Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming (AVG) gaat over de bescherming van persoonsgegevens. 

Door de komst van de AVG hebben mensen meer mogelijkheden gekregen om voor zichzelf op te komen wanneer het gaat om de verwerking van hun gegevens. De privacyrechten van mensen zijn namelijk versterkt en uitgebreid.

Organisaties hebben meer verantwoordelijkheden en de toezichthouder, Autoriteit Persoonsgegevens (AP), heeft meer bevoegdheden.

Persoonsgegevens

In de AVG staat dat een persoonsgegeven ‘alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon’. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. 

Voorbeelden: naam, adres, woonplaats, telefoonnummer, e-mailadres.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens (bijzondere categorieën van persoonsgegevens) zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan schenden. De verwerking van dergelijke persoonsgegevens is verboden, tenzij er een wettelijke uitzondering van toepassing (AP) is.

Bijzondere categorieën van persoonsgegevens zijn persoonsgegevens:

• waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond blijken
• gegevens over iemands gezondheid, seksueel gedrag of seksuele gerichtheid
• genetische gegevens
• biometrische gegevens bedoeld voor de unieke identificatie van een persoon (zoals vingerafdruk)

Strafrechtelijke gegevens 

Strafrechtelijke gegevens zijn geen bijzondere persoonsgegevens volgens de AVG. Er gelden wel speciale regels voor het verwerken van strafrechtelijke gegevens (AP).  

Gevoelige persoonsgegevens

Dit zijn gegevens die niet zijn aangemerkt als bijzondere persoonsgegevens, maar die wel een grotere impact hebben op iemands privacy dan gewone persoonsgegevens. 

Voorbeelden: financiële gegevens, Burgerservicenummer (BSN), informatie over kinderen of andere kwetsbare groepen.

Burgerservicenummer (BSN)

Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat in de wet staat (AP). Staat het niet in de wet, dan mag het niet. Ook niet met toestemming.

Onder verwerking wordt elke handeling met betrekking tot persoonsgegevens bedoeld. Het maakt daarbij niet uit of de handeling handmatig of automatisch wordt verricht. 

Volgens de AVG vallen in ieder geval de volgende handelingen onder het verwerken van persoonsgegevens: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen.

De AVG bepaalt dat persoonsgegevens alleen mogen worden verwerkt als het doel van de verwerking gebaseerd kan worden op één van de zes grondslagen (redenen) genoemd in de AVG. Is dit niet mogelijk, dan is het niet toegestaan persoonsgegevens te verwerken. Het doel moet de organisatie vooraf goed beschrijven.

Is de verwerking van persoonsgegevens niet noodzakelijk voor het daarmee beoogde doel, dan kan de verwerking alleen plaatsvinden op basis van toestemming. 

Zes grondslagen 

De 6 grondslagen voor het verwerken van persoonsgegevens (AP) zijn:

1. Toestemming 
   De organisatie heeft toestemming van de betrokken persoon.
2. Overeenkomst
   De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
3. Wettelijke verplichting
   Het is noodzakelijk om gegevens te verwerken omdat de organisatie dit wettelijk verplicht is.
4. Vitaal belang
   Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
5. Uitvoering publiekrechtelijke taak
   Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
6. Gerechtvaardigd belang
   Het is noodzakelijk om gegevens te verwerken om het gerechtvaardigde belang van de organisatie te behartigen.

De AVG is gebaseerd op zes basisprincipes, in de AVG 'beginselen' genoemd. Elke verwerking van persoonsgegevens moet voldoen aan deze beginselen. De organisatie moet ook kunnen aantonen dat de beginselen worden nageleefd. Dat is de verantwoordingsplicht (AP).

