Van de Nederlandse WBP naar de Europese AVG

De WBP staat voor de Wet Bescherming Persoonsgegevens (WBP) en is al sinds 6 juli 2000 van kracht.
De AVG staat voor de Algemene Verordering Gegevensbescherming welke het daglicht heeft gezien op 25 mei 2016 en vanaf 25 mei 2018 van kracht wordt direct ter vervanging van de WBP.

 

Wat is het doel van de WBP en daarna de AVG

Als gevolg van de technologische ontwikkelingen worden door veel partijen in hoog tempo gegevens over personen verzameld. De Europese Unie introduceert vergaande maatregelen die tot doel hebben dat natuurlijke personen de regie gaan krijgen over hun eigen persoonsgegevens. Dit betekent, dat bekend moet zijn welke gegevens door wie en met welk doel worden verzameld. Tevens houdt het in, dat iedereen anderen kan verbieden deze gegevens over zichzelf te verzamelen of verder te gebruiken.
Vanaf 25 mei 2018 kunnen de toezichthoudende autoriteiten van de verschillende lidstaten (in Nederland: de Autoriteit Persoonsgegevens) actief handhaven en maatregelen instellen, waaronder de veelbesproken astronomische boetebedragen. Organisaties hebben vanaf mei 2016 twee jaar de tijd gekregen hun bedrijfsvoering in lijn te brengen met de voorschriften van de verordening.

 

De AVG, ten opzichte van de huidige WBP en verwante sectorale wet- en regelgeving, bevat niet wezenlijk veel nieuws. Er zijn accent- en definitieverschillen, transparantie is nadrukkelijker gedefinieerd, er zijn nieuwe details toegevoegd, het is EU-wetgeving geworden, maar het gedachtegoed van de WBP (inclusief de Meldplicht datalekken) is er nog stevig in terug te vinden.

 

Inhoud AVG

Om een indruk te krijgen wat de inhoud van de AVG is, hieronder het algemeen kader van de uitgangspunten van deze AVG voor vooral financiële dienstverleners.

  1. De cliënt moet actief ermee instemmen dat de financieel dienstverleners persoonsgegevens van hem opslaat.
  2. De financiële dienstverlener moet aan de cliënt laten weten voor welk doel hij deze gegevens wil hebben en gaat opslaan.
  3. Bij het verzamelen van de gegevens moet de financiële dienstverlener de cliënt actief wijzen op een aantal zaken. Dit zal in de praktijk een model worden dat in de verte te vergelijken is met de vanuit de Wet financieel toezicht voorgeschreven dienstenwijzer.
  4. De financiële dienstverlener mag de persoonsgegevens niet voor een ander doel gebruiken dan hij aan de cliënt heeft aangegeven. Ook mag hij deze gegevens niet langer bewaren dan nodig is voor het betreffende doel.
  5. De cliënt krijgt een reeks van rechten ten aanzien van “zijn” persoonsgegevens. Deze rechten zijn onder meer inzage te krijgen in de persoonsgegevens die zijn verzameld; recht om verkeerde gegevens te corrigeren; recht om te eisen dat bepaalde gegevens worden gewist; recht om de wijze waarop de gegevens worden gebruikt te beperken; recht om de financiële dienstverlener te verbieden deze gegevens nog langer op te slaan; recht om de doeleinden waarvoor de gegevens gebruikt worden te beperken; recht om een kopie van deze gegevens te ontvangen en deze gegevens aan een ander over te dragen.
  6. De financiële dienstverlener moet adequate maatregelen treffen om onbevoegd gebruik van de door hem verzamelde persoonsgegevens te voorkomen.
  7. De financiële dienstverlener moet interne werkprocessen hebben die ertoe moeten leiden dat iedereen op het kantoor op juiste wijze met de persoonsgegevens omgaat.
  8. De financiële dienstverlener is verantwoordelijk voor de schade die de cliënt lijdt als gevolg van het door de financiële dienstverlener niet correct nakomen van de verplichtingen uit de AVG.