Algemene verordening gegevensbescherming (AVG)

De Algemene verordening gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) is de nieuwe wetgeving waarmee Europa de privacy en gegevens van z'n burgers beter wil beschermen. Naar aanleiding van gewijzigde feitelijke en economische omstandigheden – de opkomst van sociale media, cloudcomputing, nieuwe vormen van marketing, … – drong een moderner wetgevend kader zich op. Met de AVG wordt de diversiteit aan privacywetgevingen en beleidsregels tussen lidstaten (ook voor cybersecurity) verleden tijd. De regels zullen in heel Europa nu dezelfde zijn.

De AVG verplicht bedrijven/organisaties die persoonsgegevens van EU-inwoners verwerken aan een aantal regels te voldoen. Onder persoonsgegevens verstaan we alle gegevens waarmee iemand geïdentificeerd kan worden: naam, woonplaats, gsm-nummer, e-mailadres, enz.

  • Bedrijven/organisaties moeten een register van alle verwerkingsactiviteiten aanleggen. Nadat vastgesteld is waar de persoonsgegevens zich bevinden en wat er precies mee gedaan wordt, moeten ze op de juiste manier beveiligd worden.
  • Bedrijven/organisaties mogen niet méér data inzamelen dan strikt genomen vereist is voor een bepaald doel. Zodra dat doel wegvalt, moeten de gegevens veilig verwijderd worden. De gegevens mogen ook alleen toegankelijk zijn voor personen die er voor hun functie over moeten beschikken.
  • Betrokkenen krijgen meer controle over hun persoonsgegevens en ontvangen enkele nieuwe rechten, zoals het recht om 'vergeten te worden' en het recht om persoonsgegevens (op een veilige wijze) over te dragen van het ene bedrijf naar het andere.
  • Ook de voorwaarden voor het verkrijgen van de toestemming van de betrokkenen worden duidelijker. Die moeten namelijk vrij, geïnformeerd en ondubbelzinnig zijn. Voor bepaalde gegevens en types van verwerkingen is er zelfs een expliciete toestemming nodig.
  • Inbreuken op persoonsgegevens moeten zo snel mogelijk (zo mogelijk binnen de 72 uur) aan de lokale privacycommissie gemeld worden en in sommige gevallen ook aan de betrokkenen.
  • Bedrijven/organisaties moeten de naleving van de AVG documenteren en auditeren, risicovolle gegevensverwerkingen onderwerpen aan een 'Privacy Impact Assessment', de gegevensbescherming in operationele processen implementeren en in sommige gevallen een Data Protection Officer - Informatieveiligheidsconsulent aanstellen.

Basisprincipes

  • Rechtmatigheid, eerlijkheid en transparantie
  • Integriteit en vertrouwelijkheid
  • Dataminimalisering
  • Afbakening van het doel
  • Afbakening van de opslag
  • Nauwkeurigheid

Wat als u de AVG niet naleeft?

Met de komst van de AVG wordt de handhaving strenger. Lokale privacycommissies krijgen de bevoegdheid om controles uit te voeren, om bevelen uit te vaardigen, om boetes op te leggen als een bedrijf/organisatie de AVG niet naleeft. Die boetes kunnen, naargelang de aard van het incident, hoog oplopen: tot 4 procent van de wereldwijde omzet of 20 miljoen euro, afhankelijk van wat het hoogste bedrag is.