Vanaf 25 mei 2018 is de Europese Algemene verordening gegevensbescherming (AVG of GDPR, General Data Protection Regulation) van toepassing. Dit zal de manier waarop bedrijven persoonlijke informatie van EU-inwoners verzamelen en gebruiken, fundamenteel veranderen. Experts van BCD Travel onderzochten de impact van de AVG en stelden een lijst samen met negen grote veranderingen die ons te wachten staan:
- Meer consistentie: De AVG treedt in werking zonder afzonderlijke wetgeving in de individuele EU-lidstaten. Dit betekent een betere harmonisatie van privacybeschermingsvereisten.
- Bredere definitie: ‘Persoonsgegevens’ krijgt een bredere definitie en zal ook online identificatiemiddelen, zoals IP-adressen, omvatten.
- Regio-overstijgend: De wet is van toepassing op ondernemingen die een vestiging hebben in de EU, goederen en diensten aanbieden in de EU, of het gedrag van individuen in de EU monitoren. Dus zelfs ondernemingen zonder vestiging in de EU kunnen te maken krijgen met de eisen van de AVG.
- Hogere boetes: Niet-naleving van de AGV kan resulteren in boetes tot 20 miljoen euro of tot 4% van de wereldwijde jaaromzet van het voorgaande boekjaar.
- Duidelijkere toestemming: De AVG zet een hoge standaard voor de toestemming voor verwerking (verzamelen, gebruiken en opslaan) van persoonsgegevens. De toestemming moet ondubbelzinnig zijn en actief worden verleend. Stilzwijgen, vooraf geselecteerde vakjes of inactiviteit gelden niet als toestemming. Mensen moeten ook makkelijk hun toestemming weer kunnen intrekken.
- Meldingsplicht bij datalek: Een datalek moet zonder vertraging en binnen 72 uur na de ontdekking hiervan worden gerapporteerd aan de Autoriteit Persoonsgegevens, tenzij het onwaarschijnlijk is dat het lek een risico betekent voor de rechten en vrijheden van de getroffen individuen. Soms moeten de getroffen individuen ook op de hoogte worden gebracht. Verder vereist de AVG dat dataverwerkers bedrijven zonder onnodige vertraging op de hoogte brengen van een lek.
- Uitbreiding van de rechten van individuen: De nieuwe wet versterkt bestaande rechten van individuen en introduceert ook nieuwe, zoals het recht vergeten te worden en het recht op gegevensoverdracht (overdracht van gegevens aan een andere partij).
- Privacy vanaf begin af aan: Databescherming moet al vanaf het begin van de ontwerpfase van nieuwe technologieën een rol spelen. Bedrijven die data van mensen gebruiken, moeten de privacy-impact in kaart brengen bij processen met een mogelijk hoog risico, bijvoorbeeld bij het gebruik van nieuwe technologieën
- Data Protection Officer: De AVG vereist de aanstelling van een functionaris voor gegevensbescherming als de ‘kernactiviteiten’ van een organisatie bestaan uit het op grote schaal regelmatig en stelselmatig monitoren van gegevens van betrokkenen, in het bijzonder als het gaat om gegevens met betrekking tot strafrechtelijke veroordelingen of overtredingen.
