Algemene Verordening Gegevensbescherming (AVG)

[ europese-privacyverordening.eu ]

Wat is de Algemene Verordening Gegevensbescherming?

De Algemene Verordening Gegevensbescherming (AVG) is één wet voor de gehele Europese Unie. Vandaar dat men ook spreekt van de Europese Privacyverordening. De verordening behelst in grote lijnen een verbetering van de privacyrechten van personen en meer verantwoordelijkheden voor organisaties (met bijbehorende sancties).
De sleutelbegrippen in de AVG zijn privacy en persoonsgegevens.

De Europese Privacyverordening is vastgesteld op 25 mei 2016 en trad in werking op 25 mei 2018.
De volledige tekst: Algemene Verordening Gegevensbescherming

Voor de AVG wordt vaak de Engelse benaming gebruikt: GDPR - General Data Protection Regulation.

UAVG : nadere uitwerking van de AVG

De AVG biedt de lidstaten van de EU de mogelijkheid bepaalde regelingen nader in te vullen. Nederland heeft dat gedaan in de UAVG: de Uitvoeringwet Algemene Verordening Gegevensbescherming.
Lees: Handleiding AVG en Uitvoeringswet AVG van de AP.

Historie:
De AVG is de opvolger van de Wet Bescherming Persoonsgegevens uit 2001, die op haar beurt de Nederlandse uitwerking was van de Europese Privacyrichtlijn uit 1995 (nr. 95/46/EG). Elke Europese lidstaat had op basis van die richtlijn uit 1995 zijn eigen privacywet opgesteld. Dit betekende dat de privacywetgeving in de verschillenden Europese lidstaten niet op elkaar aansloot.

Verordening versus richtlijn

Een Europese richtlijn, zo ook de privacyrichtlijn uit 1995, verlangt van de lidstaten dat zij nationale regelgeving implementeren die voldoet aan de bepalingen van de richtlijn. Daarbij kunnen tussen de wetten van de lidstaten verschillen ontstaan. Een verordening, zoals de AVG, legt rechtstreeks verplichtingen op aan de lidstaten en hoeft dus niet meer in een nationale wet te worden omgezet. Hierdoor is er sprake van één, uniforme wetgeving.
In het geval van de AVG is er wel ruimte voor de lidstaten om op een beperkt aantal gebieden eigen regels vast te stellen, bijvoorbeeld met betrekking tot arbeid, zorg en sociale zekerheid.

Verwerkingsverantwoordelijke en verwerker

Naast persoonsgegevens zijn de begrippen verwerkingsverantwoordelijke (Engels: 'controller') en verwerker (Engels: 'processor') belangrijk. Zie artikel 4 van de AVG voor de gehanteerde definities.
In de verordening is ruime aandacht voor uitbesteding van activiteiten aan subverwerkers.
Hieronder lichten we enkele belangrijke onderwerpen uit de Europese Privacyverordening toe:

Datalekken - melding van beveiligingsproblemen

In Nederland kenden we al de meldplicht voor datalekken. Deze regeling is nu in de AVG opgenomen, inclusief de verplichting een lek binnen 72 uur aan de toezichthouder te melden. De verwerker van de gegevens moet de verwerkingsverantwoordelijke 'zonder onredelijke vertraging' op de hoogte stellen van een datalek, zodat laatstgenoemde kan bepalen of er een melding aan de toezichthouder moet plaatsvinden. Als de gevolgen voor de betrokkenen waarschijnlijk een hoog risico inhouden, moeten ook zij over het lek worden geïnformeerd.
Een verandering t.o.v. de oude Wet Meldplicht Datalekken is dat elk datalek in een intern datalekregister moet worden opgenomen. Dit geldt dus niet alleen voor datalekken die aan de toezichthouder moeten worden gemeld.
Lees meer hierover op de pagina datalekken

Verwerkersovereenkomst: verplichte onderdelen

Volgens de AVG is het sluiten van een verwerkersovereenkomst verplicht tussen de verantwoordelijke voor persoonsgegevens en degene die de persoonsgegevens namens hem verwerkt. Een verwerker mag alleen een externe partij ('subverwerker') inschakelen voor het verwerken van persoonsgegevens na schriftelijke toestemming van de verantwoordelijke.

