Cookie Deze website serveert cookies voor advertenties. Ga alleen door als u dit goed vindt.   |   Balk inklappen   |   Meer informatie

Algemene Verordening Gegevensbescherming (AVG)

[ europese-privacyverordening.eu ]

Wat is de Algemene Verordening Gegevensbescherming?

De Algemene Verordening Gegevensbescherming (AVG) is één wet voor de gehele Europese Unie. Vandaar dat men ook spreekt van de Europese Privacyverordening. De verordening behelst in grote lijnen een verbetering van de privacyrechten van personen en meer verantwoordelijkheden voor organisaties (met bijbehorende sancties).
De sleutelbegrippen in de AVG zijn privacy en persoonsgegevens.

De Europese Privacyverordening is vastgesteld op 25 mei 2016 en trad in werking op 25 mei 2018.
De volledige tekst: Algemene Verordening Gegevensbescherming

Voor de AVG wordt vaak de Engelse benaming gebruikt: GDPR - General Data Protection Regulation.

UAVG : nadere uitwerking van de AVG

De AVG biedt de lidstaten van de EU de mogelijkheid bepaalde regelingen nader in te vullen. Nederland heeft dat gedaan in de UAVG: de Uitvoeringwet AVG.Algemene Verordening Gegevensbescherming Lees: Handleiding AVG en Uitvoeringswet AVG van de AP.

Historie:
De AVG is de opvolger van de Wet Bescherming Persoonsgegevens uit 2001, die op haar beurt de Nederlandse uitwerking was van de Europese Privacyrichtlijn uit 1995 (nr. 95/46/EG). Elke Europese lidstaat had op basis van die richtlijn uit 1995 zijn eigen privacywet opgesteld. Dit betekende dat de privacywetgeving in de verschillenden Europese lidstaten niet op elkaar aansloot.

Verordening versus richtlijn

Een Europese richtlijn, zo ook de privacyrichtlijn uit 1995, verlangt van de lidstaten dat zij nationale regelgeving implementeren die voldoet aan de bepalingen van de richtlijn. Daarbij kunnen tussen de wetten van de lidstaten verschillen ontstaan. Een verordening, zoals de AVG, legt rechtstreeks verplichtingen op aan de lidstaten en hoeft dus niet meer in een nationale wet te worden omgezet. Hierdoor is er sprake van één, uniforme wetgeving.
In het geval van de AVG is er wel ruimte voor de lidstaten om op een beperkt aantal gebieden eigen regels vast te stellen, bijvoorbeeld met betrekking tot arbeid, zorg en sociale zekerheid.

Verwerkingsverantwoordelijke en verwerker

Naast persoonsgegevens zijn de begrippen verwerkingsverantwoordelijke (Engels: 'controller') en verwerker (Engels: 'processor') belangrijk. Zie artikel 4 van de AVG voor de gehanteerde definities.
In de verordening is ruime aandacht voor uitbesteding van activiteiten aan subverwerkers.
Hieronder lichten we enkele belangrijke onderwerpen uit de Europese Privacyverordening toe:

Datalekken - melding van beveiligingsproblemen

In Nederland kenden we al de meldplicht voor datalekken. Deze regeling is nu in de AVG opgenomen, inclusief de verplichting een lek binnen 72 uur aan de toezichthouder te melden. De verwerker van de gegevens moet de verwerkingsverantwoordelijke 'zonder onredelijke vertraging' op de hoogte stellen van een datalek, zodat hij kan bepalen of er een melding aan de toezichthouder moet plaatsvinden. Als de gevolgen voor de betrokkenen groot zijn, moeten ook zij over het lek worden geïnformeerd.
Een verandering t.o.v. de oude Wet Meldplicht Datalekken is dat elk datalek in een intern datalekregister moet worden opgenomen. Dit geldt dus niet alleen voor datalekken die aan de toezichthouder moeten worden gemeld.
Lees meer hierover op de pagina datalekken

Verwerkersovereenkomst: verplichte onderdelen

Volgens de AVG is het sluiten van een verwerkersovereenkomst verplicht tussen de verantwoordelijke voor persoonsgegevens en degene die de persoonsgegevens namens hem verwerkt. Een verwerker mag alleen een externe partij ('subverwerker') inschakelen voor het verwerken van persoonsgegevens na schriftelijke toestemming van de verantwoordelijke.

De verordening (art. 28) noemt onderwerpen die in de verwerkersoverkomst moeten worden opgenomen. Dit zijn o.a.:
  • Beschrijving van de verwerking
  • Geheimhouding
  • Beveiligingsmaatregelen
  • Inschakelen sub-verwerkers
  • Verbod op verwerking voor andere doeleinden
  • Doorgifte naar derde landen
  • Recht van audit
  • Hoe om te gaan met datalekken
  • Hoe te handelen bij verzoeken van betrokkenen (recht op inzage enz.)
  • Duur en opzegging
AVG Europese Privacyverordening

Privacy by Design & Privacy by Default

Processen en diensten moeten ontwikkeld en ingericht worden met privacy als leidraad. Maatregelen in dit verband omvatten het pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens en natuurlijk het minimaliseren van de verwerking van persoonsgegevens.
Lees meer over Privacy by Design en Privacy by Default

Privacy Officer of Functionaris Gegevensbescherming

De aanstelling van een Functionaris Gegevensbescherming (FG) is volgens de verordening in een aantal situaties verplicht.
Meer informatie: Functionaris Gegevensbescherming (FG)

Data Protection Impact Assessment (DPIA)

In een DPIA worden risico’s in kaart gebracht van verwerkingen die bijzondere risico’s met zich brengen, vooral wanneer ze met nieuwe technologieën worden uitgevoerd. Daarnaast bevat een DPIA maatregelen die beschrijven hoe deze risico’s kunnen worden beperkt. Een DPIA is in een aantal gevallen verplicht, zoals bij grootschalige verwerkingen van bijzondere persoonsgegevens, bij profilering en bij monitoring van openbaar toegankelijke ruimten.

In de Wet bescherming persoonsgegevens (Wbp), de voorganger van de AVG, werd de term Privacy Impact Assessment (PIA) gebruikt.

Toepassingsgebied

De AVG heeft een ruim toepassingsgebied en geldt voor alle organisaties, behalve voor overheidsinstellingen met een eigen wet (bijv. de Wet politiegegevens). Ook buiten de EU gevestigde organisaties vallen onder het bereik van de AVG, voor zover zij zich tenminste richten op de EU en gegevens van personen verwerken die zich in de EU bevinden. Daarbij is het niet relevant of de betrokken persoon voor het product of de dienst betaalt.

Documentatieplicht: bijhouden verwerkingsregister

De verwerker en de verantwoordelijke moeten een register bijhouden met daarin een beschrijving van de verwerking van persoonsgegevens. Het verwerkingsregister moet op elk moment een actueel en compleet inzicht geven, zoals: wat wordt opgeslagen, doel van de opslag, bewaartermijn, beveiligingsmaatregelen.
Voor organisaties met minder dan 250 medewerkers is het register niet verplicht, uitgezonderd bij structurele verwerking van persoonsgegevens (denk aan de personeelsregistratie), als het waarschijnlijk is dat de verwerking risico's voor de betrokkenen inhoud of als er bijzondere persoonsgegevens worden verwerkt.
De website van de Belgische toezichthouder Gegevensbeschermingsautoriteit GBA biedt een model voor een register van verwerkingen. Dit model is gebaseerd op een indeling van verwerkingen op basis van processen.

Meer informatie: www.verwerkingsregister.com