Introductie AVG

Door de algemene verordening gegevensbescherming (AVG) hebben mensen meer mogelijkheden gekregen om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten zijn namelijk versterkt en uitgebreid.

Toestemming

In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken.

Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Nieuwe privacyrechten

Naast versterking van de bestaande rechten hebben mensen door de AVG een aantal aanvullende rechten gekregen.

Recht op vergetelheid
Mensen hadden al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Nu kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

Recht op dataportabiliteit
Ook hebben mensen nu (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

Onder de Algemene verordening gegevensbescherming (AVG) heeft u als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht.

De verantwoordingsplicht houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Maar de AVG biedt u als organisatie tegelijkertijd meer instrumenten die u helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens.

Onder de AVG verandert er onder meer het volgende voor organisaties:

• u hoeft verwerkingen van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens;
• u kunt verplicht zijn een Data protection impact assessment (DPIA) uit te voeren;
• u kunt verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen.

Door de komst van de Algemene verordening gegevensbescherming (AVG) geldt er nog maar één privacywet in de hele Europese Unie (EU) in plaats van 28 verschillende nationale wetten. Ook is de AVG meer toegespitst op de gedigitaliseerde samenleving.

Bent u in meerdere EU-lidstaten actief ? Dan levert de AVG u het volgende op:

• u heeft minder administratieve kosten en nalevingskosten;
• u heeft meer rechtszekerheid;
• er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU;
• u hoeft nog maar met één toezichthouder zaken te doen (onestopshop).

Overtreedt een organisatie de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn 2 categorieën overtredingen en bijbehorende maximale boetes.

1. Boete voor niet nakomen AVG-verplichtingen

Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben onder de AVG bepaalde verplichtingen, zoals de verantwoordingsplicht.

Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

2. Boete voor overtreden AVG-beginselen of grondslagen

Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)?

Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Boetebeleidsregels

Hoe de AP de hoogte van boetes bepaalt, is vastgelegd in de Boetebeleidsregels Autoriteit Persoonsgegevens 2019.

Boetes naar schatkist

Het Centraal Justitieel Incassobureau (CJIB) int de boetes voor de AP. De AP houdt het geld uit de boetes niet zelf, maar zorgt dat het terechtkomt in de schatkist. Het geld gaat dus naar de algemene middelen van de overheid.

Privacybescherming is een continu proces. De Autoriteit Persoonsgegevens (AP) helpt u op verschillende manieren om aan de AVG te voldoen.

Hulpmiddelen van de AP

• Op de campagnewebsite hulpbijprivacy.nl vindt u het antwoord op veelgestelde vragen over de AVG door burgers en organisaties.
• U kunt de AP bellen met algemene vragen over de AVG.
• De AP geeft op uitnodiging en in overleg presentaties tijdens bijeenkomsten georganiseerd door brancheorganisaties of andere georganiseerde samenwerkingen. U kunt uw verzoek sturen naar uitnodiging@autoriteitpersoonsgegevens.nl.
• Voorlichting via de pers.
• De interactieve AVG-regelhulp. U vindt deze op de website van de Rijksdienst voor Ondernemend Nederland (RVO).
• Diverse praktische hulpmiddelen, zoals de AP-checklist 'houd grip op persoonsgegevens' en de infographic 'de AVG in een notendop' die u kunt gebruiken voor interne bijeenkomsten.
• Leraren van groep 7 en 8 kunnen het gratis Lespakket privacy van de AP downloaden.

Met wat voor vragen kunt u bij ons terecht?

U kunt ons vragen stellen over uw (nieuwe) verantwoordelijkheden onder de AVG. Ook kunt u bij ons terecht voor algemene informatie over de privacyregels. Wij leggen u dan uit wat er in de wet staat.

Waarmee kunnen wij u níet helpen?

Wij geven als toezichthouder algemene antwoorden op uw vragen. Wilt u weten of u met een specifieke handeling of werkwijze aan de AVG voldoet? Dan kunt u het beste contact opnemen met bijvoorbeeld een adviesbureau, een bedrijfsjurist of een brancheorganisatie.

