De AVG in het kort

Door de Algemene verordening gegevensbescherming (AVG) hebben organisaties die persoonsgegevens verzamelen en gebruiken meer verantwoordelijkheden gekregen. En de mensen van wie zij gegevens gebruiken hebben meer rechten gekregen. Houden organisaties zich niet aan de regels? Dan kunnen zij een boete krijgen. 

Op deze pagina

Voor wie de AVG geldt

De AVG is sinds 25 mei 2018 van toepassing in de hele Europese Unie (EU). De AVG geldt voor iedereen die persoonsgegevens verwerkt

  • De AVG geldt niet alleen voor grote bedrijven, maar ook voor kleine ondernemers. Zie ook: AVG voor ondernemers.
  • De AVG geldt ook voor de overheid. 
  • De AVG geldt niet alleen voor organisaties, maar ook voor individuele personen die persoonsgegevens verwerken. Bijvoorbeeld mensen die een camera ophangen bij hun huis.

Officiële wettekst van de AVG

Aparte richtlijn voor politie en justitie

Voor politie en justitie geldt niet de AVG, maar een apart wettelijk kader. Dat is de Europese Richtlijn voor gegevensbescherming bij rechtshandhaving (RGR). In Nederland is de RGR per 1 januari 2019 geïmplementeerd in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).

De RGR geeft regels voor de verwerking van persoonsgegevens door bevoegde autoriteiten om strafbare feiten te voorkomen, te onderzoeken, op te sporen en te vervolgen en om straffen uit te voeren. Voor andere taken van politie en justitie is de AVG wel van toepassing. Bijvoorbeeld bij de verwerking van personeelsgegevens.

Uitvoeringswet AVG (UAVG)

Elke EU-lidstaat moet op een aantal punten onder de AVG zelf nog wetgeving maken. In Nederland is dit voor een belangrijk deel gebeurd in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

Basisprincipes (beginselen) AVG

De AVG kent 6 basisprincipes, in de AVG 'beginselen' genoemd. Die staan in  artikel 5 van de AVG. Iedereen die persoonsgegevens verwerkt, moet zich hieraan houden. En dit kunnen aantonen. Dat is het zevende, overkoepelende beginsel van de AVG: de verantwoordingsplicht.

De 6 AVG-beginselen zijn:

  1. rechtmatigheid, behoorlijkheid en transparantie;
  2. doelbinding;
  3. dataminimalisatie;
  4. juistheid;
  5. opslagbeperking;
  6. vertrouwelijkheid en integriteit.

Rechtmatigheid, behoorlijkheid en transparantie

Om rechtmatig te zijn, moet een verwerking in elk geval zijn gebaseerd op een grondslag uit de AVG. Maar ook mag de verwerking niet in strijd zijn met andere wetgeving, zoals een wettelijke geheimhoudingsplicht.

Grondslagen AVG uitgelegd

De verwerking moet ook 'behoorlijk' zijn. Dat betekent die niet (op een niet te rechtvaardigen manier) nadelig, discriminerend, onverwacht of misleidend mag zijn voor de betrokkenen.

Verder moet het transparant zijn voor betrokkenen hoe en waarom een organisatie hun persoonsgegevens verwerkt. Dat betekent dat de organisatie hier open en duidelijk over moet communiceren. 

Recht op informatie

Doelbinding

Organisaties mogen persoonsgegevens alleen verzamelen met een gerechtvaardigd doel. Dat doel moet specifiek zijn en vooraf uitdrukkelijk zijn omschreven. Organisaties mogen dus niet alvast persoonsgegevens gaan verzamelen omdat die misschien ooit van pas gaan komen.

Het doel waarvoor een organisatie persoonsgegevens gaat verwerken, moet verenigbaar zijn met het doel waarvoor deze gegevens zijn verzameld. Oftewel: de organisatie mag de gegevens niet ineens voor een ander doel gaan verwerken. 

Deze eis geldt ook voor het verstrekken van persoonsgegevens aan een andere organisatie (verstrekken is een vorm van verwerken).

Dataminimalisatie

Als organisaties persoonsgegevens verwerken, moeten ze daarbij uitgaan van het principe ‘zo min mogelijk’. Dat houdt bijvoorbeeld in dat de verwerking van de gegevens moet passen bij het doel. En dat de organisatie niet meer gegevens mag verwerken dan noodzakelijk is om dat doel te bereiken.

Juistheid

Organisaties moeten ervoor zorgen dat de gegevens juist zijn. En de gegevens actualiseren als dat nodig is. Mensen kunnen ook aan organisaties vragen hun persoonsgegevens aan te passen als die niet kloppen. 

