Korte introductie op de Algemene Verordening Gegevensbescherming

door | mrt 27, 2018 | Archief

Korte introductie op de Algemene Verordening Gegevensbescherming

Inleiding

25 mei 2018 is een belangrijke datum voor alle lidstaten van de Europese Unie (EU) en dus ook voor Nederland aangezien wij lidstaat zijn van de EU. Per deze datum treedt namelijk de Algemene Verordening Gegevensbescherming (‘AVG’) in werking en wordt hiermee de (nationale) Wet Bescherming Persoonsgegevens vervangen. Aangezien de (Europese) AVG rechtstreekse werking heeft in Nederland is de AVG een Nederlandse vertaling van de General Data Protection Regulation (‘GDPR’). Het doel is helder en duidelijk; de bescherming van persoonsgegevens.

Wat zijn de uitgangspunten van de AVG?

Om een kort overzicht te krijgen van de AVG, heeft de AVG een aantal uitgangpunten geformuleerd waar elke verwerking van persoonsgegevens (zie verderop) aan moet voldoen. Zo dient de verwerking van persoonsgegevens als volgt te zijn:

  • Rechtmatig, behoorlijk en transparant;
  • Gebonden aan specifieke verzameldoelen;
  • Ter zake dienend en beperkt tot het noodzakelijke;
  • Juist;
  • Niet langer dan nodig bewaard;
  • Goed beveiligd en vertrouwelijk;

Als verwerkingsverantwoordelijke (zie verderop) bent u gebonden aan deze uitgangspunten en dient u aan te kunnen tonen dat de gegevensverwerking in lijn is met deze uitgangspunten (verantwoordingsplicht).

Is de AVG op mij van toepassing en verwerk ik (persoons)gegevens?

Verwerking is onder de AVG iedere bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens (denk o.a. aan verzamelen, opslaan, wijzigen, gebruiken en verstrekken). Onder persoonsgegevens wordt verstaan, gegevens die:

  • Betrekking hebben op;
  • Een geïdentificeerde, of;
  • Identificeerbare;
  • Natuurlijke persoon.

De AVG is dus niet van toepassing op de verwerking van alle soorten gegevens, echter ‘slechts’ op de verwerking van persoonsgegevens. De AVG is van toepassing indien er sprake is van een geheel of gedeeltelijk geautomatiseerde verwerking van de persoonsgegevens, of van op handmatige wijze verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om in een bestand te worden opgenomen. Verwerkt u dus persoonsgegevens die voldoen aan bovenstaande criteria, dan is de AVG op u van toepassing en bent u verwerkingsverantwoordelijke.

Verwerkingsverantwoordelijke of verwerker?

Zodra is vastgesteld dat de AVG van toepassing is, zijn de verplichtingen uit de AVG van toepassing op de verwerkingsverantwoordelijke. Dit is de natuurlijke- of rechtspersoon die bepaalt welke persoonsgegevens worden verzameld, voor welk doel en op welke manier dit plaatsvindt. Als verwerkingsverantwoordelijke bent u verantwoordelijk voor rechtmatige en zorgvuldige omgang met de persoonsgegevens en bent u verplicht de AVG na te leven. Daarnaast dient u te kunnen aantonen dat u de AVG op een juiste wijze naleeft; dit heet de ‘verantwoordingsplicht’.

Helaas bepaalt de AVG niet hoe u deze verantwoordingsplicht concreet moet invullen. Er wordt slechts aangegeven dat rekening moet worden gehouden met de aard, de omvang, de context en het doel van de verwerking en de daarmee gepaard gaande risico’s voor de betrokkene (de natuurlijke persoon op wie de gegevens betrekking hebben). Vuistregel is dat naarmate de verwerking een hoger risico voor de betrokkenen met zich meebrengt, u meer en/of striktere maatregelen moet nemen ter bescherming van de gegevens en dat u dan ook een uitgebreidere/hogere verantwoordingsplicht heeft.

