AVG algemeen

Sinds 25 mei 2018 is in de hele Europese Unie (EU) dezelfde privacywetgeving van toepassing. De belangrijkste privacywet is de Algemene verordening gegevensbescherming (AVG). Bij dit onderwerp vindt u de basisinformatie over deze wet.

Op deze pagina

  1. Algemene informatie

De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Door de komst van de AVG geldt er nog maar 1 privacywet in de hele EU in plaats van veel verschillende nationale wetten. Ook is de AVG meer toegespitst op de gedigitaliseerde samenleving.

Op een aantal punten binnen de AVG is er ruimte voor nationale keuzes. Dat betekent dat elke EU-lidstaat hierover zelf mag beslissen. In Nederland zijn deze keuzes uitgewerkt in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

Wettekst AVG en UAVG

De officiële wettekst van de AVG staat op de website van de EU. Dit is de tekst zoals die is gepubliceerd in het Publicatieblad van de EU op 4 mei 2016. Let op: Er zijn 2 rectificaties geweest op de wettekst van de AVG. In de geconsolideerde tekst van de AVG zijn deze wijzigingen opgenomen.

Wettekst UAVG

De wettekst van de UAVG staat op Overheid.nl.

Snelle antwoorden

Is de AVG van toepassing bij pilots, testen en proefprojecten?

Ja. Verwerkt u bij een pilot, test of proefproject persoonsgegevens? Dan is de Algemene verordening gegevensbescherming (AVG) van toepassing. Ook als het eindproduct nog niet is opgeleverd. 

Dit betekent onder meer dat u moet bepalen of u persoonsgegevens mag verwerken. En zo ja, dan moet u aantonen dat u aan de AVG voldoet. U moet bijvoorbeeld nagaan of u een DPIA moet uitvoeren voorafgaand aan een pilot, test of proefproject.

Het doel van een pilot, test of proefproject is om een nieuwe werkwijze te testen. Hiermee kunt u onderzoeken of een werkwijze effectief en efficiënt is om een bepaald probleem op te lossen.

Een pilot, test of proefproject kan ook heel nuttig zijn om privacy by design te testen.

Is de AVG van toepassing op visitekaartjes die ik krijg?

Bewaart u visitekaartjes die u krijgt systematisch (bijvoorbeeld door deze op alfabetische volgorde op te slaan) voor professioneel gebruik? Dan is de Algemene verordening gegevensbescherming (AVG) van toepassing.

U bent dan strikt genomen verwerkingsverantwoordelijke. Dat betekent dat u de verwerking van de persoonsgegevens die op visitekaartjes staan, moet kunnen baseren op een grondslag.

In dit geval kunt u de verwerking baseren op de grondslag ‘toestemming’. U mag namelijk aannemen dat degene die u het visitekaartje geeft, u daarbij ook toestemming geeft om het kaartje te gebruiken waarvoor het bedoeld is (contactgegevens bewaren en gebruiken). U kunt eenvoudig aantonen dat u toestemming heeft gekregen doordat u het kaartje in uw bezit heeft.

Er zijn twee situaties waarin de AVG niet van toepassing is op de visitekaartjes die u krijgt:

  • U krijgt visitekaartjes privé en gebruikt deze alleen voor uzelf, dus niet voor uw werk.
  • U bewaart visitekaartjes niet systematisch. De AVG geldt dan niet, want er is geen sprake van een geheel of gedeeltelijk geautomatiseerde verwerking of opname in een bestand.

Informeren niet nodig

Volgens de wet moet u de degene van wie u gegevens verzamelt informeren over deze verwerking. Maar geeft iemand u een visitekaartje, dan mag u ervan uitgaan dat diegene al weet wat u met de gegevens op het kaartje doet.