Waarom kan de AP niet al mijn AVG-vragen beantwoorden?

Soms kunnen wij uw AVG-vraag (nog) niet concreet beantwoorden. Dat komt omdat het om nieuwe wetgeving uit Europa gaat.

In sommige gevallen werken de Europese privacytoezichthouders bijvoorbeeld nog aan guidance over een bepaalde regel uit de wet. Wanneer die guidance er is, dan brengen zij bijvoorbeeld nieuwe guidelines uit waarin dit is vastgelegd. Zodat alle landen dezelfde uitleg geven.

• Meer uitleg over waarom de AP (nog) niet al uw AVG-vragen kan beantwoorden.

Help ons onze voorlichting te verbeteren

Uw vragen geven ons inzicht in de onderwerpen uit de AVG waarover nog veel behoefte aan informatie is. Dat helpt om onze voorlichting te verbeteren. Onder andere door de Q&A’s op onze website uit te breiden. Dus ook al kunnen wij soms uw vraag nog niet concreet beantwoorden, blijf ons vooral uw vragen stellen. Via de telefoon of tijdens bijeenkomsten.

Ja, de nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie.

De Algemene verordening gegevensbescherming (AVG) geldt niet voor politie en justitie als zij hun taken voor de opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen uitvoeren. Daarvoor geldt ‘de Richtlijn gegevensbescherming politie en justitie’. Hieronder vallen ook de taken ter bescherming van de openbare veiligheid. Voor andere taken van politie en justitie is de AVG wel van toepassing. Bijvoorbeeld bij de verwerking van personeelsgegevens.

Waarom andere regels voor politie en justitie?
Voor opsporingsdiensten zoals de politie gelden er speciale regels omdat zij de taak hebben om de openbare veiligheid te bewaken en strafbare feiten op te sporen. Zij hebben daarom speciale bevoegdheden nodig om die taken uit te kunnen voeren.

Tegelijkertijd verwerken opsporingsdiensten hele gevoelige persoonsgegevens van mensen voor het publieke belang van de criminaliteitsbestrijding. Maar vaak  zonder hun toestemming en medeweten. 

Het is daarom extra belangrijk dat opsporingsdiensten de grondrechten van burgers, zoals het recht op privacy, goed bewaken. Ook moeten zij alle gegevens die ze verwerken heel goed beveiligen.

Bewaart u visitekaartjes die u krijgt systematisch (bijvoorbeeld door deze op alfabetische volgorde op te slaan) voor professioneel gebruik? Dan is de Algemene verordening gegevensbescherming (AVG) van toepassing.

U bent dan strikt genomen ‘verwerkingsverantwoordelijke’. Dat betekent dat u de verwerking van de persoonsgegevens die op visitekaartjes staan, moet kunnen baseren op een grondslag uit artikel 6 van de AVG.

Toestemming

In dit geval kunt u de verwerking baseren op de grondslag ‘toestemming’. U mag namelijk aannemen dat degene die u het visitekaartje geeft, u daarbij ook toestemming geeft om het kaartje te gebruiken waarvoor het bedoeld is (contactgegevens bewaren en gebruiken).

U kunt eenvoudig aantonen dat u toestemming heeft gekregen doordat u het kaartje in uw bezit heeft.

Informeren niet nodig

Volgens de wet moet u de degene van wie u gegevens verzamelt informeren over deze verwerking. Maar geeft iemand u een visitekaartje, dan mag u ervan uitgaan dat diegene al weet wat u met de gegevens op het kaartje doet.

Bredere verspreiding

Let op: worden de gegevens op een visitekaartje breder verspreid? Bijvoorbeeld omdat uw werkgever van alle werknemers de ontvangen visitekaartjes centraal inzamelt en registreert, zodat de hele organisatie de gegevens kan gebruiken?

Dan mag u niet zonder meer aannemen dat u ook daarvoor toestemming heeft van degene die u een visitekaartje geeft.

Het is aan te raden om uw gesprekspartner erop te wijzen dat de gegevens op het kaartje breder verspreid zullen worden. Heeft diegene daar bezwaar tegen? Dan kunt u het kaartje teruggeven of privé houden.

