De Algemene Verordening Gegevensbescherming

Wat is de AVG? 

De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandstalige versie van de General Data Protection Regulation (GDPR) die op 4 mei 2016 is gepubliceerd in het Publicatieblad van de Europese Unie. Met ingang van 25 mei 2018 vervangt deze de verouderde privacywetten van de verschillende lidstaten die op de Europese privacyrichtlijn uit 1995 zijn gebaseerd. En omdat het een verordening betreft hebben de regels directe werking; de Nederlandse wetgever hoeft de AVG dus niet in de nationale wetgeving op te nemen. 

Wat is het doel van de AVG? 

Het doel van de AVG is een betere bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de Europese Unit te waarborgen. Daarbij wordt het recht van het individu op hoog niveau beschermd. 

Voor wie geldt de AVG 

De AVG geldt voor alle organisaties die persoonsgegevens verwerken. De term ‘persoonsgegevens’ omvat niet alleen naam, adres, telefoonnummer, maar ook foto’s, video-opnames, computergegevens zoals IP-adressen en cookies. Voor elke organisatie die over een website beschikt en/of klanten of leden heeft is de AVG dus van toepassing.
De AVG is niet van toepassing voor persoonlijk of huiselijk gebruik van persoonsgegevens en er gelden speciale regels voor de volgende verwerkingen: 

• Door of ten behoeve van inlichtingen- en veiligheidsdiensten 
• Ten behoeve van de uitvoering van politietaken 
• Door gemeenten in de gemeentelijke basisadministratie 
• Ten behoeve van de uitvoering van de Wet op de justitiële documentatie en de verklaringen omtrent het gedrag 
• Ten behoeve van de uitvoering van de Kieswet 

Wat is de impact van de AVG? 

De AVG geeft de burger de volgende rechten: 

• Zonder nadrukkelijke toestemming mogen geen persoonsgegevens worden verwerkt 
• Inzage in de vastgelegde persoonsgegevens 
• Correctie van onjuiste gegevens 
• Het recht om te verzoeken gegevens digitaal te ontvangen i.vm. data-portabiliteit 
• Het recht op gehele verwijdering van de persoonsgegevens 
• Tot slot heeft de burger recht van beklag bij de Autoriteit Persoonsgegevens (AP) 

Alle organisaties moeten aan de AVG voldoen; óók wanneer zij géén persoonsgegevens verwerken legt de AVG hen verplichtingen op: 

• Zorgdragen voor de algemene bewustwording bij de medewerkers/leden in de omgang met persoonsgegevens 
• Het opstellen van een register van verwerkingsactiviteiten waarin aangegeven welke persoonsgegevens worden verwerkt, voor welk doel, waar ze vandaag komen en met wie ze worden gedeeld 
• Het uitvoeren van een Data Protection Impact Assessment (DPIA) om de privacy risico’s in kaart te brengen, gevolgd door maatregelen om (indien nodig) de risico’s te beperken 
• Het benoemen van een Functionaris voor Gegevensbescherming en aanmelden bij de AP 
• Binnen 72 uur na vaststelling documenteren en melden van datalekken bij de AP 
• Het opstellen van een verwerkingsovereenkomst wanneer (een deel van) de gegevensverwerking door derden plaats vindt 
• Het bepalen van de leidende toezichthouder wanneer de organisatie in meerdere EU-landen actief is 
• Het vaststellen, documenteren en implementeren van het recht van toestemming voor de burger 

Privacy is een grondrecht 

In de Grondwet alsook in het Europese Verdrag voor de Rechten van de Mens is vastgelegd dat het gebruik van persoonsgegevens een inperking van het grondrecht van bescherming van de persoonlijke levenssfeer vormt. Uit het gebruik kunnen bijzondere risico’s ontstaan voor de betrokkenen en daarom is het gebruik aan strikte regels gebonden.
Persoonsgegevens worden dus min-of-meer beschouwd als eigendom van de persoon in kwestie. Organisaties mogen deze gegevens dan ook alleen gebruiken met toestemming van de eigenaar en uitsluitend voor het doel waarvoor de toestemming is verstrekt. Dit betekent ondermeer dat de toestemming moet kunnen worden aangetoond. 

Ontwikkelingen 

Zoals al eerder opgemerkt vervangt de AVG de verouderde privacywetten van de verschillende lidstaten die op de Europese privacyrichtlijn uit 1995 zijn gebaseerd. Deze vervanging is noodzakelijk omdat de oude privacywetten niet meer voldoen: 

• Vergaande digitalisering hebben het eenvoudig gemaakt om gegevens op te slaan, te koppelen aan andere bestanden en vervolgens te sorteren en doorzoeken. Relaties kunnen worden gelegd en dwarsverbanden vastgesteld die tevoren niet mogelijk waren, waarvoor de gegevens niet bestemd waren en waarvoor de eigenaar van de gegevens géén toestemming heeft gegeven. 
• Big Data, geavanceerde analyse tools en kunstmatige intelligentie kunnen worden ingezet om voorspellingen te doen of conclusies te trekken waarvoor de gegevens evenmin bestemd waren. 
• Persoonsgegevens kunnen worden gebruikt voor profiling waarbij personen verschillend kunnen worden behandeld afhankelijk van hun profiel. 
• Het aantal gevallen neemt toe waarin nieuwe technologie het mogelijk hebben gemaakt de beveiliging van beschermde gegevens te doorbreken en ongewenst toegang te krijgen. 

