Vergroot contrast

Algemene verordening gegevensbescherming

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Wat verandert er?

De AVG zorgt onder meer voor:

Lees meer over de achtergrond van de nieuwe privacyregels op de website van de Europese Commissie.

Overgangsperiode tussen Wbp en AVG

Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.

Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Let op: tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

Aparte richtlijn politie en justitie

Naast de AVG is er een aparte Richtlijn gegevensbescherming politie en justitie. Deze richtlijn is alleen bedoeld voor politie en justitie.

Nieuws

Alle nieuwsberichten over het onderwerp 'Algemene verordening gegevensbescherming'

Alle antwoorden op mijn vragenAlgemene vragen over de AVG

  • Wat zijn de belangrijkste veranderingen voor organisaties?

    Als de algemene verordening gegevensbescherming (AVG) van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability).

      Verantwoordingsplicht

      Organisaties hebben daarom een verantwoordingsplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

        Hulp bij naleving wet

        Maar de AVG biedt organisaties tegelijkertijd meer instrumenten die hen helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens.

          Veranderingen per 25 mei 2018

          Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:

        • Wat merken mensen van wie persoonsgegevens worden verwerkt van de AVG?

          Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid.

          Toestemming

          In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken.

          Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

          Aanvullende rechten

          Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.

          Zij hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

          Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

          Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

        • Wat levert de AVG mij als organisatie op?

          Als de algemene verordening gegevensbescherming (AVG) van toepassing is, geldt er nog maar één privacywet in de hele Europese Unie (EU) in plaats van 28 verschillende nationale wetten. Dit betekent dat u zich nog maar aan één Europese wet hoeft te houden als u persoonsgegevens verwerkt.

          Bent u in meerdere EU-lidstaten actief ? Dan levert de AVG u het volgende op:

          • u heeft minder administratieve kosten en nalevingskosten;
          • u heeft meer rechtszekerheid;
          • er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU;
          • u hoeft nog maar met één toezichthouder zaken te doen (onestopshop).
        • Waarom kan de AP sommige vragen over de AVG nog niet beantwoorden?

          De Autoriteit Persoonsgegevens (AP) vindt het belangrijk om u goed voor te lichten over de Algemene verordening gegevensbescherming (AVG) die per 25 mei 2018 geldt. Maar de AP kan op dit moment nog niet al uw vragen over de nieuwe Europese privacyregels beantwoorden. Dit heeft onder andere te maken met verduidelijking van de regels binnen de EU, de nationale uitvoeringswet en nieuwe jurisprudentie.

          Afstemming binnen de EU

          Het is belangrijk dat alle Europese privacytoezichthouders de AVG op dezelfde manier uitleggen. Zodat voor alle organisaties en mensen in de EU dezelfde rechten en plichten gelden.

          De AP is daarom bezig om samen met andere Europese privacytoezichthouders bepaalde regels en begrippen uit de AVG te verduidelijken. De uitkomsten leggen zij vast in zogenoemde guidelines. Bijvoorbeeld in de guidelines over de functionaris voor de gegevensbescherming (FG) en over het recht op dataportabiliteit.

          Uitvoeringswet

          Hoewel de AVG voor alle EU-landen geldt, biedt de AVG op een aantal punten ruimte voor landen om zelf de regels nader te bepalen. Dat geldt bijvoorbeeld voor een aantal uitzonderingen op het ‘verwerkingsverbod van bijzondere persoonsgegevens’ en ‘de beperkingen van de rechten van betrokkene’.

          Nederland legt de invulling van deze uitzonderingen vooral vast in de zogeheten Uitvoeringswet AVG. Deze wet is nog niet vastgesteld. Dat is aan de regering en het parlement. Wel heeft de AP de staatssecretaris van Veiligheid en Justitie op 6 april 2017 geadviseerd over het wetsvoorstel.

          Zodra de Uitvoeringswet is aangenomen, kan de AP u op meer vragen een antwoord geven.

          Jurisprudentie

          Een wet kan nooit alles regelen. Er zijn altijd uitzonderingen en twijfelgevallen. In praktijk zal moeten blijken hoe rechters in de EU oordelen over individuele privacykwesties.

