Organisaties die persoonsgegevens verwerken, hoeven de Autoriteit Persoonsgegevens (AP) hierover niet meer te informeren. De AP heeft dit zelf bekendgemaakt.
De aanleiding voor het niet meer handhaven van deze meldplicht, is dat per 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) niet meer geldt. Vanaf die datum treedt de Europese privacywetgeving in werking: de General Data Protection Regulation (GDPR), ook bekend onder de naam Algemene verordening gegevensbescherming (AVG).
Uitzonderingen
Alleen als er sprake is van gegevensverwerking met een bepaald risico, dienen organisaties dit nog steeds te melden bij de Nederlandse privacywaakhond. De AP zal vervolgens nagaan of de verwerking conform de Wet bescherming persoonsgegevens (Wbp) is. Als dat inderdaad het geval is, krijgt een organisatie toestemming van de AP om te starten met de gegevensverwerking.
Data protection impact assessment (DPIA)
Met ingang van de GDPR op 25 mei volgend jaar zijn organisaties onder bepaalde omstandigheden verplicht een data protection impact assessment (DPIA) te verrichten. Dit is het geval indien degenen van wie persoonsgegevens worden verwerkt, aanzienlijk risico lopen wat hun rechten en vrijheden betreft. “De AVG legt meer dan nu de verantwoordelijkheid bij organisaties zelf om aan te tonen dat zij aan de nieuwe privacyregels voldoen. De regels dwingen organisaties om goed na te denken over hoe persoonsgegevens worden verwerkt en worden beschermd,” schrijft de AP op haar website.