Zes beginselen

De 6 AVG-beginselen (AP) waaraan verwerking van gegevens moet voldoen:

1. Rechtmatigheid, behoorlijkheid en transparantie
   Er dient een deugdelijke rechtsgrond te zijn voor de verwerking van persoonsgegeven. Voor betrokkenen moet inzichtelijk zijn welke gegevens worden verwerkt en met welk doel. Ook moet informatie gegeven worden over de rechten die betrokkenen hebben.
2. Doelbinding
   Verwerk persoonsgegevens voor een specifiek vooraf bepaald doel. Het doel dient kenbaar gemaakt te worden aan betrokkenen. Verwerk persoonsgegevens niet voor een ander doel dan het vooraf bepaalde doel.
3. Dataminimalisatie
   Verwerk niet meer gegevens dan strikt noodzakelijk voor het vooraf geformuleerde doel.
4. Juistheid
   Persoonsgegevens van betrokkenen dienen juist en actueel te zijn.
5. Opslagbeperking
   Verwijder persoonsgegevens zodra deze niet langer nodig zijn voor het oorspronkelijke doel waarvoor deze zijn verzameld.
6. Vertrouwelijkheid en integriteit
   Neem passende technische en organisatorische maatregelen om ongeoorloofde toegang of ongeoorloofd gebruik van persoonsgegevens te voorkomen.

In de AVG staat een aantal verplichte maatregelen genoemd waarmee de organisatie aan de verantwoordingsplicht voldoet. 

• Het bijhouden van een verwerkingsregister (AP).
• Een data protection impact assessment (AP) uitvoeren bij gegevensverwerkingen met een hoog privacyrisico.
• Het bijhouden van een register van datalekken (AP).
• Aantonen dat, in de gevallen dat toestemming nodig is, een betrokkene toestemming heeft gegeven (AP) voor de verwerking van zijn persoonsgegevens.
• Aanstellen van een functionaris voor gegevensbescherming (AP) en wanneer onduidelijk is of een functionaris voor gegevensbescherming (FG) moet worden aangesteld, goed kunnen onderbouwen waarom ervoor gekozen is om een FG aan te stellen of juist niet.
• Opstellen van een privacyverklaring (AP).

De AVG geeft degenen van wie persoonsgegevens worden verwerkt (betrokkenen) privacyrechten (AP).

Betrokkenen hebben het recht op:

• informatie: welke persoonsgegevens worden verwerkt en waarom
• inzage: persoonsgegevens inzien
• rectificatie: wijziging of aanvulling persoonsgegevens
• vergetelheid: verwijderen van persoonsgegevens
• beperking: beperken verwerking en/of wijziging persoonsgegevens
• dataportabiliteit: overdragen van persoonsgegevens
• bezwaar: bezwaar tegen het gebruik van persoonsgegevens
• menselijke blik bij besluiten: door een persoon genomen besluit

Betrokkenen hebben tevens het recht om een klacht in te dienen bij de AP. 

De organisatie dient te beschikken over beleid, waarin staat hoe mensen hun privacyrechten kunnen uitoefenen. Ook is een organisatie verplicht om binnen een bepaalde tijd te reageren wanneer men een verzoek van iemand krijgt.

De organisatie heeft een informatieplicht naar betrokkenen over verwerkingen van hun persoonsgegevens: wat doet de organisatie met hun persoonsgegevens en waarom?

In de AVG staat dat de informatie over gegevensverwerking in principe schriftelijk moet worden gegeven. Een goede manier om deze informatie te verstrekken is een (online) privacyverklaring.

Privacyverklaring

De privacyverklaring dient eenvoudig toegankelijk, beknopt, begrijpelijk en duidelijk te zijn.

