Deze website serveert cookies bij de advertenties    |    Meer informatie    |    Geen melding meer: ik vind cookies OK
Zie ook: AVG: Europese Privacyverordening | Bescherming persoonsgegevens | Verwerkersovereenkomst | Binding Corporate Rules | Cookies | Dataretentie | Datalekken | Data Protection Officer of Functionaris Gegevensbescherming | Doorgifte persoonsgegevens | Kopie paspoort | Persoonsgegevens | EU-US Privacy Shield | Vergeetrecht

Wat is de Algemene Verordening Gegevensbescherming?

De Algemene Verordening Gegevensbescherming (AVG) is één wetgeving voor de Europese Unie. Vandaar dat men ook spreekt van de Europese Privacyverordening. De verordening behelst in grote lijnen een verbetering van de privacyrechten van personen en meer verantwoordelijkheden voor organisaties (met bijbehorende sancties).
De sleutelbegrippen in de AVG zijn privacy en persoonsgegevens.

De Europese Privacyverordening is vastgesteld op 25 mei 2016 en trad in werking op 25 mei 2018.
De volledige tekst: Algemene Verordening Gegevensbescherming

Voor de AVG wordt vaak de Engelse benaming gebruikt: GDPR - General Data Protection Regulation.

UAVG : formele versie van AVG

De AVG, die een (Europese) verordening is, is per land omgezet in wetgeving. Dat gaf elk land tevens de mogelijkheid om nuances aan te brengen. Die wet heet in Nederland UAVG: Uitvoerings Wet AVG.
Als we over de Privacywet of zelfs AVG spreken betreft het feitelijk de UAVG.
Lees: Handleiding AVG en Uitvoeringswet AVG van de AP.

Historie:
De AVG is de opvolger van de Wet Bescherming Persoonsgegevens uit 2001, die op haar beurt de Nederlandse uitwerking was van de Europese Privacyrichtlijn uit 1995 (nr. 95/46/EG). Elke Europese lidstaat had op basis van die richtlijn uit 1995 zijn eigen privacywet opgesteld. Dit betekende dat de privacywetgeving in de verschillenden Europese lidstaten niet op elkaar aansloot.

Verordening versus richtlijn

Een richtlijn, zo ook de privacyrichtlijn uit 1995, verlangt van de lidstaten dat zij de lokale wetgeving inrichten zo inrichten dat aan de bepalingen van de richtlijn wordt voldaan. Een verordening, zoals de AVG, legt rechtstreeks verplichtingen op aan de lidstaten. Hierdoor is er sprake van één, uniforme wetgeving.
In het geval van de AVG is er ruimte om eigen regels vast te stellen voor arbeid, zorg en sociale zekerheid.

Verwerkingsverantwoordelijke en verwerker

Naast persoonsgegevens zijn de begrippen verwerkingsverantwoordelijke (Engels: 'controller') en verwerker (Engels: 'processor') zeer belangrijk. Zie artikel 4 van de AVG voor de gehanteerde definities.
In de verordening is ruime aandacht voor uitbesteding van activiteiten aan subverwerkers.


Hieronder sommen enkele belangrijke onderwerpen uit de Europese Privacyverordening op:

Datalekken - melding van beveiligingsproblemen

In Nederland kenden we al de meldplicht voor datalekken. Ook in de AVG geldt als er -met opzet of per ongeluk- data verloren gaan of geopenbaard worden, dat binnen 72 uur aan de toezichthouder moet worden gemeld. De verwerker van de gegevens moet de verwerkingsverantwoordelijke altijd op de hoogte stellen van een datalek. Als de gevolgen voor de betrokkenen groot zijn, dan moet dit aan hen gemeld worden.
Een verandering t.o.v. de oude Wet Meldplicht Datalekken is dat de toezichthouder alleen geïnformeerd hoeft te worden als er daadwerkelijk een lek is geweest, niet al bij een vermoeden.

Verwerkersovereenkomst: verplichte onderdelen

Volgens de AVG is het sluiten van een verwerkersovereenkomst verplicht tussen de verantwoordelijke voor persoonsgegevens en degene die de persoonsgegevens voor hem verwerkt. Een verwerker mag alleen een externe partij ('subverwerker') inschakelen voor het verwerken van persoonsgegevens na schriftelijke toestemming van de verantwoordelijke.
De verordening (art. 28) noemt onderwerpen die in de verwerkersoverkomst aanwezig moeten zijn. Dit zijn o.a.: AVG Europese Privacyverordening

Privacy by Design & Privacy by Default

Processen en diensten moeten ontwikkeld en ingericht worden met privacy als leidraad. Bij instellingen van producten moet gelden dat zij privacyvriendelijk moeten zijn.
In dit verband wordt pseudonimisering genoemd. Dit is het versleutelen van gegevens. In speciale gevallen zijn ze niet meer herleidbaar tot een persoon waardoor er geen sprake meer is van verwerking van persoonsgegevens.
In tegenstelling tot anonimisering is bij pseudonimisering de versleuteling herhaalbaar, waardoor gegevens kunnen worden bijgewerkt of aangevuld.
Lees meer over Privacy by Design en Privacy by Default

Privacy Officer of Functionaris Gegevensbescherming

De aanstelling van een Functionaris Gegevensbescherming (FG) is volgens de verordening in een aantal situaties verplicht.
Meer informatie: Functionaris Gegevensbescherming (FG)

Data Protection Impact Assessment (DPIA)

In een DPIA wordt beschreven hoe, hoelang en waarom persoonsgegevens verwerkt worden. De risico's van opslag en verwerking moeten stuk voor stuk worden beoordeeld. Een DPIA is in een aantal gevallen verplicht: grootschalige verwerking van bijzondere persoonsgegevens, profilering en monitoring van openbare ruimten.
Het doel van een Data Protection Impact Assessment is om in een vroeg stadium de risico's in te schatten die verwerking van persoonsgegevens met zich meebrengen. De DPIA moet bewaard blijven als documentatie van de overwegingen m.b.t. de persoonsgegevens.

