AVG algemeen

De belangrijkste privacywet is de Algemene verordening gegevensbescherming (AVG). Die geldt in de hele Europese Unie (EU). Bij dit onderwerp vindt u algemene informatie over de AVG: hoe zit de AVG in elkaar en wat zijn de basispunten van de AVG?

Op deze pagina

  1. Algemene informatie

Wettekst AVG

De officiële wettekst van de AVG is de tekst zoals die is gepubliceerd in het Publicatieblad van de EU op 4 mei 2016. Daarmee is het de juridisch bindende versie van de AVG. Op deze wettekst zijn later 2 rectificaties gepubliceerd: 
 

  1. rectificatie AVG van 23 mei 2018 
  2. rectificatie AVG van 4 maart 2021.

Snelle antwoorden

Is de AVG van toepassing bij pilots, testen en proefprojecten?

Ja. Verwerkt u bij een pilot, test of proefproject persoonsgegevens? Dan is de Algemene verordening gegevensbescherming (AVG) van toepassing. Ook als het eindproduct nog niet is opgeleverd. 

Dit betekent onder meer dat u moet bepalen of u persoonsgegevens mag verwerken. En zo ja, dan moet u aantonen dat u aan de AVG voldoet. U moet bijvoorbeeld nagaan of u een DPIA moet uitvoeren voorafgaand aan een pilot, test of proefproject.

Het doel van een pilot, test of proefproject is om een nieuwe werkwijze te testen. Hiermee kunt u onderzoeken of een werkwijze effectief en efficiënt is om een bepaald probleem op te lossen.

Een pilot, test of proefproject kan ook heel nuttig zijn om privacy by design te testen.

Is de AVG van toepassing op visitekaartjes die ik krijg?

Bewaart u visitekaartjes die u krijgt systematisch (bijvoorbeeld door deze op alfabetische volgorde op te slaan) voor professioneel gebruik? Dan is de Algemene verordening gegevensbescherming (AVG) van toepassing.

U bent dan strikt genomen verwerkingsverantwoordelijke. Dat betekent dat u de verwerking van de persoonsgegevens die op visitekaartjes staan, moet kunnen baseren op een grondslag.

In dit geval kunt u de verwerking baseren op de grondslag ‘toestemming’. U mag namelijk aannemen dat degene die u het visitekaartje geeft, u daarbij ook toestemming geeft om het kaartje te gebruiken waarvoor het bedoeld is (contactgegevens bewaren en gebruiken). U kunt eenvoudig aantonen dat u toestemming heeft gekregen doordat u het kaartje in uw bezit heeft.

Er zijn twee situaties waarin de AVG niet van toepassing is op de visitekaartjes die u krijgt:

  • U krijgt visitekaartjes privé en gebruikt deze alleen voor uzelf, dus niet voor uw werk.
  • U bewaart visitekaartjes niet systematisch. De AVG geldt dan niet, want er is geen sprake van een geheel of gedeeltelijk geautomatiseerde verwerking of opname in een bestand.

Informeren niet nodig

Volgens de wet moet u de degene van wie u gegevens verzamelt informeren over deze verwerking. Maar geeft iemand u een visitekaartje, dan mag u ervan uitgaan dat diegene al weet wat u met de gegevens op het kaartje doet.

Bredere verspreiding

Let op: worden de gegevens op een visitekaartje breder verspreid? Bijvoorbeeld omdat uw werkgever alle ontvangen visitekaartjes centraal inzamelt en registreert, zodat de hele organisatie de gegevens kan gebruiken? Dan mag u niet zomaar aannemen dat u ook daarvoor toestemming heeft van degene die u een visitekaartje geeft.

Het is aan te raden om uw gesprekspartner erop te wijzen dat de gegevens op het kaartje breder verspreid zullen worden. Heeft diegene daar bezwaar tegen? Dan kunt u het kaartje teruggeven of privé houden.

Mag de overheid mij om toestemming vragen om mijn gegevens te delen?

Nee, meestal mag de overheid dat niet. De overheid is bijvoorbeeld uw gemeente of het UWV. Als een organisatie u om toestemming vraagt, moet u ook ‘nee’ kunnen zeggen. En dat kan lastig zijn bij de overheid. Want vaak heeft u iets nodig van de overheid. Bijvoorbeeld een voorziening, zoals een traplift. Of een uitkering. U bent dus afhankelijk van de overheid.

