Vanaf wanneer geldt de AVG?

Op 4 mei 2016 is de algemene verordening gegevensbescherming (AVG) gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.
Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden.  Tijdens deze 2 jaar geldt in Nederland nog steeds de Wet bescherming persoonsgegevens.

Wat is een functionaris voor de gegevensbescherming?

Een functionaris voor de gegevensbescherming (FG) is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de geldende privacywetgeving.

De wet stelt een aantal eisen aan FG’s:

  • Een FG moet een natuurlijk persoon zijn.
  • Een FG moet voldoende kennis hebben van de organisatie en de privacywetgeving.
  • Een FG moet betrouwbaar zijn. Dit uit zich onder meer in een geheimhoudingsplicht.

Ben ik verplicht een functionaris voor de gegevensbescherming aan te stellen?

Als de AVG van kracht is, zijn diverse organisaties verplicht een Functionarissen voor de gegevensbescherming (FG’s) aan te stellen. Het verplicht aanstellen van een FG geldt voor:

  1. overheidsinstanties en -organen (ongeacht de door hen verwerkte gegevens)
  2. organisaties die – als een van hun kerntaken – stelselmatig en op grote schaal personen observeren
  3. organisaties die op grote schaal bepaalde categorieën persoonsgegevens verwerken.

Ook waar de AVG het aanstellen van een FG niet specifiek verplicht stelt, kan het voor sommige organisaties zinvol zijn vrijwillig een FG aan te wijzen. EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren.

Wat is een Privacy Impact Assessment (PIA)?

Een Privacy Impact Assessment (PIA) is een instrument waarmee organisaties privacyrisico’s in kaart kunnen brengen. Het onderzoek richt zich op de mogelijke impact bij verwerkingen van persoonsgegevens op de privacy. Hierdoor krijgt uw bedrijf inzicht in wat de risico’s zijn en kunt u passende procedures en maatregelen die de privacy en veiligheid van gegevensverwerking borgen.