Conform een aantal specifieke eisen die de AVG stelt aan een privacyverklaring, dient tenminste de volgende informatie aan betrokkenen te worden verstrekt:

• De identiteit en contactgegevens van de organisatie en, indien aan de orde, de vertegenwoordiger daarvan in de EU.
• De contactgegevens van de functionaris voor gegevensbescherming, indien deze is aangesteld.
• De doeleinden van de verwerking en de AVG-grondslag.
• De (categorieën van) ontvangers van de persoonsgegevens.
• Of de organisatie van plan is de persoonsgegevens door te geven buiten de EU of aan een internationale organisatie en op welke juridische grond.
• De bewaartermijn van de gegevens.
• De privacyrechten van de betrokkenen.
• Het recht van de betrokkenen om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken.
• Het recht van betrokkenen een klacht in te dienen over de verwerking bij de relevante privacytoezichthouder.
• Of en waarom de betrokkenen verplicht zijn om persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt.
• Of de organisatie gebruikmaakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe de organisatie besluiten neemt.
• Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen en of de gegevens afkomstig zijn van openbare bronnen.

De AVG verplicht organisaties om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens die verwerkt worden te beveiligen (AP). Daarbij geldt: hoe groter het risico, hoe zwaarder deze beveiligingsmaatregelen moeten zijn. 

Wanneer de gegevensverwerking wordt uitbesteed, dienen afspraken met de organisatie die de gegevens verwerkt vastgelegd te worden in een verwerkersovereenkomst (AP).

Een organisatie moet aan kunnen tonen dat aan de beveiligingscriteria is voldaan. Zorg ervoor dat er een beveiligingsbeleid aanwezig is en dat er intern bewustwording is van het belang van goede beveiliging. 

De toezichthouder (AP) kan een boete opleggen indien de beveiliging niet goed geregeld is. 

Onderdeel van de AVG is een regeling over de meldplicht voor datalekken. 

Wat is een datalek?

Een datalek is ongeoorloofde of onbedoelde toegang tot, maar ook het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. 
Voorbeelden: e-mail verzonden aan verkeerde ontvanger, verlies bedrijfslaptop/-telefoon met niet-versleutelde persoonsgegevens of documenten met persoonsgegevens. 

Meldplicht

Organisaties kunnen verplicht zijn om het datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Ook kunnen zij in bepaalde gevallen verplicht zijn om betrokken personen te informeren over het datalek. 
De organisatie dient dit zelf te beoordelen. Meer over de procedure via Datalek: wel of niet melden (AP).

Wordt een datalek niet op tijd gemeld? Dan kan de Autoriteit Persoonsgegevens een boete opleggen.

Intern datalekregister

Elk datalek moet in een intern datalekregister worden opgenomen. Dit geldt dus niet alleen voor datalekken die aan de toezichthouder moeten worden gemeld.

Er is in de Algemene Verordening Gegevensbescherming geen concrete bewaartermijn opgenomen voor persoonsgegevens. Deze concrete bewaartermijnen zijn wel in andere wetten terug te vinden.

De organisatie dient grotendeels zelf te bepalen hoelang persoonsgegevens worden bewaard. Het uitgangspunt is dat de persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor het doel van de verwerking.

Gedetailleerde informatie, waaronder stroomdiagrammen en checklists, is opgenomen in de Handleiding Algemene Verordening Gegevensbescherming (rijksoverheid).

Op de website van de Autoriteit Persoonsgegevens staan diverse instrumenten AVG (AP) om organisaties te helpen aan de AVG te voldoen. 

Gebruik de regelhulp AVG (AP) om te inventariseren in welke mate de organisatie (nog steeds) aan de verplichtingen van de AVG voldoet.

Het AVG-stappenplan (NOV) is een middel om de organisatie AVG-bestendig te maken.

Bekijk ook

• AVG-stappenplan verwerkingsverantwoordelijke (rijksoverheid)
• De AVG voor verenigingen en stichtingen (KVK)
• Veelgestelde vragen over de AVG (KVK)
• De AVG in een notendop (AP)

Autoriteit Persoonsgegevens

Bel met het Informatie- en Meldpunt Privacy van de AP via telefoonnummer 088 180 5250.

Koepelorganisatie en branchevereniging

Diverse koepelorganisaties en brancheverenigingen hebben informatie en instrumenten opgenomen op de website.