Recht op rectificatie

Opslagbeperking

Organisaties moeten persoonsgegevens verwijderen zodra die niet langer nodig zijn voor het oorspronkelijke doel waarvoor ze zijn verzameld. Organisaties mogen gegevens dus maar een bepaalde tijd bewaren. 

Bewaren van persoonsgegevens

Vertrouwelijkheid en integriteit

Organisaties moeten hun gegevensverwerkingen goed beveiligen. Er gelden extra strenge regels voor bijzondere persoonsgegevens

Beveiliging van persoonsgegevens

De betekenis van de AVG

Organisaties hebben door de AVG meer verantwoordelijkheden gekregen. Ook staat er meer op het spel, want zij kunnen een hoge boete krijgen als zij de AVG overtreden. Mensen van wie organisaties gegevens verwerken, hebben meer privacyrechten gekregen.

De betekenis voor organisaties

Voor u als organisatie is onder meer van belang:

Bent u als organisatie in meerdere EU-lidstaten actief ? Dan levert de AVG u het volgende op:

  • U heeft minder administratieve kosten en nalevingskosten.
  • U heeft meer rechtszekerheid.
  • Er is een gelijk speelveld (‘level playing field’), want de regels zijn in principe hetzelfde voor alle bedrijven in de EU.
  • U heeft nog maar met één toezichthouder te maken (eenloketmechanisme).

De betekenis voor privacyrechten

Door de AVG hebben mensen meer mogelijkheden gekregen om voor zichzelf op te komen bij de verwerking van hun persoonsgegevens. Vóór de AVG hadden zij ook al privacyrechten (ook wel 'rechten van betrokkenen' genoemd), maar in de AVG is het 'recht op gegevens verwijderen' uitgebreid en is er een nieuw recht bijgekomen: het 'recht op dataportabiliteit'. 

  • Recht op gegevens verwijderen ('recht op vergetelheid'). Mensen hadden al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Nu kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die de gegevens hebben ontvangen.
  • Recht op dataportabiliteit ('recht op gegevensoverdraagbaarheid'). Dit is een nieuw recht. Het houdt in dat mensen (onder bepaalde voorwaarden) het recht hebben om hun persoonsgegevens in een standaardformaat te ontvangen van een organisatie. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst.

De rol van de AP

De AVG, de UAVG en de RGR regelen de taken en bevoegdheden van de AP als toezichthouder op de wet- en regelgeving voor de verwerking van persoonsgegevens.

Privacybescherming is een continu proces. De AP helpt organisaties op verschillende manieren om aan de AVG te voldoen.

Contact

U kunt de AP bellen met algemene vragen over de AVG. U kunt ons vragen stellen over uw verantwoordelijkheden onder de AVG. Ook kunt u bij ons terecht voor algemene informatie over de privacyregels. Wij leggen u dan uit wat er in de wet staat.

Wij geven als toezichthouder algemene antwoorden op uw vragen. Wilt u weten of u met een specifieke handeling of werkwijze aan de AVG voldoet? Dan kunt u het beste contact opnemen met bijvoorbeeld een adviesbureau, een bedrijfsjurist of een brancheorganisatie.

Voorlichting

De AP geeft op uitnodiging en in overleg presentaties tijdens bijeenkomsten georganiseerd door brancheorganisaties of andere georganiseerde samenwerkingen. Ook zorgt de AP voor voorlichting via de pers.

Handhaving

De AP is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing.

Boete

De AP kan een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. 

Meer over de AP

Lees meer over het werk van de AP.

Informatie en hulpmiddelen

Er zijn verschillende hulpmiddelen beschikbaar voor organisaties.  

Informatie op de website van de AP

De informatie op deze website is op thema ingedeeld. Bij ieder thema vindt u basisinformatie en antwoorden op veelgestelde vragen. Zo komt u stap voor stap aan alle informatie die u nodig heeft.   

Zelf doen

Bij verschillende onderwerpen op deze website vindt u onder het kopje 'Zelf doen' praktische documenten, zoals handreikingen.

AVG voor ondernemers

Bent u ondernemer? Via de pagina AVG voor ondernemers kunt u ons 5-stappenplan raadplegen om uw AVG-basis op orde te brengen. U leest hier ook waarop u moet letten bij het aannemen van werknemers.

AVG-guidelines

De AP publiceert samen met de andere Europese privacytoezichthouders AVG-guidelines die bepaalde onderwerpen uit de AVG verduidelijken.

AVG-regelhulp

Als u de vragen uit de AVG-regelhulp beantwoordt, krijgt u een praktisch advies op maat over waar u nog aan moet werken om aan de AVG te (blijven) voldoen. De AVG-regelhulp ontwikkelde de AP samen met de Rijksdienst voor Ondernemend Nederland (RVO).