Naast de verwerkingsverantwoordelijke kan er ook sprake zijn van de/een ‘verwerker’. De verwerker is een persoon of organisatie die ten behoeve van de verwerkingsverantwoordelijke, persoonsgegevens verwerkt zonder dat de verwerker aan het rechtstreekse gezag van de verwerkingsverantwoordelijke onderworpen is. Denk bijvoorbeeld aan een administratiekantoor dat namens een bedrijf de salarisadministratie uitvoert. De verwerker is aan andere verplichtingen onderworpen dan de verwerkingsverantwoordelijke. Het is daarbij tevens van belang dat tussen de verwerkingsverantwoordelijke en de verwerker (schriftelijk) afspraken worden gemaakt omtrent het verwerken van de persoonsgegevens.

Doel van verwerking

Het zonder doel verwerken van persoonsgegevens is uiteraard niet toegestaan. Ook is het niet toegestaan om persoonsgegevens te verwerken met het doel ‘wellicht in de toekomst nuttige persoonsgegevens’. De AVG schrijft voor dat persoonsgegevens mogen worden verwerkt voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. Het doel moet tevens uitdrukkelijk omschreven zijn.

Er is sprake van een doel dat gerechtvaardigd is indien het doel van de verwerking is gebaseerd op één van de zes rechtsgrondslagen die in de AVG worden benoemd. Deze lijst is overigens limitatief waardoor het niet mogelijk is om voor andere doelen persoonsgegevens te verwerken. De zes rechtsgrondslagen zijn:

  1. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  3. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  4. De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  5. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De rechten van de betrokkenen

De betrokkene (de natuurlijke persoon op wie de gegevens betrekking hebben) heeft onder de AVG diverse rechten die tegenover de verwerkingsverantwoordelijke kunnen worden uitgevoerd. Dit zijn de volgende rechten:

  1. Het recht op informatie over de verwerkingen;
  2. Het recht op inzage in zijn gegevens;
  3. Het recht op correctie van de gegevens als deze niet kloppen;
  4. Het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;
  5. Het recht op beperking van de gegevensverwerking;
  6. Het recht op verzet tegen de gegevensverwerking;
  7. Het recht op overdracht van zijn gegevens (dataportabiliteit);
  8. Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.

Als verwerkingsverantwoordelijke bent u verplicht gehoor te geven aan het verzoek van de betrokkene indien een beroep wordt gedaan op een (of meerdere) van bovenstaande rechten. Indien u een verzoek van de betrokkene ontvangt dient u hier binnen een maand op te reageren.

Toezichthouder

In Nederland is de Autoriteit Persoonsgegevens de aangewezen toezichthouder die de naleving van de AVG in de gaten houdt. Tevens stimuleert de Autoriteit Persoonsgegevens de naleving door het verschaffen van informatie over de AVG. De belangrijkste taak van de Autoriteit Persoonsgegevens is het handhaven en monitoren van de toepassing van de AVG. Dit wordt onder andere gedaan door onderzoek en het behandelen van klachten van betrokkenen.

De Autoriteit Persoonsgegevens heeft naast de toezichttaken ook de bevoegdheid tot het nemen van corrigerende maatregelen zoals bijvoorbeeld waarschuwen, maar ook het opleggen van boetes.

Hoe nu verder?

Belangrijk is om bewust te zijn van de inwerkingtreding van de AVG per 25 mei 2018. Controleer dus of u (persoons)gegevens verwerkt en onderhavig bent aan de AVG. Bent u onderhavig aan de AVG dan dient u te zorgen dat de verwerking van (persoons)gegevens voldoet aan de eisen van de AVG.

Heeft u naar aanleiding van dit artikel een vraag of een andere juridische vraag? Neem dan contact op met uw vaste aanspreekjurist bij Keizersgracht Juristen.

K. Peusch

Bronnen:

https://autoriteitpersoonsgegevens.nl/nl

https://www.rijksoverheid.nl/ministeries/ministerie-van-justitie-en-veiligheid

https://hulpbijprivacy.nl/#top