Algemene verordening gegevensbescherming (AVG)


Dit is het meest complete dossier over de AVG. Een term waar veel Nederlanders inmiddels bekend mee zijn.

Hierin wordt besproken:

  • Wat de AVG is
  • Welke regels er in de AVG staan
  • Voor wie de AVG geldt
  • Welke verplichtingen er gelden

Lees daarom snel verder.

Wat is de AVG?

Algemene verordening gegevensbescherming (AVG) is een Europese verordening waarin regels staan met betrekking tot de verwerking van persoonsgegevens. 

Binnen Europa staat de AVG bekend als de General Data Protection Regulation (GDPR).

Infographic

Uitleg over de AVG

De AVG is op 24 mei 2016 in werking getreden, maar pas echt van toepassing sinds 25 mei 2018. De Autoriteit persoonsgegevens (AP) is toezichthouder.

Voor de volledige en actuele wettekst van de AVG kun je terecht op wetten.overheid.nl.

Doel van de AVG

Waarom is de AVG eigenlijk ingevoerd?

De AVG heeft twee kerndoelen:

  • Bescherming van persoonsgegevens binnen de EU
  • Vrij verkeer van gegevens te waarborgen

Voorheen gaven de Wet bescherming persoonsgegevens (Wbp) en Databeschermingsrichtlijn bescherming van de privacy van burgers. Maar door de snel veranderende digitale wereld hebben deze plaats gemaakt voor de AVG.

Voor wie geldt de AVG?

De AVG geldt voor alle bedrijven, overheidsorganisaties en niet-gouvernementele organisaties (ngo’s) die binnen de EU die persoonsgegevens bijhouden en/of verwerken. Dat betekent dat de AVG ook kan gelden voor bedrijven en overheden die buiten de EU zijn gevestigd, maar binnen de EU actief zijn.

Boetes bij overtreding

Organisaties en bedrijven die zich niet houden aan de AVG kunnen in het ergste geval een boete krijgen van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Sinds de invoering zijn er in de EU al ruim 600 boetes opgelegd.

Ook in Nederland zijn er al meer dan 10 boetes uitgedeeld. Zo werd het UWV in 2018 een dwangsom van 150.000 euro per maand opgelegd, met een maximum van 900.000 euro. Het Bureau Kredietregistratie (BKR) kreeg in 2020 te maken met een boete van 830.000 euro.

Wat wordt verstaan onder persoonsgegevens?

Met ‘persoonsgegevens’ worden alle gegevens bedoeld die betrekking hebben tot een mens en in directe zin aan deze persoon te herleiden zijn.

Voorbeelden van persoonsgegevens:

  • Identiteitspapieren of kopieën daarvan (rijbewijs, paspoort en ID-kaart)
  • NAW-gegevens (naam, adres en woonplaats)
  • Geboortedatum (leeftijd)
  • BSN-nummers
  • E-mail adressen
  • Telefoonnummers
  • Rekeningnummers
  • IP-adressen
  • Biometrische gegevens (stem en vingerafdruk)

Bijzondere persoonsgegevens

Er bestaan ook zogenaamde bijzondere persoonsgegevens, waarvoor een wettelijke uitzondering moet zijn om deze te mogen kunnen verwerken, zoals:

  • Ras en godsdienst
  • Medische- en gezondheidsinformatie

Overige gegevens

Gegevens van niet natuurlijke personen, bijvoorbeeld de naam en adres van een bedrijf,  vallen niet onder de AVG.

Voor het verwerken van persoonsgegevens voor persoonlijk gebruik is de AVG eveneens niet van toepassing. Denk bijvoorbeeld aan het bijhouden van een document met telefoonnummers en adresgegevens van vrienden en familie.

Wat wordt verstaan onder verwerken?

Met ‘verwerken’ wordt bedoeld: het opvragen, verzamelen, opslaan, gebruiken, structureren, inzien, verspreiden, verstrekken, wissen en/of vernietigen van persoonsgegevens.

Voorbeelden

Voorbeelden van het verwerken van persoonsgegevens:

  • Beheer van personeelsbestanden
  • Raadplegen van een naam en adres in een bestand
  • Het opslaan van IP-adressen
  • Het verzenden van een marketing e-mail
  • Het versnipperen van een paspoort-kopie

Wanneer mogen er persoonsgegevens verwerkt worden?

Het verwerken van persoonsgegevens betekent een inbreuk op de privacy. Het mag daarom niet zonder een goede reden worden gedaan.

Grondslagen

Daarom zijn er zes grondslagen voor het verwerken van persoonsgegevens:

  1. Er is toestemming gegeven door de persoon van wie de gegevens worden verwerkt
  2. De persoonsgegevens zijn noodzakelijk voor het sluiten van een overeenkomst
  3. Het is wettelijk verplicht om persoonsgegevens te verwerken
  4. Het verwerken van persoonsgegevens is noodzakelijk om vitale belangen te beschermen
  5. Het is nodig om de gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen
  6. Er is een gerechtvaardigd belang om persoonsgegevens te verwerken

Let op: het gaat hier uitsluitend om ‘gewone’ persoonsgegevens.

Als organisatie of bedrijf ben je zelf verantwoordelijk om:

  • Te bepalen welke grondslag van toepassing is
  • Te noteren en te onderbouwen waarom voor deze grondslag is gekozen

Het vermelden van een grondslag kan bijvoorbeeld in de privacy policy op de website of in een speciale privacyverklaring.

Welke verplichtingen zijn er?

Organisaties die persoonsgegevens verwerken hebben een verantwoordingsplicht (accountability). Dat betekent dat zij moeten aantonen dat er wordt voldaan aan de privacyregels.

