Vergroot contrast

Introductie AVG

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De Wet bescherming persoonsgegevens (Wbp) geldt niet meer.

De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

Aparte richtlijn politie en justitie

Naast de AVG is er een aparte Richtlijn gegevensbescherming politie en justitie. In Nederland is deze richtlijn per 1 januari 2019 geïmplementeerd in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).

Zie ook: Geldt de AVG ook voor politie en justitie?

Wat heeft de AVG veranderd?

De AVG heeft onder meer gezorgd voor:

Voor een overzicht van een aantal belangrijke onderdelen van de AVG, zie: De AVG in een notendop. 

Hulp bij AVG

Om organisaties te helpen (blijvend) aan de AVG te voldoen, zijn er de volgende hulpmiddelen:

AVG-regelhulp

De Autoriteit Persoonsgegevens (AP) heeft de interactieve tool 'AVG-regelhulp' ontwikkeld. Als u de vragen uit de regelhulp beantwoordt, krijgt u een praktisch advies op maat over waar u nog aan moet werken om aan de AVG te (blijven) voldoen. De AVG-regelhulp is ontwikkeld in samenwerking met de Rijksdienst voor Ondernemend Nederland (RVO).

Checklist: houd grip op persoonsgegevens

Privacybescherming is een continu proces. De AP-checklist 'houd grip op persoonsgegevens' helpt u om te controleren of uw organisatie nog steeds aan een aantal belangrijke onderdelen van de AVG voldoet.  

AVG-guidelines

De AP publiceert samen met de andere Europese privacytoezichthouders guidelines die bepaalde onderwerpen uit de AVG verduidelijken.

Meer informatie AVG

Zie ook de volgende dossiers voor AVG-informatie:

Nieuws

Alle nieuwsberichten over het onderwerp 'Introductie AVG'

Alle antwoorden op mijn vragenAlgemene vragen over de AVG

  • Wat merken mensen van wie persoonsgegevens worden verwerkt van de AVG?

    Door de algemene verordening gegevensbescherming (AVG) hebben mensen meer mogelijkheden gekregen om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten zijn namelijk versterkt en uitgebreid.

    Toestemming

    In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken.

    Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

    Nieuwe privacyrechten

    Naast versterking van de bestaande rechten hebben mensen door de AVG een aantal aanvullende rechten gekregen.

    Recht op vergetelheid
    Mensen hadden al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Nu kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

    Recht op dataportabiliteit
    Ook hebben mensen nu (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

    Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

  • Wat zijn de belangrijkste veranderingen voor organisaties?

    Onder de Algemene verordening gegevensbescherming (AVG) heeft u als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht.

    De verantwoordingsplicht houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Maar de AVG biedt u als organisatie tegelijkertijd meer instrumenten die u helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens.

    Onder de AVG verandert er onder meer het volgende voor organisaties:

  • Wat levert de AVG mij als organisatie op?

    Door de komst van de Algemene verordening gegevensbescherming (AVG) geldt er nog maar één privacywet in de hele Europese Unie (EU) in plaats van 28 verschillende nationale wetten. Ook is de AVG meer toegespitst op de gedigitaliseerde samenleving.

    Bent u in meerdere EU-lidstaten actief ? Dan levert de AVG u het volgende op:

    • u heeft minder administratieve kosten en nalevingskosten;
    • u heeft meer rechtszekerheid;
    • er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU;
    • u hoeft nog maar met één toezichthouder zaken te doen (onestopshop).
  • Hoe hoog zijn de boetes onder de AVG?

    Overtreedt een organisatie de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn 2 categorieën overtredingen en bijbehorende maximale boetes.

    1. Boete voor niet nakomen AVG-verplichtingen

    Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben onder de AVG bepaalde verplichtingen, zoals de verantwoordingsplicht.

    Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

    2. Boete voor overtreden AVG-beginselen of grondslagen

    Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)?

    Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

    Boetebeleidsregels

    Hoe de AP de hoogte van boetes bepaalt, is vastgelegd in de Boetebeleidsregels Autoriteit Persoonsgegevens 2019.

    Boetes naar schatkist

    Het Centraal Justitieel Incassobureau (CJIB) int de boetes voor de AP. De AP houdt het geld uit de boetes niet zelf, maar zorgt dat het terechtkomt in de schatkist. Het geld gaat dus naar de algemene middelen van de overheid.

  • Hoe helpt de AP mij om aan de AVG te voldoen?

    Privacybescherming is een continu proces. De Autoriteit Persoonsgegevens (AP) helpt u op verschillende manieren om aan de AVG te voldoen.