Uitzonderingen

Er zijn twee situaties waarin de AVG niet van toepassing is op de visitekaartjes die u krijgt:

• U krijgt visitekaartjes privé en gebruikt deze alleen voor uzelf, dus niet voor uw werk.
• U bewaart visitekaartjes niet systematisch. De AVG geldt dan niet, want er is geen sprake van een geheel of gedeeltelijk geautomatiseerde verwerking of opname in een bestand.

Nee. Volgens de Algemene verordening gegevensbescherming (AVG) is het burgerservicenummer (BSN) geen bijzonder persoonsgegeven.

In de Uitvoeringswet AVG (UAVG) wordt het BSN niet als bijzonder persoonsgegeven aangemerkt. Wel mogen de Europese lidstaten onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN.

Artikel 46 van de Uitvoeringswet AVG (UAVG) regelt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens alleen gebruikt mag worden ter uitvoering van die wet, dan wel voor doelen bij de wet bepaald.

In dat artikel staat ook dat bij algemene maatregel van bestuur andere gevallen kunnen worden aangewezen waarin het BSN kan worden gebruikt.

Met artikel 46 UAVG wijzigt de bestaande praktijk voor verwerking van het BSN feitelijk niet.

Het uitgangspunt is dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking.

Bewaartermijnen vastleggen en mensen informeren

Hoe lang u gegevens mag bewaren, verschilt per geval. Als verantwoordelijke moet u onder de AVG wel het volgende regelen:

• U bepaalt van tevoren hoe lang u de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt u in elk geval de criteria voor het vaststellen van de bewaartermijn. U legt de bewaartermijn of de criteria vast in een bewaarbeleid.
• U neemt de bewaartermijnen ook op in uw register van verwerkingen.
• U informeert de betrokkenen (de mensen van wie u gegevens verwerkt) over de bewaartermijnen. Bijvoorbeeld via een privacyverklaring op uw website.

Langere bewaartermijn

Verwerkt u persoonsgegevens voor het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden? Dan mag u persoonsgegevens langer bewaren dan noodzakelijk is voor het oorspronkelijke doel van uw verwerking.

Let op: dat mag alleen als u technische en organisatorische maatregelen neemt om de privacy van de betrokkenen zo goed mogelijk te beschermen. Een voorbeeld van zo’n maatregel is dataminimalisatie. Dat betekent dat u zo min mogelijk persoonsgegevens verzamelt en verwerkt.

Als organisatie bent u volgens de Algemene verordening gegevensbescherming (AVG) onder meer verplicht een functionaris voor de gegevensbescherming (FG) te benoemen en een data protection impact assessment (DPIA) uit te voeren als u op grote schaal:

• individuen volgt; of
• bijzondere persoonsgegevens van individuen verwerkt.

Voor beide aspecten geldt dat dit een kernactiviteit van de organisatie moet zijn. In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt. Wel zijn er criteria en voorbeelden die u op weg helpen.

Criteria grootschalige gegevensverwerking

Wilt u bepalen of uw organisatie volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt? Kijk dan naar deze criteria:

• het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
• de hoeveelheid gegevens die u verwerkt;
• de duur van de gegevensverwerking;
• de geografische reikwijdte van de verwerking.

Voorbeelden van grootschalige verwerkingen

Hieronder vindt u een aantal voorbeelden van verwerkingen die de Europese toezichthouders als grootschalig zien (bron: Guidelines on Data Protection Officers / Nederlandse vertaling guidelines).

• Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
• Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
• Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.
• Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
• Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.
• Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten. Zoals inhoud, verkeer en locatie.

Voorbeeld van een niet-grootschalige verwerking

De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig.

Standaard

De Europese privacytoezichthouders verwachten dat er op den duur een praktische standaard komt waarmee u eenvoudiger bepaalt of u volgens de AVG op grote schaal (bijzondere) persoonsgegevens verwerkt en dus een FG moet aanstellen en een DPIA moet uitvoeren. Zodra hierover meer bekend is, vindt u die informatie op deze website.