De AVG in het kort

Door de Algemene verordening gegevensbescherming (AVG) hebben organisaties die persoonsgegevens verzamelen en gebruiken meer verantwoordelijkheden gekregen. En de mensen van wie zij gegevens gebruiken hebben meer rechten gekregen. Houden organisaties zich niet aan de regels? Dan kunnen zij een boete krijgen. 

Op deze pagina

Voor wie de AVG geldt

De AVG is sinds 25 mei 2018 van toepassing in de hele Europese Unie (EU). De AVG geldt voor iedereen die persoonsgegevens verwerkt

  • De AVG geldt niet alleen voor grote bedrijven, maar ook voor kleine ondernemers. Zie ook: AVG voor ondernemers.
  • De AVG geldt ook voor de overheid. 
  • De AVG geldt niet alleen voor organisaties, maar ook voor individuele personen die persoonsgegevens verwerken. Bijvoorbeeld mensen die een camera ophangen bij hun huis.

Aparte richtlijn voor politie en justitie

Voor politie en justitie geldt naast de AVG extra privacywetgeving. Dat is de Europese Richtlijn voor gegevensbescherming bij rechtshandhaving. Deze richtlijn geeft regels voor de verwerking van persoonsgegevens door bevoegde autoriteiten om strafbare feiten te voorkomen, te onderzoeken, op te sporen en te vervolgen en om straffen uit te voeren.

Voor andere taken van politie en justitie is de AVG wel van toepassing. Bijvoorbeeld bij de verwerking van personeelsgegevens. In Nederland is de Richtlijn per 1 januari 2019 geïmplementeerd in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).

Uitvoeringswet AVG (UAVG)

Elke EU-lidstaat mag op een aantal punten in de AVG zelf kiezen hoe dat in die lidstaat wordt geregeld. In Nederland zijn deze keuzes uitgewerkt in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

Basisprincipes (beginselen) AVG

De AVG kent 6 basisprincipes, in de AVG 'beginselen' genoemd. Die staan in  artikel 5 van de AVG. Iedereen die persoonsgegevens verwerkt, moet zich hieraan houden. En dit kunnen aantonen. Dat is het zevende, overkoepelende basisprincipe van de AVG: de verantwoordingsplicht.

De 6 AVG-beginselen zijn:

  1. rechtmatigheid, behoorlijkheid en transparantie;
  2. doelbinding;
  3. dataminimalisatie;
  4. juistheid;
  5. opslagbeperking;
  6. vertrouwelijkheid en integriteit.

Rechtmatigheid, behoorlijkheid en transparantie

Organisaties mogen persoonsgegevens alleen verwerken in overeenstemming met de wet. Dan is de verwerking rechtmatig. Een verwerking die niet aan de AVG voldoet, is dus onrechtmatig. Om rechtmatig te zijn, moet een verwerking zijn gebaseerd op een grondslag uit de AVG. 

Grondslagen AVG uitgelegd

De verwerking moet behoorlijk zijn. Dat betekent die niet (op een niet te rechtvaardigen manier) nadelig, discriminerend, onverwacht of misleidend mag zijn voor de betrokkenen.

Ook moet het transparant zijn voor betrokkenen hoe en waarom een organisatie hun persoonsgegevens verwerkt. Dat betekent dat de organisatie hier open en duidelijk over moet informeren. 

Recht op informatie

Doelbinding

Organisaties mogen persoonsgegevens alleen verzamelen met een gerechtvaardigd doel. Dat doel moet specifiek zijn en vooraf uitdrukkelijk zijn omschreven. Organisaties mogen dus niet alvast persoonsgegevens gaan verzamelen omdat die misschien ooit van pas gaan komen.

Het doel waarvoor een organisatie persoonsgegevens gaat verwerken, moet verenigbaar zijn met het doel waarvoor deze gegevens zijn verzameld. Oftewel: de organisatie mag de gegevens niet ineens voor een heel ander doel gebruiken.

Dataminimalisatie

Als organisaties persoonsgegevens verwerken, moeten ze daarbij uitgaan van het principe ‘zo min mogelijk’. Dat houdt bijvoorbeeld in dat de verwerking van de gegevens moet passen bij het doel. En dat de organisatie niet meer gegevens mag verwerken dan noodzakelijk is om het doel te bereiken.

Juistheid

Organisaties moeten ervoor zorgen dat de gegevens juist zijn. En de gegevens actualiseren als dat nodig is. Mensen kunnen ook aan organisaties vragen hun persoonsgegevens aan te passen als die niet kloppen. 

