbaar moet worden dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.
Ook het individu van wie de gegevens verwerkt worden krijgt door de AVG meer mogelijkheden om voor zichzelf op te komen bij de verwerking van gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid.:
Toestemming: In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat onder andere wat de voorwaarden zijn voor organisaties om expliciete toestemming te krijgen van mensen om hun persoonsgegevens te mogen verwerken, op welke manier dit vastgelegd moet worden en dat het intrekken van toestemming net zo makkelijk moet zijn als het geven ervan.
Aanvullende rechten: Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten. Zij hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen (het recht om vergeten te worden). Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen. Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.
Pivoton volgt de wet- en regelgeving op de voet en bepaalt of aanvullende maatregelen nodig zijn in de software, dan wel onze processen naar aanleiding van de AVG. Wij zullen hierover onze klanten, net als met de Wbp, regelmatig informeren