Deze website serveert cookies bij de advertenties    |    Meer informatie    |    Geen melding meer: ik vind cookies OK
Zie ook: Bescherming persoonsgegevens | Bewerkersovereenkomst | Binding Corporate Rules | Cookies | Datalekken | Data Protection Officer | Doorgifte persoonsgegevens | Europese Privacyverordening | Kopie paspoort | Persoonsgegevens | EU-US Privacy Shield | Safe Harbor | Vergeetrecht

Wat is de Algemene Verordening Gegevensbescherming?

De Algemene Verordening Gegevensbescherming (AVG) is één wetgeving voor de Europese Unie. Vandaar dat men ook spreekt van de Europese Privacyverordening. De verordening behelst in grote lijnen een verbetering van de privacyrechten van personen en meer verantwoordelijkheden voor organisaties (met bijbehorende sancties).
De sleutelbegrippen in de AVG zijn privacy en persoonsgegevens.

De Europese Privacyverordening is vastgesteld op 25 mei 2016. Daarin staat genoemd dat de verordening in werking treedt op 25 mei 2018.
De volledige tekst: Algemene Verordening Gegevensbescherming

Verordening versus richtlijn

Een richtlijn, zo ook de privacyrichtlijn uit 1995, verlangt van de lidstaten dat zij de lokale wetgeving inrichten zo inrichten dat aan de bepalingen van de richtlijn wordt voldaan. Een verordening, zoals de AVG, legt rechtstreeks verplichtingen op aan de lidstaten. Hierdoor is er sprake van één, uniforme wetgeving. In het geval van de AVG is er ruimte om eigen regels vast te stellen voor arbeid, zorg en sociale zekerheid.

Verwerkingsverantwoordelijke en verwerker

De term 'verantwoordelijke' ('controller') is vervangen door verwerkingsverantwoordelijke.
De benaming 'bewerker' ('processor') is aangepast tot verwerker.
We gebruiken op deze pagina tijdelijk nog de oude begrippen om de overgang niet te groot te maken. We spreken immers ook nog over bewerkersovereenkomst.
Zie artikel 4 voor de gehanteerde definities in de AVG. Er is in de verordening ook ruime aandacht voor uitbesteding van activiteiten aan subbewerkers.


Belangrijke onderwerpen uit de Europese Privacyverordening:

Datalekken - melding van beveilingsproblemen

In Nederland kenden we al de meldplicht voor datalekken. Ook in de AVG geldt als er -met opzet of per ongeluk- data verloren gaan of geopenbaard worden, dat binnen 72 uur aan de toezichthouder moet worden gemeld. De bewerker van de gegevens moet de verantwoordelijke altijd op de hoogte stellen van een datalek. Als de gevolgen voor de betrokkenen groot zijn, dan moet dit aan hen gemeld worden.
Anders t.o.v. onze Wet Meldplicht Datalekken is dat de toezichthouder alleen geďnformeerd hoeft te worden als er daadwerkelijk een lek is geweest, niet al bij een vermoeden.

Bewerkersovereenkomst: verplichte onderdelen

Volgens de Wbp is het sluiten van een bewerkersovereenkomst verplicht tussen de verantwoordelijke voor persoonsgegevens en degene die de persoonsgegevens voor hem verwerkt. De bewerker mag alleen een externe partij inschakelen voor het verwerken van persoonsgegevens na schriftelijke toestemming van de verantwoordelijke.
De verordening noemt onderwerpen die in de bewerkersoverkomst aanwezig moeten zijn. Dit zijn o.a.: De naamgeving verandert. Het begrip 'bewerker' wordt hernoemd in 'verwerker'. De 'bewerkersovereenkomst' wordt veranderd in 'verwerkersovereenkomst'. Europese Privacyverordening

Privacy by Design & Privacy by Default

Processen en diensten moeten worden ontwikkeld en ingericht met privacy als leidraad. Bij instellingen van producten moet gelden dat zij privacyvriendelijk moeten zijn.
In dit verband wordt pseudonimisering genoemd. Dit is het versleutelen van gegevens. In speciale gevallen zijn ze niet meer herleidbaar tot een persoon waardoor er geen sprake meer is van verwerking van persoonsgegevens.
In tegenstelling tot anonimisering is bij pseudonimisering de versleuteling herhaalbaar, waardoor gegevens kunnen worden bijgewerkt of aangevuld.
Lees meer over Privacy by Design en Privacy by Default