Recht op rectificatie

Opslagbeperking

Organisaties moeten persoonsgegevens verwijderen zodra die niet langer nodig zijn voor het oorspronkelijke doel waarvoor ze zijn verzameld. Organisaties mogen gegevens dus maar een bepaalde tijd bewaren. 

Bewaren van persoonsgegevens

Vertrouwelijkheid en integriteit

Organisaties moeten hun gegevensverwerkingen goed beveiligen. Er gelden gelden extra strenge regels voor bijzondere persoonsgegevens

Beveiliging van persoonsgegevens

De betekenis van de AVG

Organisaties hebben door de AVG meer verantwoordelijkheden gekregen. Ook staat er meer op het spel, want zij kunnen een hoge boete krijgen als zij de AVG overtreden. Mensen van wie organisaties gegevens verwerken, hebben meer privacyrechten gekregen.

De betekenis voor organisaties

Voor u als organisatie is onder meer van belang:

Bent u als organisatie in meerdere EU-lidstaten actief ? Dan levert de AVG u het volgende op:

  • U heeft minder administratieve kosten en nalevingskosten.
  • U heeft meer rechtszekerheid.
  • Er is een gelijk speelveld (‘level playing field’), want de regels zijn hetzelfde voor alle bedrijven in de EU.
  • U hoeft nog maar met één toezichthouder zaken te doen (eenloketmechanisme).

De betekenis voor privacyrechten

Door de AVG hebben mensen meer mogelijkheden gekregen om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten zijn namelijk versterkt en uitgebreid.

  • Recht op gegevens verwijderen (‘recht op vergetelheid’). Mensen hadden al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Nu kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die de gegevens hebben ontvangen.
  • Recht op dataportabiliteit ('recht op gegevensoverdraagbaarheid'). Mensen hebben (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst.

De rol van de AP

De AVG en de UAVG regelen de taken en bevoegdheden van de AP als toezichthouder op de wet- en regelgeving voor de verwerking van persoonsgegevens.

Privacybescherming is een continu proces. De AP helpt organisaties op verschillende manieren om aan de AVG te voldoen.

Contact

U kunt de AP bellen met algemene vragen over de AVG. U kunt ons vragen stellen over uw verantwoordelijkheden onder de AVG. Ook kunt u bij ons terecht voor algemene informatie over de privacyregels. Wij leggen u dan uit wat er in de wet staat.

Wij geven als toezichthouder algemene antwoorden op uw vragen. Wilt u weten of u met een specifieke handeling of werkwijze aan de AVG voldoet? Dan kunt u het beste contact opnemen met bijvoorbeeld een adviesbureau, een bedrijfsjurist of een brancheorganisatie.

Voorlichting

De AP geeft op uitnodiging en in overleg presentaties tijdens bijeenkomsten georganiseerd door brancheorganisaties of andere georganiseerde samenwerkingen. Ook zorgt de AP voor voorlichting via de pers.

Handhaving

De AP is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing.

Boete

De AP kan een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. 

Meer over de AP

Lees meer over het werk van de AP.

Informatie en hulpmiddelen

Er zijn verschillende hulpmiddelen beschikbaar voor organisaties.  

Informatie op de website van de AP

De informatie op deze website is op thema ingedeeld. Bij ieder thema vindt u basisinformatie en antwoorden op veelgestelde vragen. Zo komt u stap voor stap aan alle informatie die u nodig heeft.   

Zelf doen

Bij verschillende onderwerpen op deze website vindt u onder het kopje 'Zelf doen' praktische documenten, zoals handreikingen.

AVG voor ondernemers

Bent u ondernemer? Via de pagina AVG voor ondernemers kunt u ons 5-stappenplan raadplegen om uw AVG-basis op orde te brengen. U leest hier ook waarop u moet letten bij het aannemen van werknemers.

AVG-guidelines

De AP publiceert samen met de andere Europese privacytoezichthouders AVG-guidelines die bepaalde onderwerpen uit de AVG verduidelijken.

AVG-regelhulp

De AP heeft de interactieve AVG-regelhulp ontwikkeld. Als u de vragen uit de regelhulp beantwoordt, krijgt u een praktisch advies op maat over waar u nog aan moet werken om aan de AVG te (blijven) voldoen. De AVG-regelhulp ontwikkelde de AP samen met de Rijksdienst voor Ondernemend Nederland (RVO).