De Wet Bescherming Persoonsgegevens (Wbp) was van 2001 tot 25 mei 2018 de Nederlandse wet die bepaalde hoe organisaties met persoonsgegevens moesten omgaan. De wet schreef voor dat bedrijven gegevens van klanten, medewerkers of bezoekers alleen mochten verzamelen voor een duidelijk doel, en dat ze mensen moesten informeren over het gebruik van hun gegevens. Sinds 25 mei 2018 is de Wbp vervangen door de Algemene Verordening Gegevensbescherming (AVG), een Europese wet die in alle lidstaten direct van kracht is. Voor Nederlandse MKB-bedrijven is het vooral relevant om te weten dat alle verplichtingen die onder de Wbp golden nu onder de AVG vallen, vaak met strengere regels en hogere boetes.
Hoe de Wbp werkte in de praktijk
De Wbp verplichtte bedrijven om een register bij te houden van welke persoonsgegevens ze verzamelden, met welk doel en hoe lang ze die bewaarden. Bij twijfel of bij gevoelige gegevens moest je een melding doen bij het College Bescherming Persoonsgegevens (CBP), de toezichthouder. Klanten hadden het recht om hun gegevens in te zien, te corrigeren of te laten verwijderen. Bedrijven moesten beveiligingsmaatregelen treffen tegen datalekken. In de praktijk zagen we bij veel MKB-bedrijven dat de Wbp een papieren exercitie bleef: een privacyverklaring op de website en een Excel-lijst met verwerkingen, maar weinig structurele controle. Dat veranderde abrupt met de komst van de AVG, die hogere boetes en actievere handhaving introduceerde.
Waarom de Wbp werd vervangen door de AVG
De Wbp was gebaseerd op een Europese richtlijn uit 1995, toen internet en data-gedreven marketing nog in de kinderschoenen stonden. De wet kon niet meer meekomen met cloud-opslag, marketing automation, tracking en internationale datastromen. Daarom ontwikkelde de Europese Unie de AVG, een verordening die direct geldt in alle lidstaten zonder nationale implementatie. De AVG stelt strengere eisen aan toestemming, introduceert het recht op dataportabiliteit en verhoogt de maximale boete naar 4% van de wereldwijde jaaromzet of 20 miljoen euro. Voor Nederlandse bedrijven betekende dit dat ze hun processen opnieuw moesten inrichten. Meer informatie over de huidige regels vind je op de website van de Autoriteit Persoonsgegevens.
Wat de overgang van Wbp naar AVG betekent voor jouw bedrijf
Hoewel de Wbp niet meer geldt, zijn de basisprincipes overgenomen in de AVG. Als je destijds al voldeed aan de Wbp, heb je een goede basis. Maar de AVG vraagt meer: actieve toestemming in plaats van stilzwijgende instemming, verwerkersovereenkomsten met alle externe partijen die gegevens verwerken, en een meldplicht bij datalekken binnen 72 uur. In de praktijk merken we bij MKB-klanten dat vooral de documentatieplicht een struikelblok is. Je moet kunnen aantonen dat je compliant bent, niet alleen beweren dat je het bent. Een goed vertrekpunt is een SEO-strategie die rekening houdt met cookiebanners en tracking, gekoppeld aan een heldere privacyverklaring. Ook een link naar je privacy policy helpt bezoekers begrijpen hoe je met hun gegevens omgaat.