          Die zogeheten jurisprudentie zorgt voor meer duidelijkheid over de toepassing van de AVG in de praktijk. De AP gaat er vooralsnog vanuit dat de huidige jurisprudentie deels toepasbaar blijft daar waar de regels niet veranderen.

          Lees meer over met welke vragen u bij ons terecht kunt op de pagina 'Vragen aan de AP'.

        • Hoe hoog zijn de boetes onder de AVG?

          Overtreedt een organisatie straks de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.

          Boete van maximaal 10 miljoen euro

          Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben onder de AVG bepaalde verplichtingen, zoals een documentatieplicht.

          Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

          Boete van maximaal 20 miljoen euro

          Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)?

          Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

        • Per wanneer moet ik aan de nieuwe privacyregels voldoen?

          De Algemene verordening gegevensbescherming (AVG) is per 25 mei 2018 van toepassing. Dat betekent dat u vanaf die dag aan de nieuwe privacyregels moet voldoen. Daarom zijn veel organisaties zich nu aan het voorbereiden.

          Overgangsperiode

          De AVG is op 25 mei 2016 in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 daadwerkelijk van toepassing. Er is dus een overgangsperiode, bedoeld om organisaties en toezichthouders de kans te geven zich voor te bereiden op de nieuwe wet.

          De Autoriteit Persoonsgegevens helpt u op weg

          De Autoriteit Persoonsgegevens heeft 10 stappen opgesteld die u op weg helpen met de voorbereiding op de nieuwe Europese regels.

          Daarnaast vindt u in het dossier Voorbereiding op de AVG antwoorden op de meestgestelde vragen.

        • Geldt de AVG ook voor politie en justitie?

          De Algemene verordening gegevensbescherming (AVG) geldt niet voor politie en justitie als zij hun taken voor de opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen uitvoeren. Daarvoor geldt ‘de Richtlijn gegevensbescherming politie en justitie’. Hieronder vallen ook de taken ter bescherming van de openbare veiligheid.

          Voor andere taken van politie en justitie is de AVG wel van toepassing. Bijvoorbeeld bij de verwerking van personeelsgegevens.

          Speciale regels

          Voor opsporingsdiensten zoals de politie gelden er speciale regels omdat zij de taak hebben om de openbare veiligheid te bewaken en strafbare feiten op te sporen. Zij hebben daarom speciale bevoegdheden nodig om die taken uit te kunnen voeren.

          Tegelijkertijd verwerken opsporingsdiensten hele gevoelige persoonsgegevens. Het is dan extra belangrijk dat zij de grondrechten van burgers, zoals het recht op privacy, goed bewaken. Ook moeten zij alle gegevens die ze verwerken heel goed beveiligen.

          Vastleggen in nationale wetgeving

          Alle EU-landen moeten de Richtlijn gegevensbescherming politie en justitie implementeren in hun nationale wetgeving. Anders dan de AVG is dit geen kant en klare regeling die direct van toepassing is. De EU-landen moeten zelf een vertaalslag maken.

          Het is aan de regering en het parlement om de Europese Richtlijn gegevensbescherming politie en justitie om te zetten in Nederlandse regelgeving. De Autoriteit Persoonsgegevens (AP) geeft hierover alleen advies aan de minister.

          Zodra er meer bekend is over de implementatie van de richtlijn in Nederland geeft de AP u meer informatie op deze website.

           

        • Moet ik me tijdens de voorbereiding op de AVG nog aan de Wbp houden?

          Ja. Tot 25 mei 2018 moet u zich nog aan de Wet bescherming persoonsgegevens (Wbp) houden. De Algemene verordening gegevensbescherming (AVG) is weliswaar al in werking getreden, maar geldt nu nog niet. In de overgangsperiode tussen Wbp en AVG kunt u voorbereidingen treffen om per 25 mei 2018 aan de AVG te voldoen.

          Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.

          Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

        • Waarom is er nieuwe Europese privacywetgeving?

          In de EU heeft nu nog elke lidstaat een eigen privacywet. Deze nationale wetten zijn wel allemaal gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is de nationale uitvoering van deze richtlijn de Wet bescherming persoonsgegevens.

          De Europese privacyrichtlijn werd vastgesteld toen internet nog in de kinderschoenen stond. Daarom is de Europese privacywetgeving de afgelopen jaren herzien.

