Wij kondigden al eerder aan dat op onze website een serie zal verschijnen waarin regelmatig onderwerpen uit de Algemene Verordening Gegevensbescherming (‘AVG’) besproken zullen worden.
Voor een beter begrip van de inwerkingtreding en toepassing van de AVG in Nederland, vangen wij deze serie aan met beantwoording van de volgende vragen:
- Wanneer treedt de AVG in werking?
- Heeft de AVG directe werking in Nederland?
- Wat betekent dit in de praktijk?
Wanneer treedt de AVG in werking?
Op 4 mei 2016 is de officiële tekst van de AVG gepubliceerd in het Publicatieblad van de Europese Unie. Dat betekent dat de AVG op 24 mei 2016 in werking is getreden, namelijk twintig dagen na publicatie.
De AVG zal echter pas twee jaar na de inwerkingtreding, op 25 mei 2018, definitief van kracht worden. Tot die tijd hebben organisaties de tijd om hun bedrijfsvoering in overeenstemming met de AVG te brengen.
Heeft de AVG directe werking in Nederland?
De Europese Unie kent verschillende soorten wetgevingshandelingen, waaronder het aannemen van richtlijnen en verordeningen. Wanneer de Europese Unie een richtlijn aanneemt, dienen alle lidstaten deze eerst om te zetten (te implementeren) in nationale wetgeving, voordat de regels die daarin zijn opgenomen van kracht worden in de desbetreffende lidstaat. Dat betekent concreet dat een persoon of organisatie zich bij de rechter niet rechtstreeks kan beroepen op een bepaling uit een richtlijn.
Verordeningen hebben daarentegen directe werking. Dit betekent concreet dat de AVG – in tegenstelling tot de Privacyrichtlijn (95/46/EG) (de voorloper van de AVG) – niet hoeft te worden geïmplementeerd in onze Nederlandse wet- en regelgeving voordat daarop een beroep kan worden gedaan. De AVG zal de huidige nationale wetgeving ten aanzien van de bescherming van persoonsgegevens (de Wet bescherming persoonsgegevens), dan ook zonder voorafgaande implementatie gaan vervangen op 25 mei 2018.
Wat betekent dit in de praktijk?
Hoewel de datum van 25 mei 2018 wellicht nog ver weg lijkt, raden wij aan om alle bedrijfsprocessen die verband houden met de verwerking van persoonsgegevens zo snel mogelijk in kaart te brengen en voor u zelf inzichtelijk te krijgen wat er in het licht van AVG moet veranderen. De ervaring leert immers dat dit nogal wat tijd kost. Veel organisaties werken immers vaak met meerdere systemen waarin persoonsgegevens verwerkt worden. Als uw bedrijfsvoering niet (tijdig) voldoet aan de bepalingen in de AVG, kan de toezichthouder bovendien fikse boetes opleggen (waarover later meer).