De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening, die vanaf 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangt. Internationaal staat de AVG ook wel bekend als de ‘General Data Protection Regulation’ (GDPR).
De AVG regelt de privacy van burgers en is strenger dan de Wbp: met de AVG krijgen burgers meer en stevigere privacyrechten. Organisaties krijgen vooral meer verplichtingen. Zo moeten organisaties voor bepaalde gegevensverwerkingen eerst uitdrukkelijk toestemming vragen aan de betrokkene. Daarnaast moeten organisaties kunnen aantonen dat zij zich aan de AVG houden.
Vrijwel alle organisaties verzamelen persoonsgegevens. Denkt u daarbij aan namen, adressen en telefoonnummers van klanten, bezoekers en/of medewerkers. En aan email- of IP-adressen (via cookies op de website). Bijna alles wat u met die gegevens doet, zoals het opslaan, gebruiken of bewerken ervan, wordt onder de AVG ‘verwerken’ genoemd. De AVG geldt dan ook voor vrijwel iedere organisatie.
De formulering van het begrip ‘persoonsgegevens’ onder de AVG is vrij ruim. Alle informatie over een geïdentificeerde of identificeerbaar natuurlijk persoon, die direct
of indirect (bijvoorbeeld door middel van combinatie met andere gegevens) kan leiden tot identificatie van een natuurlijk persoon is een persoonsgegeven. Denkt u daarbij niet alleen aan iemands naam, adres, BSN-nummer of e-mailadres, maar ook aan IP-adressen of kentekengegevens.
Een zakelijk e-mailadres is onder de AVG dus ook een persoonsgegeven, omdat dit adres in combinatie met andere gegevens te herleiden is tot een persoon. Ook het adres [email protected] kan een persoonsgegeven zijn, bijvoorbeeld bij een eenmanszaak. In dat geval maakt namelijk alleen de eigenaar gebruik van dat adres, en is hij of zij dus in combinatie met andere gegevens te identificeren.
Sommige persoonsgegevens worden onder de AVG als bijzondere persoonsgegevens aangemerkt. Dit zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijken. Ook genetische gegevens en gegevens over gezondheid of seksueel gedrag én de persoonsgegevens van minderjarige kinderen zijn bijzondere persoonsgegevens.
Het begrip ‘verwerking’ wordt in de AVG als volgt gedefinieerd:
“Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwisselen of vernietigen van gegevens.”
Van verwerking is dus al snel sprake. Bijzondere persoonsgegevens mogen onder de AVG in principe (zonder toestemming) niet worden verwerkt. De overige persoonsgegevens mag u alleen verwerken als daar een grondslag voor is. U mag bovendien alleen die gegevens verwerken die noodzakelijk zijn (dataminimalisatie)
Onder de AVG zijn sommige organisaties verplicht om een zogenaamde Functionaris Gegevensbescherming (FG) aan te stellen. Een FG is op de hoogte van de AVG, verantwoordelijk voor naleving van de verplichtingen die daaruit voortvloeien en de contactpersoon voor uw organisatie voor betrokkenen en de toezichthouder. Een FG kan zowel een interne als een externe specialist zijn. Een FG is verplicht:
Ook als u niet verplicht bent een FG aan te stellen, adviseren wij u om één of meer medewerkers binnen uw organisatie verantwoordelijk te maken voor uw privacy compliance.
Een DPIA is een toets om vooraf de privacyrisico’s van een bepaalde gegevensverwerking in kaart te brengen. Een DPIA is verplicht als er een hoog privacyrisico is. Dat is in ieder geval zo als u:
De Autoriteit Persoonsgegevens zal nog een lijst publiceren met verwerkingen waarvoor een DPIA verplicht is. Op dit moment is die lijst er nog niet. De Europese privacytoezichthouders hebben wel een lijst met 9 criteria opgesteld. Als uw gegevensverwerking aan 2 of meer van die criteria voldoet moet u een DPIA uitvoeren. De lijst met criteria vindt u hier.
In uw privacyverklaring legt u aan de betrokkene uit welke persoonsgegevens u verzamelt, wat u met die gegevens doet en hoe u ze beveiligt. De specifieke inhoud van uw privacyverklaring hangt af van welk type persoonsgegevens uw organisatie verzamelt en hoe u ze verwerkt. Bepaalde gegevens zijn nu eenmaal gevoeliger dan andere, waardoor u ook strengere waarborgen moet inbouwen. Wat iedere organisatie er in ieder geval in moet opnemen leest u hier.
Organisaties hebben onder de AVG een verantwoordingsplicht. Dat betekent dat zij, als de Autoriteit Persoonsgegevens daarom vraagt, moeten kunnen aantonen dat zij aan de AVG voldoen. Vrijwel alle organisaties zijn daarbij verplicht om een register verwerkingsactiviteiten aan te leggen. Welke organisaties dat zijn en wat in het register moet staan leest u hier.
Onder de AVG bent u verplicht om bepaalde datalekken zo snel mogelijk (liefst binnen 72 uur) te melden aan de toezichthouder. Ook moet u onder omstandigheden de betrokkenen over een datalek informeren. U moet bovenden een register bijhouden van alle datalekken die zich bij u voordoen. Dit geldt ook voor datalekken die u niet hoeft te melden bij de toezichthouder.
Wij adviseren u daarom om een protocol datalekken op te stellen en in uw organisatie te implementeren. Daarnaast adviseren wij u om in uw verwerkersovereenkomsten goede afspraken te maken, voor het geval zich een datalek bij een verwerker voordoet.
Ja, de boetes onder de AVG zijn vrij hoog. Houdt u zich niet aan de AVG? Dan mag de Autoriteit Persoonsgegevens hoge boetes opleggen, tot wel twintig miljoen euro of 4% van de wereldwijde jaaromzet.
Heeft u vragen over de AVG, of advies nodig over uw privacy compliance? Neem dan contact met ons op. Schravenmade Advocaten helpt u graag verder.
Het arbeidsrecht is voortdurend in ontwikkeling. Wetgeving verandert continu, rechtspraak en literatuur geven steeds weer een andere kijk op de zaken.