Enkele voorbeelden: 

• Verzekeraars zouden op basis van opleiding, verkeersovertredingen, beroep, eerder declaratiegedrag en ziektekosten een risicoanalyse kunnen uitvoeren en risicovollere klanten kunnen weigeren of een hogere premie kunnen laten betalen. 
• Sollicitanten zouden kunnen worden afgewezen op basis van hun geloofsovertuigingen, etnische afkomst, beoefening van risicovollere sporten of (incidenteel) gebruik van softdrugs in hun jonge jaren. 
• Medische behandelingen zouden kunnen worden geweigerd op basis van verwachte levensverwachting omdat ouders, grootouders, broers en zussen op lagere leeftijd zijn overleden. 

Vernieuwing 

Omdat is vastgesteld dat het gebruik van persoonsgegevens een inperking van het grondrecht van bescherming van de persoonlijke levenssfeer vormt en de Europese privacyrichtlijn uit 1995 niet meer voldoet, is vernieuwing voor de hand liggend.
Bij deze vernieuwing vormt het eigenaarschap van de persoonsgegevens een belangrijk beginsel: Er moet in alle gevallen aan de AVG worden voldaan om gebruik te mogen maken van de persoonsgegevens. En de AVG schrijft ondermeer voor dat het gebruik nadrukkelijke toestemming van de eigenaar van de persoonsgegevens vereist. De gebruiker van de persoonsgegevens moet dan ook ten alle tijde kunnen aantonen dat hij over deze toestemming beschikt en dat de verstrekker over heldere informatie beschikte over het gebruik van de persoonsgegevens en de toestemming geheel vrijwillig heeft verstrekt. De eigenaar van de persoonsgegevens deze toestemming eenvoudig, kosteloos en snel kunnen intrekken.
Wanneer de verwerker van de persoonsgegevens in meerdere lidstaten van de EU actief is, dient in elke lidstaat te worden aangetoond dat aan de geldende privacyregels wordt voldaan. Met de nieuwe AVG volstaat het dit in één vastgestelde lidstaat van de EU te doen. 

Totstandkoming 

De nieuwe AVG is het resultaat van een aanzienlijke inspanning van de verschlilende lidstaten van de EU. Naast de uit 1995 gedateerde Europese privacyrichtlijn vormden de privacywetten van de verschillende lidstaten belangrijke bronnen.
Het resultaat is op 4 mei 2016 gepubliceerd in het Publicatieblad van de Europese Unie. Hierbij is een invoeringstermijn van twee jaar gegeven waarna de AVG de oude wetgeving op 25 mei 2018 formeel vervangt. 

Handhaving en boetes 

In de AVG is vastgesteld dat de toezichthouder zorgvuldige afwegingen moet maken bij de handhaving. Zo dient de maatregel (boete of berisping) passend te zijn bij de overtreding. Bij het vaststellen van de boete dient deze rekening te houden met aard, ernst en duur van de inbreuk, de impact voor de betrokkene, of het gaat om opzet of nalatigheid en of sprake is van herhaling.
De toezichthouder zal op eigen initiatief optreden bij overtredingen van de regels. Bij kleinere organisaties zal voornamelijk worden opgetreden naar aanleiding van een ingediende klacht door een betrokkene.
De tweede kamer heeft in het debat over de AVG op 8 maart 2018 aan minister Dekker beloofd dat de toezichthouder de eerste maanden niet direct boetes zal uitdelen aan kleine organisaties, vermits zij kunnen aantonen dat zij bezig zijn met de implementatie van de regels. 

Bij geconstateerde overtredingen kunnen boetes van de categorie 1 of 2 worden gegeven: 

• Categorie 1 heeft betrekking op overtredingen die met fundamentele verplichting te maken hebben. Het betreft hierbij bijvoorbeeld overtreding van de basisbeginselen van gegevensverwerking, voorwaarden voor toestemming, schending van de rechten van betrokkenen, doorgifte van persoonsgegevens aan een land buiten de EU en niet-naleving van een bevel van de toezichthouder. De boete bedraagt maximaal 20 miljoen euro of 4% van de wereldwijde omzet (indien dit bedrag hoger is). 
• Categorie 2 heeft betrekking op administratief georiënteerde verplichtingen zoals de aanstelling van de functionaris gegevensbescherming, het melden van datalekken aan de AP en de betrokkene, beveiligingsmaatregelen en privacy by design/default. De boete bedraagt maximaal 10 miljoen euro of 2% van de wereldwijde omzet (indien dit bedrag hoger is).

---

Gerelateerde artikelen

• Templates voor AVG implementatie
• Stap 8 AVG implementatie: Meldplicht datalekken
• Stap 7 AVG implementatie: Functionaris Gegevensbescherming
• Stap 5/6 AVG implementatie: Privacy by Default & Design
• Aanbevolen bronnen m.b.t. de AVG