Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming (AVG) is een Europese regelgeving dat per 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) heeft vervangen. Per heden kent de Europese Unie enkel één privacywet. Bedrijven en organisaties die niet voldoen aan de AVG riskeren een boete van de Autoriteit Persoonsgegevens (AP). Wat houdt de wet AVG precies in?

Eenduidige privacywetgeving AVG

De voorgaande, maar liefst 28 Europese regelgevingen stammen uit het jaar 1995. Sinds mei 2018 zijn alle privacyrichtlijnen vervangen door slechts één privacywet. Dit is de wet AVG geworden. De huidige privacywet is meer toegepast op hedendaagse (gedigitaliseerde) samenleving.

De internationale benaming van de AVG is General Data Protection Regulation (GDPR). In Nederland maakt de Wet Bescherming Persoonsgegevens plaats voor de wet Algemene Verordening Gegevens Bescherming.

Wat zijn persoonsgegevens volgens AVG?

Conform de wet AVG worden alle gegevens die iets over een bepaald persoon zeggen bestempeld als persoonsgegeven. De privacy is al in het geding wanneer een persoonsgegeven zonder enige moeite een persoon kan identificeren.

Niet alleen naam en adresgegevens zijn persoonsgegevens. Daarnaast worden e-mailadressen, vingerafdrukken, IP-adressen en pasfoto’s gezien als persoonsgegevens. Ook een waardering van iemand, zoals bijvoorbeeld het IQ, wordt beschouwd als een persoonsgegeven.

Afhankelijk van de context, kan er bepaald worden of een persoonsgegeven, daadwerkelijk een persoonsgegeven is. Een beroep die iemand uitoefent kan al een persoonsgegeven zijn, maar zegt niets over een persoon omdat de persoon niet op deze wijze te identificeren is.

Iemand die het beroep Chemisch Laborant uitoefent valt niet te identificeren. Zodra je een combinatie kunt maken met de woonplaats van de persoon, kan men er snel achter komen om welke persoon het gaat.

Bijzonder persoonsgegeven

Los van de reguliere persoonsgegevens zoals eerder genoemd, zijn er ook bijzondere persoonsgegevens. Dit zijn gegevens die dermate gevoelig zijn dat deze ernstige gevolgen kan hebben voor iemands privacy. Deze bijzondere persoonsgegevens mogen niet zomaar worden verwerkt. Daarvoor gelden strenge voorwaarden. Voorbeelden van bijzondere persoonsgegevens zijn:

Ras of afkomst;
Levensbeschouwelijke opvattingen;
Politieke voorkeur;
Lidmaatschap van een vakbond;
Genetische gegevens;
Gegevens over gezondheid.

Daarnaast bestaan er gegevens die niet onder de twee eerdergenoemde categorieën vallen. Hierbij kun je denken aan strafrechtelijke gegevens en de Burger Service Nummer (BSN). Deze gegevens dragen een aparte status vanwege de mate van gevoeligheid.

Strengere AVG code

De privacyrechten zijn sinds de AVG strenger geworden en daarnaast flink uitgebreid. De behoefte naar de uitbreiding van de privacyrechten is ontstaan vanwege de hoeveelheid data dat wordt verzameld door organisaties. Data wordt ook steeds vaker digitaal opgeslagen. De verwachting is dat de AVG code verder zal uitbreiden in de nabije toekomst.

Download: "AVG Infographic"

Voldoet mijn bedrijf aan de AVG?

Loop onderstaande stappen door om na te gaan of jouw bedrijf handelt conform de wet AVG.

Controleer of je persoonsgegevens mag verwerken

De wet AVG zegt dat persoonsgegevens enkel opgeslagen en verwerkt mogen worden als je aan minimaal één grondslag voldoet. De meest gebruikelijke grondslag is dat je toestemming krijgt van de personen om gegevens te verwerken. Dit geldt overigens alleen voor de reguliere persoonsgegevens en niet voor de bijzondere persoonsgegevens.

Bereid je goed voor

Je hebt verantwoordingsplicht en moet kunnen aantonen dat jouw bedrijf werkt conform de AVG. Eén van de verplichtingen zijn, dat je bijhoudt wat de verwerkingsactiviteiten zijn. Noteer welke gegevens er binnen je bedrijf verwerkt worden. Werk verder uit met welk doel je de persoonsgegevens verwerkt, waar deze vandaan komen, waar je ze opslaat en met wie deze eventueel worden gedeeld.

Toestemming vragen

Als bedrijf moet je op aantoonbare wijze kunnen duidelijk maken dat je vooraf toestemming hebt gevraagd om de persoonsgegevens te mogen verwerken. De toestemming moet op een nette en duidelijke manier plaatsvinden en mag geen onduidelijkheden bevatten.

Rechten en inzage

Mochten personen persoonsgegevens willen verwijderen of wijzigen dan hebben zij daar ten allen tijden recht op. De gewijzigde of verwijderde gegevens moeten dan aan alle betrokken instanties worden doorgegeven. Personen behouden altijd het recht op inzage.

Dit geldt ook voor werknemers. Werknemers behouden ten allen tijden het recht op inzage van hun persoonsgegevens zoals het personeelsdossier. Vraagt een werknemer om het personeelsdossier, dan is een werkgever verplicht deze te tonen en te laten zien welke gegevens er worden opgeslagen.

Maak een Data Protection Impact Assessment (DPIA)

Door middel van de DPIA breng je vooraf de privacyrisico’s in beeld van een bepaalde gegevensverwerking. Wanneer er duidelijk is welke risico’s er zijn, neem je maatregelen om de risico’s te minimaliseren.

Meldplicht datalekken

Bedrijven die data kwijtraken aan derden, bijvoorbeeld bij een hack, dienen dit te melden. Bij een datalek moet er in ieder geval direct melding worden gemaakt bij de Autoriteit Persoonsgegevens. In sommige gevallen moet er ook melding worden gemaakt aan de betrokkenen. Betrokkenen in deze zijn de mensen van wie de persoonsgegevens gelekt zijn.