        • Geldt de nieuwe Europese privacywetgeving ook voor kleine mkb’ers en zzp’ers?

          Ja, de nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie.

        Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

        Alle antwoorden op mijn vragenSpecifieke vragen over de AVG

        • Mag ik onder de AVG persoonsgegevens van kinderen verwerken?

          Ja, u mag nog steeds gegevens van kinderen verwerken zodra de Algemene verordening gegevensbescherming (AVG) geldt. In sommige gevallen heeft u wel toestemming van de ouders nodig.

          Toestemming bij online verwerking

          Verwerkt u straks gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van de ouders. Onder de AVG moet u dan dus controleren of de ouders daadwerkelijk toestemming hebben gegeven.

          Let op: richt u zich op kinderen in een ander EU-land? De Algemene verordening gegevensbescherming (AVG) biedt EU-landen de mogelijkheid om de grens voor toestemming bij online verwerkingen bij 13 jaar te leggen. Van die mogelijkheid wordt in Nederland waarschijnlijk geen gebruik gemaakt.

        • Is het BSN een bijzonder persoonsgegeven onder de AVG?

          Nee. Volgens de Algemene verordening gegevensbescherming (AVG) is het burgerservicenummer (BSN) geen bijzonder persoonsgegeven. Maar er komen waarschijnlijk wel speciale regels voor.

          De Europese lidstaten mogen onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN. Welke voorwaarden Nederland stelt, staat nu nog niet vast. Dat komt omdat de zogeheten Uitvoeringswet AVG nog niet definitief is.

          Wel of geen PIA?

          Zodra de AVG geldt, is een data protection impact assessment (DPIA) verplicht bij grootschalige verwerking van bijzondere persoonsgegevens. Maar let op: dat het BSN onder de AVG geen bijzonder persoonsgegeven is, wil niet automatisch zeggen dat u geen DPIA hoeft te doen als u op grote schaal het BSN verwerkt.

          De Autoriteit Persoonsgegevens (AP) werkt aan een lijst met verwerkingen waarvoor u een DPIA moet uitvoeren. Mogelijk komt het BSN ook op die lijst.

        • Veranderen de bewaartermijnen onder de AVG?

          Nee. Zodra de Algemene verordening gegevensbescherming (AVG) van toepassing is, gelden dezelfde regels voor het bewaren van persoonsgegevens als nu. Het uitgangspunt blijft dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking.

          Bewaartermijnen vastleggen en mensen informeren

          Hoe lang u gegevens mag bewaren, verschilt per geval. Als verantwoordelijke moet u onder de AVG wel het volgende regelen:

          • U bepaalt van tevoren hoe lang u de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt u in elk geval de criteria voor het vaststellen van de bewaartermijn. U legt de bewaartermijn of de criteria vast in een bewaarbeleid.
          • U neemt de bewaartermijnen ook op in uw register van verwerkingen.
          • U informeert de betrokkenen (de mensen van wie u gegevens verwerkt) over de bewaartermijnen. Bijvoorbeeld via een privacyverklaring op uw website.

          Langere bewaartermijn

          Verwerkt u persoonsgegevens voor het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden? Dan mag u persoonsgegevens langer bewaren dan noodzakelijk is voor het oorspronkelijke doel van uw verwerking.

          Let op: dat mag alleen als u technische en organisatorische maatregelen neemt om de privacy van de betrokkenen zo goed mogelijk te beschermen. Een voorbeeld van zo’n maatregel is dataminimalisatie. Dat betekent dat u zo min mogelijk persoonsgegevens verzamelt en verwerkt.

        • Waar moet de verwerkersovereenkomst onder de AVG aan voldoen?

          Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG). 

          U moet de volgende onderwerpen vastleggen:

          Algemene beschrijving

          Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).

          Instructies verwerking

          De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

          Geheimhoudingsplicht

          Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

          Beveiliging

          De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

          Subverwerkers

          De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.

          In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

          Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

          Privacyrechten

          De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

          Andere verplichtingen

          De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

          Gegevens verwijderen

          Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

          Audits

          De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).

        • Heeft de AP een sjabloon voor de registratie van verwerkingen en voor een verwerkersovereenkomst?

