25 mei is D-day voor organisaties die persoonsgegevens verwerken. Zij krijgen met de komst van de Algemene verordening gegevensbescherming (AVG of GDPR) meer (nieuwe) verplichtingen voor de kiezen. Hoe verschilt de AVG van de oude Wbp? We leggen de wetten naast elkaar en leggen uit waar je bij de overstap op moet letten.

Per 4 mei 2016 is de AVG in werking getreden, en vanaf 25 mei dit jaar is de AVG ook daadwerkelijk van toepassing. Dat betekent dat vanaf die datum in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De Wbp komt dan automatisch te vervallen. Er zit dus een periode van twee jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig zodat organisaties en toezichthouders zich goed op de verordening kunnen voorbereiden.

De AVG introduceert een geheel nieuwe toepassingsregel. De verordening is namelijk ook van toepassing als er in de EU geen vestiging is van de verwerkingsverantwoordelijke of de verwerker . Dit is het geval als de verwerking van persoonsgegevens verband houdt met het aanbieden van goederen of diensten aan betrokkenen in de EU, ongeacht of een betaling door deze betrokkenen is vereist.

De verwerkingsverantwoordelijke is degene die beslist of en zo ja welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze. Denk bijvoorbeeld aan de werkgever die persoonsgegevens van werknemers in het personeelsdossier opslaat.

De verwerker is degene die ten behoeve en in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt zonder onder diens rechtstreeks gezag te staan. Een organisatie die bijvoorbeeld in opdracht van een bedrijf de salarisadministratie van dat bedrijf uitvoert, is een verwerker. Maar ook hosting-, SaaS- of clouddienstverleners zijn klassieke voorbeelden van verwerkers.

Ook geldt dat voor het monitoren van hun gedrag, voor zover dat gedrag in de EU plaatsvindt. Op deze manier vallen ook niet-Europese ondernemingen binnen het bereik van de AVG, om die reden dat ze erin hebben voorzien dat hun producten en/of diensten ook in een van de EU-lidstaten kunnen worden geleverd of bezorgd.