Bredere verspreiding

Let op: worden de gegevens op een visitekaartje breder verspreid? Bijvoorbeeld omdat uw werkgever alle ontvangen visitekaartjes centraal inzamelt en registreert, zodat de hele organisatie de gegevens kan gebruiken? Dan mag u niet zomaar aannemen dat u ook daarvoor toestemming heeft van degene die u een visitekaartje geeft.

Het is aan te raden om uw gesprekspartner erop te wijzen dat de gegevens op het kaartje breder verspreid zullen worden. Heeft diegene daar bezwaar tegen? Dan kunt u het kaartje teruggeven of privé houden.

Is het handig om voor de zekerheid altijd toestemming te vragen voor verwerking van persoonsgegevens?

Nee. Het is een misverstand dat u voor alle verwerkingen van persoonsgegevens toestemming nodig heeft. De Algemene verordening gegevensbescherming (AVG) stelt strengere eisen aan toestemming dan de vorige privacywet, maar dat betekent niet dat u nu overal toestemming voor nodig heeft.

Misschien denkt u dat het geen kwaad kan om voor de zekerheid toestemming te vragen. Maar behalve dat u uw klanten dan onnodig lastigvalt, is het ook voor uzelf niet handig. Want als iemand toestemming weigert of de toestemming later intrekt, mag u de gegevens van deze persoon niet meer verwerken.

Wilt u een stabiele basis voor uw gegevensverwerking, dan kunt u uw verwerking dus beter niet op toestemming baseren maar op een van de andere grondslagen.

Kan een overheidsorganisatie zich baseren op de grondslag gerechtvaardigd belang?

Nee. Als overheidsorganisatie kunt u zich bij het uitvoeren van uw wettelijke taken nooit baseren op de grondslag van gerechtvaardigd belang. U moet zich dus op een van de andere grondslagen baseren. Bijvoorbeeld de grondslag 'noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag'.

U mag als overheidsorganisatie in de regel alleen gegevens verwerken om uw taken uit te voeren als de wet u daarvoor de bevoegdheid heeft gegeven. De wetgever moet namelijk zorgen dat iedere overheidsorganisatie een rechtsgrond voor verwerkingen heeft.

Moet ik als logistieke dienstverlener verwerkersovereenkomsten afsluiten met mijn opdrachtgevers?

Nee. U bent namelijk geen verwerker, ook al werkt u als logistieke dienstverlener voor een opdrachtgever.

U bent zelf verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die noodzakelijk zijn voor uw dienstverlening. Zoals namen, adressen, postcodes, woonplaatsen en eventueel telefoonnummers en e-mailadressen voor track & trace-bezorging.

Kan ik als gemeente, waterschap of provincie de verwerkingen van meerdere bestuursorganen opnemen in 1 verwerkingsregister?

Ja, dat kan. Het staat bestuursorganen vrij om gezamenlijk 1 verwerkingsregister op te stellen.

Wel moet uit het verwerkingsregister duidelijk blijken welk bestuursorgaan de verwerkingsverantwoordelijke is (dat kunnen er ook meerdere zijn) voor welke gegevensverwerking.

Gerelateerde thema's en onderwerpen

Basis AVG

Privacyrechten AVG

Mensen hebben een aantal rechten als organisaties hun persoonsgegevens verwerken. Dat staat in de AVG. We noemen dit privacyrechten.
Ga naar onderwerp
Basis AVG

Praktisch AVG

De AVG biedt verschillende instrumenten die organisaties helpen om aan de wet te voldoen, waarvan sommige verplicht zijn.
Ga naar onderwerp
Basis AVG

Privacy en persoonsgegevens

Wat is het belang van privacy? Wat zijn persoonsgegevens eigenlijk? Wat is ‘verwerken’ precies? En welke wetgeving is er om privacy en persoonsgegevens te beschermen?
Ga naar onderwerp
Beveiliging

Beveiliging van persoonsgegevens

Een goede beveiliging van persoonsgegevens is niet voor niets een van de basisbeginselen van de privacywet AVG.
Ga naar onderwerp