    Hulpmiddelen van de AP

    • Op de campagnewebsite hulpbijprivacy.nl vindt u het antwoord op veelgestelde vragen over de AVG door burgers en organisaties.
    • U kunt de AP bellen met algemene vragen over de AVG.
    • De AP geeft op uitnodiging en in overleg presentaties tijdens bijeenkomsten georganiseerd door brancheorganisaties of andere georganiseerde samenwerkingen. U kunt uw verzoek sturen naar uitnodiging@autoriteitpersoonsgegevens.nl.
    • Voorlichting via de pers.
    • De interactieve AVG-regelhulp. U vindt deze op de website van de Rijksdienst voor Ondernemend Nederland (RVO).
    • Diverse praktische hulpmiddelen, zoals de AP-checklist 'houd grip op persoonsgegevens' en de infographic 'de AVG in een notendop' die u kunt gebruiken voor interne bijeenkomsten.
    • Leraren van groep 7 en 8 kunnen het gratis Lespakket privacy van de AP downloaden.

    Met wat voor vragen kunt u bij ons terecht?

    U kunt ons vragen stellen over uw (nieuwe) verantwoordelijkheden onder de AVG. Ook kunt u bij ons terecht voor algemene informatie over de privacyregels. Wij leggen u dan uit wat er in de wet staat.

    Waarmee kunnen wij u níet helpen?

    Wij geven als toezichthouder algemene antwoorden op uw vragen. Wilt u weten of u met een specifieke handeling of werkwijze aan de AVG voldoet? Dan kunt u het beste contact opnemen met bijvoorbeeld een adviesbureau, een bedrijfsjurist of een brancheorganisatie.

    Waarom kan de AP niet al mijn AVG-vragen beantwoorden?

    Soms kunnen wij uw AVG-vraag (nog) niet concreet beantwoorden. Dat komt omdat het om nieuwe wetgeving uit Europa gaat.

    In sommige gevallen werken de Europese privacytoezichthouders bijvoorbeeld nog aan guidance over een bepaalde regel uit de wet. Wanneer die guidance er is, dan brengen zij bijvoorbeeld nieuwe guidelines uit waarin dit is vastgelegd. Zodat alle landen dezelfde uitleg geven.

    Help ons onze voorlichting te verbeteren

    Uw vragen geven ons inzicht in de onderwerpen uit de AVG waarover nog veel behoefte aan informatie is. Dat helpt om onze voorlichting te verbeteren. Onder andere door de Q&A’s op onze website uit te breiden. Dus ook al kunnen wij soms uw vraag nog niet concreet beantwoorden, blijf ons vooral uw vragen stellen. Via de telefoon of tijdens bijeenkomsten.

  • Geldt de AVG ook voor kleine mkb'ers en zzp'ers?

    Ja, de nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie.

  • Geldt de AVG ook voor politie en justitie?

    De Algemene verordening gegevensbescherming (AVG) geldt niet voor politie en justitie als zij hun taken voor de opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen uitvoeren. Daarvoor geldt ‘de Richtlijn gegevensbescherming politie en justitie’. Hieronder vallen ook de taken ter bescherming van de openbare veiligheid. Voor andere taken van politie en justitie is de AVG wel van toepassing. Bijvoorbeeld bij de verwerking van personeelsgegevens.

    Waarom andere regels voor politie en justitie?
    Voor opsporingsdiensten zoals de politie gelden er speciale regels omdat zij de taak hebben om de openbare veiligheid te bewaken en strafbare feiten op te sporen. Zij hebben daarom speciale bevoegdheden nodig om die taken uit te kunnen voeren.

    Tegelijkertijd verwerken opsporingsdiensten hele gevoelige persoonsgegevens van mensen voor het publieke belang van de criminaliteitsbestrijding. Maar vaak  zonder hun toestemming en medeweten. 

    Het is daarom extra belangrijk dat opsporingsdiensten de grondrechten van burgers, zoals het recht op privacy, goed bewaken. Ook moeten zij alle gegevens die ze verwerken heel goed beveiligen.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenSpecifieke vragen over de AVG

  • Is op visitekaartjes die ik krijg de AVG van toepassing?

    Bewaart u visitekaartjes die u krijgt systematisch (bijvoorbeeld door deze op alfabetische volgorde op te slaan) voor professioneel gebruik? Dan is de Algemene verordening gegevensbescherming (AVG) van toepassing.

    U bent dan strikt genomen ‘verwerkingsverantwoordelijke’. Dat betekent dat u de verwerking van de persoonsgegevens die op visitekaartjes staan, moet kunnen baseren op een grondslag uit artikel 6 van de AVG.

    Toestemming

    In dit geval kunt u de verwerking baseren op de grondslag ‘toestemming’. U mag namelijk aannemen dat degene die u het visitekaartje geeft, u daarbij ook toestemming geeft om het kaartje te gebruiken waarvoor het bedoeld is (contactgegevens bewaren en gebruiken).

    U kunt eenvoudig aantonen dat u toestemming heeft gekregen doordat u het kaartje in uw bezit heeft.

    Informeren niet nodig

    Volgens de wet moet u de degene van wie u gegevens verzamelt informeren over deze verwerking. Maar geeft iemand u een visitekaartje, dan mag u ervan uitgaan dat diegene al weet wat u met de gegevens op het kaartje doet.

