Algemene verordening gegevensbescherming (AVG)

Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. In het Engels heet de AVG General Data Protection Regulation (GDPR). De AVG is een Europese wet die rechtstreeks van toepassing is in alle lidstaten van de Europese Unie. De AVG wordt daarom ook wel de Europese privacywet genoemd. Tegelijk met de AVG treedt de Uitvoeringswet Algemene verordening gegevensbescherming in werking.

De AVG vervangt de Wet bescherming persoonsgegevens (Wbp) en de Europese richtlijn uit 1995 waarop de Wbp is gebaseerd (richtlijn 95/46/EG). Zowel de Wbp als die richtlijn wordt op 25 mei 2018 ingetrokken. Omdat de AVG een verordening is, gelden in alle landen van de Europese Unie dezelfde privacyregels. Op onderdelen mogen landen eigen keuzes maken of regels nader invullen. Voor Nederland gebeurt dat in de Uitvoeringswet. De AVG regelt in grote lijnen hetzelfde als de richtlijn uit 1995 en de Wbp. De AVG introduceert een aantal nieuwe rechten van degene wiens persoonsgegevens worden verwerkt (“betrokkene”) en daarmee samenhangende verplichtingen van degene die verantwoordelijk is voor die verwerking (“verwerkingsverantwoordelijke”).

In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving van de AVG.

Wat is het doel van de AVG?

Het doel van de AVG is de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Privacy, ook wel de eerbiediging of bescherming van het privé-leven of de persoonlijke levenssfeer, is immers een grondrecht en persoonsgegevens maken deel uit van het privé-leven.

Wat zijn persoonsgegevens?

Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon, bijvoorbeeld iemands naam, adres en woonplaats, e-mailadres, telefoonnummer, postcode met huisnummer, beeltenis (foto of film), bandopname (stem). Er wordt onderscheid gemaakt tussen gewone (of reguliere) en bijzondere (of gevoelige) persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, alsmede genetische of biometrische gegevens en gegevens over iemands gezondheid, seksueel gedrag of seksuele gerichtheid. Aan de verwerking van bijzondere persoonsgegevens worden extra strenge eisen gesteld.

Wanneer is er sprake van de verwerking van persoonsgegevens?

Onder het verwerken van persoonsgegevens worden alle handelingen verstaan die een bedrijf, instelling of organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Verwerken is dus een zeer ruim begrip. Volgens de AVG vallen er in ieder geval onder: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

De beginselen van verwerking van persoonsgegevens

Iedere verwerking van persoonsgegevens moet aan de volgende beginselen voldoen:

  • Rechtmatigheid, behoorlijkheid en transparantie
  • Doelbinding (persoonsgegevens mogen alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder worden verwerkt op een wijze die met die doeleinden onverenigbaar is)
  • Minimale gegevensverwerking (de verwerking van persoonsgegevens moet beperkt zijn tot wat noodzakelijk is voor het betreffende doel)
  • Juistheid (persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd, gewist of gerectificeerd)
  • Opslagbeperking (persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het betreffende doel)
  • Integriteit en vertrouwelijkheid (persoonsgegevens moeten goed beveiligd zijn en beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging)

De verwerkingsverantwoordelijke moet kunnen aantonen dat iedere verwerking van persoonsgegevens aan deze beginselen voldoet. Dit heet de verantwoordingsplicht (‘accountability’).

De rechtsgronden voor de verwerking van gewone persoonsgegevens

De verwerking van gewone persoonsgegevens is alleen rechtmatig als zij gebaseerd is op een of meer van de volgende rechtsgronden:

  • De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden
  • De verwerking is noodzakelijk voor de uitvoering van overeenkomst waarbij de betrokkene partij is
  • De verwerking is noodzakelijk om te voldoen aan wettelijke verplichting van de verwerkingsverantwoordelijke
  • De verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of een ander natuurlijk persoon
  • De verwerking is noodzakelijk voor de vervulling van taak van algemeen belang of van een publieke taak van de verwerkingsverantwoordelijke
  • De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, tenzij de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene zwaarder wegen

De rechtsgronden voor de verwerking van bijzondere persoonsgegevens

De verwerking van bijzondere persoonsgegevens is alleen rechtmatig als zij gebaseerd is op een of meer van de volgende rechtsgronden:

  • De betrokkene heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer welbepaalde doeleinden
  • De verwerking is noodzakelijk om op grond van het arbeids- of sociale zekerheidsrecht een verplichting na te komen of een recht geldend te maken
  • De verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of een ander natuurlijk persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven
  • De verwerking wordt verricht door een stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, mits de verwerking uitsluitend betrekking heeft op de (voormalige) leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt
  • De verwerking heeft betrekking op persoonsgegevens die door de betrokkene openbaar zijn gemaakt
  • De verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechterlijke taken
  • De verwerking is noodzakelijk vanwege een zwaarwegend algemeen belang
  • De verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en gezondheidsdiensten of sociale stelsels en diensten
  • De verwerking is noodzakelijk vanwege een algemeen belang op het gebied van de volksgezondheid
  • De verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

De verplichtingen van de verwerkingsverantwoordelijke

  • Verantwoordingsplicht (‘accountability’)
  • Binnen een maand aan een informatieverzoek van de betrokkene voldoen
  • Informeren van de betrokkene als persoonsgegevens zijn of worden verzameld, hetzij wanneer de gegevens zijn of worden verkregen van de betrokkene hetzij wanneer ze zijn of worden verkregen van een derde (privacyverklaring; ‘privacy statement’)
  • Beveiliging en compliance
  • Gegevensbeschermingsbeleid
  • Gegevensbescherming door ontwerp en standaardinstellingen (‘privacy by design and privacy by default’)
  • Sluiten van een verwerkersovereenkomst als een ander (“verwerker”) voor de verwerkingsverantwoordelijke persoonsgegevens verwerkt
  • Bijhouden register van verwerkingsactiviteiten (verwerkingsregister)
  • Beveiliging door verwerkingsverantwoordelijke en verwerker
  • Meldplicht datalekken
  • Gegevensbeschermingseffectbeoordeling (‘Data Protection Impact Assessment’, DPIA)
  • Voorafgaande raadpleging toezichthouder in geval van DPIA
  • Aanwijzen functionaris voor de gegevensbescherming (FG) (‘Data Protection Officer’, DPO)

De rechten van de betrokkene

De betrokkene heeft de volgende rechten:

  • Transparante informatie
  • Informatie, zowel wanneer persoonsgegevens zijn of worden verkregen van de betrokkene als wanneer ze zijn of worden verkregen van een derde
  • Inzage, informatie en kopie
  • Rectificatie en aanvulling
  • Wissing (het recht op vergetelheid; ‘the right to be forgotten’)
  • Beperking van de verwerking
  • Verkrijging in gestructureerde vorm
  • Overdraagbaarheid van gegevens (dataportabiliteit)
  • Bezwaar
  • Niet worden onderworpen aan geautomatiseerde besluiten, waaronder profilering (het recht op een menselijke blik bij besluiten)
  • Klacht indienen bij toezichthouder
  • Doeltreffende voorziening in rechte instellen tegen toezichthouder respectievelijk de verwerkingsverantwoordelijke of de verwerker
  • Collectief actierecht
  • Schadevergoeding

De maximale boetes

Afhankelijk van welke verplichting uit de AVG is geschonden, is de maximale boete maximaal € 20 miljoen of 4% van de jaaromzet dan wel maximaal € 10 miljoen of 2% van de jaaromzet.

Instemming ondernemingsraad (OR)

Een onderneming die een OR heeft, heeft de instemming van de OR nodig voor een voorgenomen besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen (art. 27 lid 1 onder k. WOR).

Het AVG-team van SWDV

SWDV Advocaten heeft de expertise in huis en geeft u AVG-advies op maat: stel uw vraag aan ons AVG-team, zodat u snel weer verder kunt. Wat doen wij voor u?

  • Opstellen privacyverklaring
  • Opstellen verwerkersovereenkomst
  • Check meldplicht datalekken
  • Adviseren over al uw privacy-vragen

SWDV helpt u uw onderneming of vereniging op tijd AVG-proof te krijgen.

Neem contact op met onze AVG expert

mr. drs. J.P. (Jeroen) Dikker

Advocaat

Expertise: arbeid, ambtenaren, onderwijs, AVG