De verordening (art. 28) noemt onderwerpen die in de verwerkersoverkomst moeten worden opgenomen. Dit zijn o.a.:
  • Beschrijving van de verwerking
  • Geheimhouding
  • Beveiligingsmaatregelen
  • Inschakelen sub-verwerkers
  • Verbod op verwerking voor andere doeleinden
  • Doorgifte naar derde landen
  • Recht van audit
  • Hoe om te gaan met datalekken
  • Hoe te handelen bij verzoeken van betrokkenen (recht op inzage enz.)
  • Duur en opzegging
AVG Europese Privacyverordening

Privacy by Design & Privacy by Default

Processen en diensten moeten ontwikkeld en ingericht worden met privacy als leidraad. Maatregelen in dit verband omvatten het pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens en natuurlijk het minimaliseren van de verwerking van persoonsgegevens.
Lees meer over Privacy by Design en Privacy by Default

Privacy Officer of Functionaris Gegevensbescherming

De aanstelling van een Functionaris Gegevensbescherming (FG) is volgens de verordening in een aantal situaties verplicht.
Meer informatie: Functionaris Gegevensbescherming (FG)

Data Protection Impact Assessment (DPIA)

In een DPIA worden risico’s in kaart gebracht van verwerkingen die bijzondere risico’s met zich brengen, vooral wanneer ze met nieuwe technologieën worden uitgevoerd. Daarnaast bevat een DPIA maatregelen die beschrijven hoe deze risico’s kunnen worden beperkt. Een DPIA is in een aantal gevallen verplicht, zoals bij grootschalige verwerkingen van bijzondere persoonsgegevens, bij profilering en bij monitoring van openbaar toegankelijke ruimten.

In de Wet bescherming persoonsgegevens (Wbp), de voorganger van de AVG, werd de term Privacy Impact Assessment (PIA) gebruikt.

Voor meer informatie over het verplicht uitvoeren van een DPIA zie:
De door de Autoriteit Persoonsgegevens opgestelde lijst van soorten verwerkingen waarvoor een DPIA verplicht is
Zie ook: De officiële Nederlandse vertaling van de guidelines DPIA van de Europese toezichthouders

Toepassingsgebied

De AVG heeft een ruim toepassingsgebied en geldt voor alle organisaties, behalve voor overheidsinstellingen met een eigen wet (bijv. de Wet politiegegevens). Ook buiten de EU gevestigde organisaties vallen onder het bereik van de AVG, voor zover zij zich tenminste richten op de EU en gegevens van personen verwerken die zich in de EU bevinden. Daarbij is het niet relevant of de betrokken persoon voor het product of de dienst betaalt.

Documentatieplicht: bijhouden verwerkingsregister

De verwerker en de verantwoordelijke moeten een register bijhouden met daarin een beschrijving van de verwerking van persoonsgegevens. Het verwerkingsregister moet op elk moment een actueel en compleet inzicht geven, zoals: wat wordt opgeslagen, doel van de opslag, bewaartermijn, beveiligingsmaatregelen.
Voor organisaties met minder dan 250 medewerkers is het register niet verplicht, uitgezonderd bij structurele verwerking van persoonsgegevens (denk aan de personeelsregistratie), als het waarschijnlijk is dat de verwerking risico's voor de betrokkenen inhoudt of als er bijzondere persoonsgegevens worden verwerkt.
De website van de Belgische toezichthouder Gegevensbeschermingsautoriteit GBA biedt een model voor een register van verwerkingen. Dit model is gebaseerd op een indeling van verwerkingen op basis van processen. Meer informatie: www.verwerkingsregister.com

Informeren en vragen van toestemming

Het informeren van betrokkenen en het vragen van toestemming zijn twee verschillende dingen. Deze worden vaak met elkaar verward.