Onder de verplichte maatregelen vallen:

  • Het bijwerken van een verwerkingsregister
  • Een register bijhouden van datalekken
  • Indien van toepassing: aantonen dat er door de betrokkene toestemming is gegeven voor gegevensverwerking
  • Een Data Protection Impact Assessment uitvoeren (bij verwerkingen met een hoog risico)
  • Onderbouwen waarom er wel of niet is gekozen voor een functionaris gegevensbescherming

Om grip te krijgen en te houden op persoonsgegevens heeft de Autoriteit Persoonsgegevens een speciale checklist gemaakt.

Functionaris Gegevensbescherming

De Functionaris Gegevensbescherming (FG) wordt aangesteld binnen een organisatie en houdt toezicht op het naleven van de AVG binnen deze organisatie. Het toezicht moet op onafhankelijke wijze kunnen plaatsvinden.

Daarom zijn er een aantal uitgangspunten opgesteld:

  • De FG moet in een vroeg stadium betrokken worden bij het (door)ontwikkelen van diensten en producten
  • De FG moet goed aanspreekbaar en benaderbaar zijn voor iedereen binnen- en buiten de organisatie
  • De FG heeft een onafhankelijke positie en spreekt niet namens de organisatie

Het aanmelden van een FG doe je via een speciaal webformulier.

Vrijwillige maatregelen

Daarnaast zijn er een aantal vrijwillige maatregelen die je kunt nemen en ook worden aangeraden.

Denk aan:

  • Het schrijven van een gedragscode
  • Het behalen van bepaald privacycertificaat
  • Een ICT-beleid instellen
  • Een privacy jaarverslag opstellen

Welke rechten hebben de betrokkenen?

Iedereen binnen de EU heeft bepaalde rechten als het gaat om privacy en de controle over persoonsgegevens.

Een overzicht van de zes rechten:

  1. Het recht van inzage: burgers mogen een kopie krijgen van de persoonsgegevens die de betrokken organisatie van hen verwerkt
  2. Het recht op vergetelheid: burgers hebben in bepaalde situaties het recht om vergeten te worden, waarbij persoonsgegevens gewist dienen te worden
  3. Het recht op rectificatie en aanvulling: personen hebben het recht om hun gegevens te laten wijzigen of aan te vullen
  4. Het recht op overdracht (dataportabiliteit): burgers hebben het recht om hun persoonsgegevens over te dragen naar een andere partij
  5. Het recht op bezwaar: burgers mogen bezwaar maken tegen het verwerken van hun gegevens
  6. Het recht op duidelijke informatie: het moet voor betrokkenen duidelijk zijn welke persoonsgegevens worden verwerkt en wat er mee gebeurt

Aan ieder recht zitten natuurlijke bepaalde mitsen en maren. Op Autoriteitpersoonsgegevens.nl staat meer gedetailleerde informatie.

Bewaartermijn

Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Uiteraard moet er wel een gegronde reden zijn (grondslag). Gegevens mogen niet bewaard worden als daar geen specifiek doel meer voor is.

Voor sommige persoonsgegevens bestaat wel een bepaaltermijn, bijvoorbeeld voor bepaalde belastinggegevens. Persoonsgegevens die niet meer noodzakelijk zijn of waarvan de bewaartermijn is verstreken, dienen te worden vernietigd.

Bepaalde informatie dient de overheid altijd te bewaren. Dit staat in de archiefwet.

Sleepwet

De Sleepwet (officieel: Wet op de inlichtingen- en veiligheidsdiensten) geeft de inlichtingendiensten bevoegdheden om massaal data en gegevens van burgers en bedrijven te verzamelen, bijvoorbeeld:

  • Het afluisteren van telefoons
  • Het hacken van netwerken
  • Het aftappen van internetverkeer

Uiteraard mogen er zonder goede reden geen gegevens van burgers worden verzameld. Er moet sprake zijn van een dreiging, bijvoorbeeld een terroristische aanslag. Voor iedere zoekvraag is bovendien een aparte toestemming nodig en wordt achteraf nog controleert of die toestemming terecht was. Desalniettemin kunnen er alsnog persoonsgegevens van onschuldige burgers worden doorgespit.

Er zijn twee inlichtingendiensten in Nederland, namelijk de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD)

Voorbeeld

De AIVD pikt op dat een Nederlandse burger communiceert met een terroristische cel in Syrië. Met behulp van de sleepwet mag er vervolgens een ‘net’ worden opgegooid waarin allerlei communicatie kan worden onderschept rondom de verdachte, zoals:

  • Bezochte websites
  • E-mailberichten
  • Reisgegevens
  • Sms’sjes
  • Betalingsverkeer

In dit zogenaamde ‘net’ kan echter ook informatie van onschuldige burgers schuilgaan, bijvoorbeeld als je op hetzelfde Wifi-netwerk zit als een verdachte.

Gegevens die door inlichtingendiensten verzameld zijn, mogen voor een periode van maximaal drie jaar bewaard worden (of nog langer als er sprake is van versleuteling).

Melding maken van privacyinbreuk

Ben je van mening dat er inbreuk is gemaakt op je privacy of ben je van mening dat jouw persoonsgegevens op onjuiste wijze worden verwerkt? Dan kun je een klacht indienen bij de AP.

Het is ook mogelijk om een zogenaamde ‘tip’ in te dienen waarbij je mogelijke privacy schending kenbaar maakt aan de AP.

Voor klachten en tips kun je terecht op Autoriteitpersoonsgegevens.nl 

Drukte bij de AP

Vanwege het enorme aantal klachten dat de AP binnenkrijgt duurt het op het moment van schrijven (juli 2021) ongeveer 6 maanden voordat de AP jouw klacht kan behandelen.

Algemene verordening gegevensbescherming (AVG)