In de Wet bescherming persoonsgegevens (Wbp), de voorganger van de AVG, werd de term Privacy Impact Assessment (PIA) gebruikt. De nieuwe naam Data Protection Impact Assessment sluit qua naamgeving aan bij Data Protection Officer.

Toepassingsgebied

Het gebied waarop de AVG van toepassing is, is ruim. Dat geldt voor de verantwoordelijke en zijn vestigingen, en voor de verwerkers van de gegevens. Ook het toepassingsgebied van de betrokkenen in vergroot. Het is niet relevant of de betrokkene voor een product of dienst betaalt.

Documentatieplicht: bijhouden verwerkingsregister

De verwerker en de verantwoordelijke moeten een register bijhouden met daarin een beschrijving van de verwerking van persoonsgegevens. Het verwerkingsregister moet op elk moment een actueel en compleet inzicht geven, zoals: wat wordt opgeslagen, doel van de opslag, bewaartermijn, beveiligingsmaatregelen.
Voor organisaties met minder dan 250 medewerkers is het register niet verplicht, uitgezonderd bij structurele verwerking van persoonsgegevens of bij aanzienlijke risico's voor de betrokkenen.
De website van de Belgische toezichthouder Gegevensbeschermingsautoriteit GBA biedt een model voor een register van verwerkingen. Dit model is gebaseerd op een indeling van verwerkingen op basis van processen.
Hulp nodig bij het opzetten van een verwerkingsregister?

Informeren van de betrokkene

Een aspect dat op veel plaatsen in de AVG terugkomt is de informering van de personen. Dat kan zijn bij het opslaan van gegevens, inclusief de reden van opslag. Ook bij het toepassen van profilering of koppeling met andere bestanden, of bij verwerving van gegevens uit andere bronnen. Hierbij moet de betrokkene gewezen worden op de rechten die hij heeft voor inzage, intrekking toestemming, wijziging en verwijdering.
Dit geldt ook voor werknemers!

Toestemming van de betrokkene

Wanneer toestemming vereist is (als grondslag voor gegevensverwerking) dan moet die toestemming expliciet worden gegeven. In de AVG staat in overweging 32:
"Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt."
Impliciete toestemming is verbannen, het vooraf aanvinken van een optie is verboden (oftewel: Privacy by Default). Voor het verkrijgen van toestemming moet duidelijke en begrijpelijke taal worden gebruikt. Het intrekken van toestemming moet even eenvoudig zijn als het geven ervan.
Een voorbeeld is een privacy statement: die moet zo zijn opgesteld dat een gebruiker begrijpt wat er met zijn persoonsgegevens gebeurt.
Het verwerken van persoonsgegevens zonder toestemming is mogelijk, als er dringende noodzaak voor is. In dat geval kan hiertegen bezwaar gemaakt worden.

Profilering

Speciale aandacht is er voor profilering, onder welke voorwaarden dit is toegestaan, wanneer toestemming nodig is van de betrokkenen en wat de rechten zijn van de betrokkenen.

Vergeetrecht, verwijderen van informatie

Een individu heeft het recht om vergeten te worden. De verwerkingsverantwoordelijke moet bij organisaties die deze data van hem hebben gekregen, ze ook daar laten verwijderen. Een betrokkene kan op verzoek een kopie van zijn data in een portable formaat krijgen (enkele uitzonderingen daargelaten). Deze datakopie kan gebruikt worden om elders te importeren.

Dataportabiliteit

Iedereen (burgers, patiënten, klanten) heeft het recht om persoonsgegevens overgedragen te krijgen in 'gestructureerde, gangbare en machineleesbare vorm'. Het gaat om alle digitale gegevens die een organisatie met toestemming van de betrokkene verwerkt, plus de gegevens die nodig zijn om een overeenkomst uit te voeren. Het zijn de gegevens die door de betrokkene zijn verstrekt, ook de observatiegegevens. We verstaan onder observatiegegevens de informatie die door de betrokkene wordt verstrekt door het gebruik van een dienst of het apparaat. Enkele voorbeelden: klikgedrag, internetverkeer, locatiegegevens en zoekgeschiedenis.
Afgeleide gegevens die door de verwerkingsverantwoordelijke worden samengesteld uit bijvoorbeeld observatiegegevens vallen niet onder het recht van dataportabiliteit. Evenmin als bewerkte gegevens. Bewerkte gegevens kunnen wel worden ingezien door de betrokkene.

Omdat het overhandigen van de informatie veilig moet gebeuren zal het in de praktijk neerkomen om het downloaden met een beveiligde tool of vanaf een beveiligde website. Organisaties moeten ook zorgen voor interfaces zodat de gegevens direct kunnen worden overhandigd aan andere organisaties.
De toenmalige Artikel 29-werkgroep (nu: EDPB) heeft een pdf hierover gepubliceerd: Richtlijnen inzake het recht op gegevensoverdraagbaarheid

Sancties: hoge boetes

Onder de AVG kunnen hoge boetes worden opgelegd: tot 20 miljoen euro, of 4% van de wereldwijde jaaromzet van een organisatie als die hoger uitvalt.
In veel gevallen zal eerst een waarschuwing of een bindende aanwijzing worden gegeven. De maximale boetes moeten vooral een afschrikkend effect hebben.

Opmerkingen over de Europese Privacywetgeving AVG / GDPR