Uitgangspunt is dat iedereen die persoonsgegevens verwerkt verplicht is de betrokken personen te informeren over deze verwerking. Betrokkenen hebben het recht te weten wat u met hun gegevens doet, waarom u dat doet en wat de risico’s en hun rechten zijn. Informeren gebeurt vaak via een privacyverklaring, die ook wel privacy statement of privacy notice wordt genoemd. Een dergelijke privacyverklaring is niet een verzoek om toestemming - en hoeft dan ook niet te worden goedgekeurd door de betrokkene.

Toestemming is een van de zes grondslagen op basis waarvan persoonsgegevens mogen worden verwerkt. Andere grondslagen zijn bijvoorbeeld het verwerken van persoonsgegevens op basis van een overeenkomst, van een wettelijke plicht of van het gerechtvaardigd belang van de verantwoordelijke. Is geen van de overige grondslagen van toepassing, dan kunnen in bepaalde gevallen de gegevens worden verwerkt op basis van toestemming van de betrokkene.
De AVG stelt hoge eisen aan deze toestemming:
"Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite [...] Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden.
De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie."
Overweging 32 AVG

Profilering

Speciale aandacht is er in de AVG voor profilering. Hieronder wordt verstaan elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd. Hierbij is het met name de bedoeling iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of voorspellen.
Profilering wordt door de AVG niet verboden, maar er zijn wel strikte voorwaarden aan de toepassing ervan verbonden.

Vergeetrecht

Een individu heeft het recht om vergeten te worden. Dit recht is echter niet absoluut. Op verzoek van de betrokkene dient de verantwoordelijke persoonsgegevens te verwijderen indien hij feitelijk toch al niet (meer) het recht had deze te verwerken. Dit is bijvoorbeeld het geval wanneer de betrokkene zijn toestemming heeft ingetrokken of wanneer de persoonsgegevens niet langer noodzakelijk zijn voor het doel waarvoor ze werden verwerkt.
Heeft de verantwoordelijke de gegevens aan andere partijen verstrekt, dan is hij verplicht deze andere partijen op de hoogte te stellen van het verzoek tot verwijdering door de betrokkene.

Dataportabiliteit

Het recht op dataportabiliteit is het recht om persoonsgegevens overgedragen te krijgen in 'gestructureerde, gangbare en machineleesbare vorm'. Het gaat hierbij uitsluitend om persoonsgegevens die worden verwerkt op basis van de rechtsgrond toestemming of uitvoering van een contract. Daarnaast betreft het alleen gegevens die rechtstreeks van de betrokkene zijn verkregen en om observatiegegevens. Dit laatste is informatie die automatisch door de betrokkene wordt verstrekt door het gebruik van een dienst of via zijn apparaat. Enkele voorbeelden: klikgedrag, internetverkeer, locatiegegevens en zoekgeschiedenis.
Afgeleide gegevens die door de verwerkingsverantwoordelijke worden samengesteld, bijvoorbeeld op basis van observatiegegevens, vallen niet onder het recht van dataportabiliteit. Hetzelfde geldt voor bewerkte gegevens. Deze gegevens kunnen wel worden ingezien door de betrokkene in het kader van zijn recht op inzage.

Vanzelfsprekend dient het overdragen van de informatie veilig te gebeuren, bijvoorbeeld door middel van een download via een speciale tool of vanaf een beveiligde website. Waar mogelijk dienen verantwoordelijke organisaties op verzoek van de betrokkene de informatie rechtsstreeks aan een andere organisatie over te dragen.
De toenmalige Artikel 29-werkgroep (nu: European Data Protection Board of EDPB) heeft een pdf over dataportabilliteit gepubliceerd: Richtlijnen inzake het recht op gegevensoverdraagbaarheid