Privacy Officer of Functionaris Gegevensbescherming

De aanstelling van een Functionaris Gegevensbescherming (FG) is volgens de verordening in een aantal situaties verplicht.
Meer informatie: Functionaris Gegevensbescherming (FG)

Privacy Impact Assessment (PIA)

In een PIA wordt beschreven hoe, hoelang en waarom persoonsgegevens verwerkt worden. De risico's van opslag en verwerking moeten stuk voor stuk worden beoordeeld. Een PIA is in een aantal gevallen verplicht: grootschalige verwerking van bijzondere persoonsgegevens, profilering en monitoring van openbare ruimten.
Het doel van een Privacy Impact Assessment is om in een vroeg stadium de risico's in te schatten die verwerking van persoonsgegevens met zich meebrengen.

Toepassingsgebied

Het gebied waarop in waarin de AVG van toepassing is, is ruim. Dat geldt voor de verantwoordelijke en zijn vestigingen, en voor de bewerkers van de gegevens. Ook het toepasssingsgebied van de betrokkenen in vergroot. Het is niet relevant of de betrokkene voor een product of dienst betaalt.

Documentatieplicht: bijhouden register

De bewerker en de verantwoordelijke moeten een register bijhouden met daarin een beschrijving van de verwerking van persoonsgegevens. Zo'n register moet op elk moment een actueel en compleet inzicht geven, zoals: wat wordt opgeslagen, doel van de opslag, bewaartermijn, beveiligingsmaatregelen.
Voor organisaties met minder dan 250 medewerkers is het register niet verplicht, uitgezonderd bij structurele verwerking van persoonsgegevens of bij aanzienlijke risico's voor de betrokkenen.

Informering van de betrokkene

Een aspect dat op veel plaatsen in de AVG terugkomt is de informering van de personen. Dat kan zijn bij het opslaan van gegevens, inclusief de reden van opslag. Ook bij het toepassen van profilering of koppeling met andere bestanden, of bij verwerving van gegevens uit andere bronnen. Hierbij moet de betrokkene gewezen worden op de rechten die hij heeft voor inzage, intrekking toestemming, wijziging en verwijdering.
Dit geldt ook voor werknemers!

Toestemming van de betrokkene

Wanneer toestemming vereist is (als grondslag voor gegevensverwerking) dan moet die toestemming expliciet worden gegeven. In de AVG staat in overweging 32:
"Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geďnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt."
Impliciete toestemming wordt verbannen, het vooraf aanvinken van een optie is verboden. Voor het verkrijgen van toestemming moet duidelijke en begrijpelijke taal worden gebruikt. Het intrekken van toestemming moet even eenvoudig zijn als het geven ervan.
Een voorbeeld is een privacy statement: die moet zo zijn opgesteld dat een gebruiker begrijpt wat er met zijn persoonsgegevens gebeurt.
Verwerken van persoonsgegevens zonder toestemming is mogelijk, als er dringende noodzaak voor is. In dat geval kan hiertegen bezwaar gemaakt worden.

Profilering

Speciale aandacht is er voor profilering, onder welke voorwaarden dit is toegestaan, wanneer toestemming nodig is van de betrokkenen en wat de rechten zijn van de betrokkenen.

Vergeetrecht, verwijderen van informatie

Een individu heeft het recht om vergeten te worden. De verantwoordelijke moet bij collega’s die deze data van hem hebben gekregen, ze ook daar laten verwijderen. Een betrokkene kan op verzoek een kopie van zijn data in een portable formaat krijgen (enkele uitzonderingen daargelaten). Deze datakopie kan gebruikt worden om elders te importeren.

Sancties: hoge boetes

Onder de AVG kunnen hoge boetes worden opgelegd: tot 20 miljoen euro, of 4% van de wereldwijde jaaromzet van een organisatie als die hoger uitvalt.
In veel gevallen zal eerst een waarschuwing of een bindende aanwijzing worden gegeven. De maximale boetes moeten vooral een afschrikkend effect hebben.

Opmerkingen over de Europese Privacywetgeving