Het is de laatste tijd volop in het nieuws, we kunnen er niet onderuit. Er is een nieuwe COVID-19 mutatie en dit keer wel de Zuid-Afrikaanse variant Omikron genaamd. Wat daarentegen minder mensen zullen weten is dat er nóg een nieuwe Zuid-Afrikaanse variant is en nee die heeft niks met corona te maken.
Het is de Zuid-Afrikaanse variant op de privacywetgeving genaamd “Protection of Personal Information Act” (ook wel “POPIA” genoemd). Deze POPIA is in 2013 vastgesteld, ingegaan op 1 juli 2020 en in werking getreden op 1 juli 2021. Net zoals in Nederland in 2018 was het dit jaar voor de Zuid-Afrikaanse organisaties dan ook even flink schakelen om te voldoen aan deze nieuwe wetgeving.
Help, weer een nieuwe privacywet? Het goede nieuws is dat de AVG en de POPIA verschillende smaken van gegevensbeschermingswetten zijn, maar in veel opzichten op elkaar lijken. De meeste definities liggen dicht bij elkaar, zo kent de AVG een Data Protection Officer (Functionaris Gegevensbescherming) en de POPIA een Information Officer, de AVG een controller (verwerkingsverantwoordelijke) en de POPIA een responsible party.
Ook de gehanteerde beginselen zijn vergelijkbaar. Zo kennen zowel de AVG als de POPIA zes vergelijkbare grondslagen voor het verwerken van persoonsgegevens en maken ze beide onderscheid tussen gewone en bijzondere persoonsgegevens. Als het gaat over informatiebeveiliging hanteren ze beide het algemene uitgangspunt dat er passende technische en organisatorische maatregelen genomen moeten worden om persoonsgegevens te beschermen.
Maar er zijn ook aanzienlijke verschillen. Wat zijn de grootste verschillen?
- Naast natuurlijke personen ook rechtspersonen
Wat de definitie van een betrokkene betreft, is POPIA uitgebreider dan de AVG, aangezien de POPIA het niet alleen heeft over gegevens van personen, maar ook van rechtspersonen Dit is een aanzienlijk ander uitgangspunt dan onder de AVG.
- Geen DPIA’s
Een DPIA is, onder de AVG, verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen. POPIA heeft geen dergelijke verplichting.
- Verplichte Information Officer voor iedere organisatie
Onder de AVG zijn sommige organisaties verplicht om een Data Protection Officer aan te stellen, kort samengevat moet een organisatie een FG aanstellen als:
- het een overheidsorganisatie of -orgaan is;
- de organisatie belast is met verwerkingen van gegevens die regelmatige en systematische observatie van betrokkenen vereisen of;
- het verwerken van bijzondere persoonsgegevens de kernactiviteit van de organisatie is.
- meer informatie hierover vind je hier.
POPIA daarentegen bepaalt dat elke organisatie standaard een Information Officer moet hebben.
- Gevangenisstraf
Toen de AVG in werking trad was de hoogte van de boetes die je kunt krijgen bij een overtreding op de grond van de AVG een hot topic. De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Ook onder de POPIA kun je een boete krijgen, het maximale bedrag is 10 miljoen Rand (+- €549.402). De POPIA doet daar op een andere manier nog een schepje bovenop, namelijk je kunt bij overtreding van de POPIA een gevangenisstraf krijgen van maximaal 10 jaar. Als de overtreding milder is van aard, is de gevangenisstraf gemaximeerd op twaalf maanden.
Dus waar Omikron de Zuid-Afrikaanse variant van het COVID-19 virus is, is de POPIA de Zuid-Afrikaanse variant voor gegevensbescherming. Ze zijn vergelijkbaar, maar verschillen ook!