Meestal is het ook niet nodig dat de overheid u om toestemming vraagt om uw gegevens te gebruiken of delen. Omdat vaak al in een wet staat dat de overheid dat mag.

Soms staat er niks in een wet. Maar wil een organisatie van de overheid toch uw gegevens delen. Omdat blijkt dat u hulp nodig heeft. De organisatie wil dan uw gegevens doorgeven aan andere organisaties, waar u die hulp kunt krijgen. Organisaties die u zelf niet goed weet te vinden.

Dan kan het zijn toegestaan. De organisatie moet u dan wel goed uitleggen:

  • welke gegevens van u de organisatie deelt;
  • waarom dat is (voor welk doel);
  • hoe dat in zijn werk gaat.

U moet ook even de tijd krijgen om te beslissen of u hiervoor toestemming geeft. En u mag natuurlijk altijd weigeren.

Wilt u meer weten? Lees dan Toestemming bij de overheid.

Is het handig om voor de zekerheid altijd toestemming te vragen voor verwerking van persoonsgegevens?

Nee. Het is een misverstand dat u voor alle verwerkingen van persoonsgegevens toestemming nodig heeft. De Algemene verordening gegevensbescherming (AVG) stelt strengere eisen aan toestemming dan de vorige privacywet, maar dat betekent niet dat u nu overal toestemming voor nodig heeft.

Misschien denkt u dat het geen kwaad kan om voor de zekerheid toestemming te vragen. Maar behalve dat u uw klanten dan onnodig lastigvalt, is het ook voor uzelf niet handig. Want als iemand toestemming weigert of de toestemming later intrekt, mag u de gegevens van deze persoon niet meer verwerken.

Wilt u een stabiele basis voor uw gegevensverwerking, dan kunt u uw verwerking dus beter niet op toestemming baseren maar op een van de andere grondslagen.

Kan een overheidsorganisatie zich baseren op de grondslag gerechtvaardigd belang?

Nee. Als overheidsorganisatie kunt u zich bij het uitvoeren van uw wettelijke taken nooit baseren op de grondslag van gerechtvaardigd belang. U moet zich dus op een van de andere grondslagen baseren. Bijvoorbeeld de grondslag 'noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag'.

U mag als overheidsorganisatie in de regel alleen gegevens verwerken om uw taken uit te voeren als de wet u daarvoor de bevoegdheid heeft gegeven. De wetgever moet namelijk zorgen dat iedere overheidsorganisatie een rechtsgrond voor verwerkingen heeft.

Moet ik als logistieke dienstverlener verwerkersovereenkomsten afsluiten met mijn opdrachtgevers?

Nee. U bent namelijk geen verwerker, ook al werkt u als logistieke dienstverlener voor een opdrachtgever.

U bent zelf verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die noodzakelijk zijn voor uw dienstverlening. Zoals namen, adressen, postcodes, woonplaatsen en eventueel telefoonnummers en e-mailadressen voor track & trace-bezorging.

Kan ik als gemeente, waterschap of provincie de verwerkingen van meerdere bestuursorganen opnemen in 1 verwerkingsregister?

Ja, dat kan. Het staat bestuursorganen vrij om gezamenlijk 1 verwerkingsregister op te stellen.

Wel moet uit het verwerkingsregister duidelijk blijken welk bestuursorgaan de verwerkingsverantwoordelijke is (dat kunnen er ook meerdere zijn) voor welke gegevensverwerking.

Gerelateerde thema's en onderwerpen

Basis AVG

Privacyrechten AVG

Mensen hebben een aantal rechten als organisaties hun persoonsgegevens verwerken. Dat staat in de AVG. We noemen dit privacyrechten.
Ga naar onderwerp
Basis AVG

Praktisch AVG

De AVG biedt verschillende praktische instrumenten die organisaties helpen om aan de wet te voldoen, waarvan sommige verplicht zijn.
Ga naar onderwerp
Basis AVG

Privacy en persoonsgegevens

Wat is het belang van privacy? Wat zijn persoonsgegevens eigenlijk? Wat is ‘verwerken’ precies? En welke wetgeving is er om privacy en persoonsgegevens te beschermen?
Ga naar onderwerp
Beveiliging

Beveiliging van persoonsgegevens

Een goede beveiliging van persoonsgegevens is niet voor niets een van de basisbeginselen van de privacywet AVG.
Ga naar onderwerp