          Nee. De Autoriteit Persoonsgegevens (AP) heeft geen sjabloon voorhanden voor de registratie van verwerkingen. Ook is er vanuit de AP geen modelcontract beschikbaar voor een verwerkersovereenkomst.

          In de Algemene verordening gegevensbescherming (AVG) staat weliswaar dat de privacytoezichthouders standaardcontractbepalingen kunnen opstellen voor verwerkersovereenkomsten, maar dit is niet verplicht. De AP is dit vooralsnog niet van plan.

          Documentatieplicht

          Zodra de AVG geldt, heeft u als organisatie een documentatieplicht. Dit houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.

          Bent u op zoek naar een hulpmiddel om uw verwerkingen te registreren? Er zijn diverse tools op de markt die u hiervoor kunt gebruiken.

          Verwerkersovereenkomst

          Maakt u, zodra de AVG geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG).

          In Waar moet de verwerkersovereenkomst onder de AVG aan voldoen? leest u welke onderwerpen u in de verwerkersovereenkomst moet vastleggen.

        • Wat ziet de AVG als een grootschalige verwerking van persoonsgegevens?

          Als organisatie bent u volgens de Algemene verordening gegevensbescherming (AVG) onder meer verplicht een functionaris voor de gegevensbescherming (FG) te benoemen en een data protection impact assessment (DPIA) uit te voeren als u op grote schaal:

          • individuen volgt; of
          • bijzondere persoonsgegevens van individuen verwerkt.

          Voor beide aspecten geldt dat dit een kernactiviteit van de organisatie moet zijn. In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt. Wel zijn er criteria en voorbeelden die u op weg helpen.

          Criteria grootschalige gegevensverwerking

          Wilt u bepalen of uw organisatie volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt? Kijk dan naar deze criteria:

          • het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
          • de hoeveelheid gegevens die u verwerkt;
          • de duur van de gegevensverwerking;
          • de geografische reikwijdte van de verwerking.

          Voorbeelden van grootschalige verwerkingen

          Hieronder vindt u een aantal voorbeelden van verwerkingen die de Europese toezichthouders als grootschalig zien (bron: Guidelines on Data Protection Officers).

          • Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
          • Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
          • Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.
          • Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
          • Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.
          • Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten. Zoals inhoud, verkeer en locatie.

          Voorbeeld van een niet-grootschalige verwerking

          De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig.

          Standaard

          De Europese privacytoezichthouders verwachten dat er op den duur een praktische standaard komt waarmee u eenvoudiger bepaalt of u volgens de AVG op grote schaal (bijzondere) persoonsgegevens verwerkt en dus een FG moet aanstellen en een DPIA moet uitvoeren. Zodra hierover meer bekend is, vindt u die informatie op deze website.

        • Mag ik onder de AVG aan direct marketing doen zonder toestemming van de ontvanger?

          Ja, net als nu mag u straks onder de Algemene verordening gegevensbescherming (AVG) een persoon of organisatie bellen of post sturen met een aanbod zonder dat u daarvoor toestemming heeft. Maar als u een aanbod verstuurt via een digitaal kanaal, zoals e-mail, fax of sms, heeft u wel voorafgaande toestemming nodig.

          Onder de nieuwe regels houden mensen het recht om bezwaar te maken tegen klassieke direct marketing. En het recht om hun toestemming in te trekken als het gaat om digitale kanalen. U moet mensen in beide gevallen wel duidelijker informeren. Dit geldt zowel voor commerciële, ideële als charitatieve direct marketing.

          Duidelijke informatie

          Onder de AVG moet u ontvangers van uw aanbod bij het eerste contact goed informeren over het doel waarvoor u gegevens verwerkt en met welke organisaties u de gegevens eventueel deelt.

          Wilt u de persoonsgegevens gebruiken of verkopen voor marketingdoeleinden? Dan moet u de ontvanger daar heel duidelijk over informeren. U mag dat niet verstoppen in de kleine lettertjes.

          U moet de ontvanger ook duidelijk informeren over het recht van bezwaar. Dat betekent dat u klanten bij het eerste contact de mogelijkheid moet bieden om zich af te melden voor direct marketing. Het afmelden moet gratis zijn en net zo makkelijk als de manier waarop iemand zich kan aanmelden.