    Bredere verspreiding

    Let op: worden de gegevens op een visitekaartje breder verspreid? Bijvoorbeeld omdat uw werkgever van alle werknemers de ontvangen visitekaartjes centraal inzamelt en registreert, zodat de hele organisatie de gegevens kan gebruiken?

    Dan mag u niet zonder meer aannemen dat u ook daarvoor toestemming heeft van degene die u een visitekaartje geeft.

    Het is aan te raden om uw gesprekspartner erop te wijzen dat de gegevens op het kaartje breder verspreid zullen worden. Heeft diegene daar bezwaar tegen? Dan kunt u het kaartje teruggeven of privé houden.

    Uitzonderingen

    Er zijn twee situaties waarin de AVG niet van toepassing is op de visitekaartjes die u krijgt:

    • U krijgt visitekaartjes privé en gebruikt deze alleen voor uzelf, dus niet voor uw werk.
    • U bewaart visitekaartjes niet systematisch. De AVG geldt dan niet, want er is geen sprake van een geheel of gedeeltelijk geautomatiseerde verwerking of opname in een bestand.
  • Is het BSN een bijzonder persoonsgegeven onder de AVG?

    Nee. Volgens de Algemene verordening gegevensbescherming (AVG) is het burgerservicenummer (BSN) geen bijzonder persoonsgegeven.

    In de Uitvoeringswet AVG (UAVG) wordt het BSN niet als bijzonder persoonsgegeven aangemerkt. Wel mogen de Europese lidstaten onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN.

    Artikel 46 van de Uitvoeringswet AVG (UAVG) regelt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens alleen gebruikt mag worden ter uitvoering van die wet, dan wel voor doelen bij de wet bepaald.

    In dat artikel staat ook dat bij algemene maatregel van bestuur andere gevallen kunnen worden aangewezen waarin het BSN kan worden gebruikt.

    Met artikel 46 UAVG wijzigt de bestaande praktijk voor verwerking van het BSN feitelijk niet.

  • Hoe lang mag ik persoonsgegevens bewaren?

    Het uitgangspunt is dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking.

    Bewaartermijnen vastleggen en mensen informeren

    Hoe lang u gegevens mag bewaren, verschilt per geval. Als verantwoordelijke moet u onder de AVG wel het volgende regelen:

    • U bepaalt van tevoren hoe lang u de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt u in elk geval de criteria voor het vaststellen van de bewaartermijn. U legt de bewaartermijn of de criteria vast in een bewaarbeleid.
    • U neemt de bewaartermijnen ook op in uw register van verwerkingen.
    • U informeert de betrokkenen (de mensen van wie u gegevens verwerkt) over de bewaartermijnen. Bijvoorbeeld via een privacyverklaring op uw website.

    Langere bewaartermijn

    Verwerkt u persoonsgegevens voor het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden? Dan mag u persoonsgegevens langer bewaren dan noodzakelijk is voor het oorspronkelijke doel van uw verwerking.

    Let op: dat mag alleen als u technische en organisatorische maatregelen neemt om de privacy van de betrokkenen zo goed mogelijk te beschermen. Een voorbeeld van zo’n maatregel is dataminimalisatie. Dat betekent dat u zo min mogelijk persoonsgegevens verzamelt en verwerkt.

  • Wat ziet de AVG als een grootschalige verwerking van persoonsgegevens?

    Als organisatie bent u volgens de Algemene verordening gegevensbescherming (AVG) onder meer verplicht een functionaris voor de gegevensbescherming (FG) te benoemen en een data protection impact assessment (DPIA) uit te voeren als u op grote schaal:

    • individuen volgt; of
    • bijzondere persoonsgegevens van individuen verwerkt.

    Voor beide aspecten geldt dat dit een kernactiviteit van de organisatie moet zijn. In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt. Wel zijn er criteria en voorbeelden die u op weg helpen.

    Criteria grootschalige gegevensverwerking

    Wilt u bepalen of uw organisatie volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt? Kijk dan naar deze criteria:

    • het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
    • de hoeveelheid gegevens die u verwerkt;
    • de duur van de gegevensverwerking;
    • de geografische reikwijdte van de verwerking.

    Voorbeelden van grootschalige verwerkingen

    Hieronder vindt u een aantal voorbeelden van verwerkingen die de Europese toezichthouders als grootschalig zien (bron: Guidelines on Data Protection Officers / Nederlandse vertaling guidelines).

    • Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
    • Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
    • Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.
    • Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
    • Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.
    • Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten. Zoals inhoud, verkeer en locatie.

    Voorbeeld van een niet-grootschalige verwerking

    De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig.

    Standaard

    De Europese privacytoezichthouders verwachten dat er op den duur een praktische standaard komt waarmee u eenvoudiger bepaalt of u volgens de AVG op grote schaal (bijzondere) persoonsgegevens verwerkt en dus een FG moet aanstellen en een DPIA moet uitvoeren. Zodra hierover meer bekend is, vindt u die informatie op deze website.

Hulpmiddelen voor professionals

Praktische hulpmiddelen

De AVG in een notendop

Checklist: houd grip op persoonsgegevens