Op 25 mei 2018 gaat de AVG in (Algemene Verordening Gegevensbescherming); een nieuwe privacywet voor de hele Europese Unie. De huidige Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
Binnen de Europese Unie zijn nu nog 28 verschillende privacywetten van kracht, die voortkomen uit de Europese privacyrichtlijn van 1995. Al deze wetten vervallen als op 25 mei 2018 de AVG echt ingaat. Vanaf die datum geldt er één privacywet voor de hele Europese Unie. Een nieuwe wet die past bij de gedigitaliseerde samenleving van nu. Internationaal wordt de AVG, General Data Protection Regulation (GDPR) genoemd.
Privacyrechten worden met de AVG versterkt en uitgebreid. Gebruikers (zoals uw klanten) krijgen door de AVG meer mogelijkheden voor zichzelf op te komen als het gaat om de verwerking van hun gegevens. Zij krijgen meer zeggenschap over hun gegevens en wat bedrijven daar mee doen. Zij kunnen bijvoorbeeld inzage vragen in opgeslagen data, of de verleende toestemming intrekken.
De AVG trad in het voorjaar van 2016 al in werking, maar op 25 mei 2018 gaat de AVG écht in en moeten bedrijven aan de nieuwe privacyregels voldoen. In de tussenliggende overgangsperiode geldt in Nederland nog de Wet Bescherming Persoonsgegeven (Wbp) en kunnen bedrijven en organisaties zich voorbereiden op de nieuwe, strengere privacywetgeving.
De Europese wet geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers krijgen ermee te maken, ook zzp’ers en klein mkb. De wet geldt ook voor scholen, zorginstanties, verenigingen en stichtingen.
Activiteiten vallen veel sneller onder de privacywet. Naast namen van personen en adressen vallen ook gegevens gekoppeld aan IP-adressen, cookies, een e-mailadres en dergelijke onder de wet. Ook als u niet weet wie er schuilgaat achter deze gegevens, moet u ze als privacygevoelig behandelen.
U krijgt al met de AVG te maken door het versturen van een offerte, factuur of (digitale) nieuwsbrief. Of het bijhouden van afspraken met klanten, contactgegevens van klanten (zoals adres, e-mailadres of telefoonnummers) of personeelsinformatie. De AVG dwingt ondernemers tot meer actie en maatregelen. U heeft verantwoordingsplicht en moet kunnen aantonen dat u zich aan de wet houdt. Met documenten moet u kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. En u moet kunnen bewijzen dat u geldige toestemming heeft gekregen voor het verwerken van persoonsgegevens. Maakt u gebruik van de diensten van een verwerker, dan moet een en ander worden vastgelegd in een verwerkersovereenkomst.
Uw bedrijf moet op 25 mei 2018 dus voldoen aan de AVG. In Nederland is de Autoriteit Persoonsgegevens (AP) het orgaan dat hierop toezicht gaat houden en zal handhaven. De AP kan uw organisatie sancties opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.