          Recht van bezwaar

          Het recht van bezwaar houdt in dat iemand aan kan geven dat u zijn of haar gegevens niet meer mag verwerken voor direct marketing. Daarnaast zijn er algemene afmeldmogelijkheden. Zoals het Bel-Me-Niet register, het Postfilter of een NEE-sticker op de brievenbus.

          Als iemand zich heeft afgemeld, moet u zich daaraan houden. Biedt u telefonisch iets aan? Dan moet u tijdens het telefoongesprek wijzen op de afmeldmogelijkheden. U moet mensen ook de mogelijkheid bieden zich daarvoor in te schrijven.

          Verschillende regels voor reclamepost en digitale reclame

          Er gelden verschillende regels voor reclamepost en digitale reclame om mensen en organisaties te beschermen tegen te veel reclame. Wanneer u als bedrijf bijvoorbeeld een folder verspreidt, dan kost u dat geld. Een e-mail is gratis, waardoor u onbeperkt e-mails kunt sturen. Als alle organisaties dat zouden doen, dan maken zij deze communicatiekanalen onbruikbaar voor mensen en organisaties.

          Als het gaat om digitale reclame, geldt er wel een uitzondering voor bestaande klanten. Die mag u wel blijven benaderen. Zolang u maar duidelijk in elk contact aangeeft hoe iemand zich weer kan afmelden.

        • Moet ik mijn gegevensverwerkingen straks nog melden bij de AP?

          Nee. Zodra de algemene verordening gegevensbescherming (AVG) van toepassing is (25 mei 2018), hoeft u uw gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP).

          U heeft vanaf deze datum wél een documentatieplicht. Dit houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen (accountability).

          Let op: uw gegevensverwerkingen melden bij de AP is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet. Als de AVG van toepassing is, moet u dus nog steeds datalekken melden bij de AP.

        Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

        Alle antwoorden op mijn vragenVragen over beveiliging onder de AVG

        • Moet ik onder de AVG nog steeds registreren (loggen) wie toegang heeft gehad tot gegevens?

          Ja. Zodra de Algemene verordening gegevensbescherming (AVG) geldt, bent u nog steeds verplicht om te loggen wie toegang heeft gehad tot de persoonsgegevens die uw organisatie verwerkt.

        • Moet ik onder de AVG betrokkenen nog steeds laten weten wie toegang heeft gehad tot hun gegevens?

          Ja. Een betrokkene (degene van wie u als organisatie persoonsgegevens verwerkt) heeft op dit moment het recht om te vragen wie binnen uw organisatie toegang heeft gehad tot zijn gegevens. Zodra de Algemene verordening gegevensbescherming (AVG) geldt, hebben betrokkenen dit recht nog steeds.

          Vraagt een betrokkene, zoals een patiënt van uw zorginstelling of een inwoner van uw gemeente, wie toegang heeft gehad tot zijn gegevens? Dan verstrekt u een overzicht van (categorieën van) medewerkers die toegang hebben gehad. U stelt dit overzicht samen op basis van uw logbestanden.

        • Blijft de NEN 7510 gelden voor zorgaanbieders onder de AVG?

          Ja. De NEN 7510 blijft ook onder de Algemene verordening gegevensbescherming (AVG) een belangrijke norm voor informatiebeveiliging in de zorg.

          Huidige regels

          Hoewel de NEN 7510 niet letterlijk in de AVG genoemd staat, blijven beveiligingsstandaarden belangrijk. Net zoals dat onder de huidige regels het geval is.

          Op dit moment geldt bijvoorbeeld dat u aan de NEN 7510 moet voldoen als u in de zorg het burgerservicenummer (BSN) verwerkt.

          Daarnaast staat in de huidige beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens (AP) dat verantwoordelijken de beveiligingsstandaarden moeten volgen. Als voorbeeld van zo’n standaard noemt de AP de NEN 7510.

        • Is onder de AVG een NEN 7510-certificaat verplicht voor zorgaanbieders?

          Nee. Certificering volgens de NEN 7510 is op grond van de Algemene verordening gegevensbescherming (AVG) niet verplicht. Ongeacht de rechtsvorm en de omvang van uw organisatie.

          Let op: de NEN 7510 blijft onder de AVG wél een belangrijke norm voor informatiebeveiliging in de zorg.

          Verantwoordingsplicht

          Hoewel een NEN 7510-certificaat dus niet verplicht is onder de AVG, heeft u als verantwoordelijke straks wel een verantwoordingsplicht. Dat betekent dat u moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.

        Alle antwoorden op mijn vragenVragen over het recht op vergetelheid

        • Wat houdt het recht op vergetelheid uit de AVG in?

          In Artikel 17 van de Algemene verordening gegevensbescherming (AVG) is het zogeheten recht op vergetelheid opgenomen. Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt.

          Voorwaarden recht op vergetelheid

          Het recht op vergetelheid geldt niet altijd. Alleen in de volgende situaties is het recht op vergetelheid van toepassing:

          • Niet meer nodig
            De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.
          • Intrekken toestemming
            De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
          • Bezwaar
            De betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.
          • Onrechtmatige verwerking
            De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
          • Wettelijk bepaalde bewaartermijn
            De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
          • Kinderen
            De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).

          Verschil met nu

          Het recht op vergetelheid lijkt op het huidige recht op correctie en verwijdering (artikel 36 van de Wet bescherming persoonsgegevens). Maar het recht op vergetelheid is breder. Het recht is niet meer – zoals nu – beperkt tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens.

          Meer informatie

        • Wanneer geldt het recht op vergetelheid uit de AVG niet?

          De Algemene verordening gegevensbescherming (AVG) noemt een aantal omstandigheden waarin het recht op vergetelheid niet geldt:

          • De verwerking is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat privacy en vrijheid van meningsuiting gelijkwaardige grondrechten zijn.
          • De organisatie verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen.
          • De organisatie verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
          • De organisatie verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
          • De organisatie moet de gegevens in het algemeen belang archiveren.
          • De gegevens zijn noodzakelijk voor een rechtsvordering.

          Algemene uitzonderingen privacyrechten

          Daarnaast is in artikel 23 van de AVG een aantal algemene uitzonderingen opgenomen op de rechten van betrokkenen. Dit artikel lijkt op het huidige artikel 43 van de Wet bescherming persoonsgegevens.

          Het artikel biedt organisaties de mogelijkheid om in bijzondere omstandigheden geen gehoor te geven aan verzoeken van betrokkenen. Zij moeten dan voor dat verzoek een belangenafweging maken waaruit blijkt dat hun belangen (of de rechten en vrijheden van anderen) zwaarder wegen dan het privacyrecht van de betrokkene.

          Het is bijvoorbeeld niet de bedoeling dat betrokkenen met een beroep op hun rechten sporen van crimineel gedrag wissen.

        • Wat moet ik als organisatie doen als ik een verzoek krijg om gegevens te wissen?

          Zodra de Algemene verordening gegevensbescherming (AVG) geldt, hebben betrokkenen (degenen van wie u gegevens verwerkt) het recht op vergetelheid. Vraagt iemand u op grond van dit recht om zijn gegevens te wissen? Dan moet u dat onmiddellijk doen, uiterlijk binnen een maand. Alleen als het om een heel complex verzoek gaat, heeft u twee maanden extra de tijd. U moet dan wel binnen een maand aan de betrokkene laten weten dat het langer gaat duren.

          Manier van reageren

          Als een betrokkene het verzoek elektronisch indient, moet u ook elektronisch reageren. Tenzij de betrokkene u vraagt om op een andere manier te reageren.

          Kosten

          U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is (veelvuldig herhaalde verzoeken van één persoon)? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

          Derde partijen informeren

          Heeft u de betreffende persoonsgegevens aan derde partijen verstrekt? Dan moet u die ontvangers informeren dat u deze persoonsgegevens heeft gewist. En uitleggen dat ook de ontvangers iedere kopie van of koppeling naar die persoonsgegevens moeten wissen.

          Publiceert u bijvoorbeeld persoonsgegevens via een website? Dan moet u zoekmachines informeren. U kunt daarbij de webpagina opnieuw laten indexeren, zodat de gewiste persoonsgegevens niet meer verschijnen in de zoekresultaten.

          Als een betrokkene erom vraagt, moet u ook vertellen welke ontvangers u op die manier heeft geïnformeerd (artikel 19 van de AVG).

        Hulpmiddelen voor professionals