Algemene Verordening Gegevensbescherming (AVG)

Inleiding

Deze tekst is bedoeld om kort en praktisch uitleg te geven over de AVG. Gegeven de grote hoeveelheid tekst kan dat nooit uitputtend zijn. Ook is het niet mogelijk om voor iedere onderneming van leden te weten wat zij doen met betrekking tot privacy. Het bepalen wat bedrijven moeten doen is dan ook niet mogelijk. We hebben een algemeen overzicht gemaakt inclusief links naar wetgeving zodat u zelf kunt bepalen wat u moet doen. Bij twijfel kunt u via de links de wetgeving raadplegen.

Links

Algemene Verordening Gegevensbescherming  (AVG)

Wat is de AVG? De AVG is de nieuwe Europese Verordening die op 25 mei 2018 de huidige Wet Bescherming Persoonsgegevens (WBP) vervangt. Hierbij treft u de Verordening (EU) 2016/679, de Nederlandse Uitvoeringswet AVG en apart de handleiding uit de uitvoeringswet van de AVG aan.
 

Algemeen

Deze verordening is vooral bedoeld voor de google ’s en facebook ’s van deze wereld. Dat neemt niet weg dat ook voor in verhouding kleine tot zeer kleine bedrijven verplichtingen zijn ingevoerd. Die verplichtingen verschillen niet heel veel van de huidige ‘Wet Bescherming Persoonsgegevens’. Wel zijn bedrijven verplicht om goed na te gaan wat ze allemaal verwerken van personen met wie ze in verbinding staan. Voldoen aan de AVG heeft impact voor veel organisaties.
 

Verwerking persoonsgegevens

De Verordening schept verplichtingen bij het verwerken van persoonsgegevens. De nadruk ligt op de verantwoordelijkheid van de organisatie om aan te tonen dat die zich aan de wet houdt. Dit heet de verantwoordingsplicht. De verantwoordingsplicht houdt in dat aangetoond moet kunnen worden dat  de juiste organisatorische en technische maatregelen om aan de AVG te voldoen zijn genomen.
 

Voldoen aan de AVG betekent onder meer:

  • Verwerkingen van persoonsgegevens moeten vastgelegd worden;
  • De reden waarom gegevens vastgelegd worden moet helder zijn;
  • Er mogen alleen maar gegevens vastgelegd en bewaard worden die actief nodig zijn;
  • De informatie moet beveiligd, up-to-date zijn én blijven;
  • Organisatorische maatregelen nemen;
  • Documenten en processen checken;
  • Actieve interne communicatie over de omgang met persoonsgegevens is van belang;
  • De betrokkene moet actief en ondubbelzinnig toestemming geven voor de vastlegging;
  • De betrokkene heeft rechten, o.a. inzage, wijzigen, overdragen en verwijderen.

Informatiebeveiliging

De vastgelegde informatie moet goed beschermd worden. Bij zowel de huidige als toekomstige ICT-systemen dienen de begrippen ‘privacy by default’ en ‘privacy by design’ (Uitvoeringswet AVG - pag. 61) centraal te staan. Kort gezegd betekent dit dat de ICT-omgeving standaard is ingericht om persoonsgegevens op de juiste wijze vast te leggen én te beschermen.
 

AVG handleiding

In de handleiding zijn stroomdiagrammen en checklists opgenomen met verwijzingen naar artikelen uit de uitvoeringswet. In de stroomdiagrammen staan verwijzingen naar paragrafen die uitleg geven over wat er onder de begrippen moet worden verstaan.
 

Wat moeten organisaties doen?

Uit schema 2 (pag.10) en schema 3 (pag.11) blijkt of de Verordening voor u van toepassing is. Als dat niet het geval is hoeft er niets gedaan te worden. 

(klik op de schema's voor een vergroting)
schema 2 - AVG schema 3 - AVG

Met schema 3 (pag.12) kan bepaald worden of iemand verwerkingsverantwoordelijke of verwerker is. Voor relatief kleine organisaties is de formeel verwerkingsverantwoordelijke bijna altijd de directeur of het bestuur (van de rechtspersoon). Op grond van de ‘impliciete bevoegdheid’ zal vaak degene die leiding geeft aan de organisatie (vaak de directeur) de verwerkingsverantwoordelijke zijn (eventueel gezamenlijk met iemand die de verwerking feitelijk uitvoert).
 
Schema 4 is belangrijk binnen de AVG. De rechtmatigheid van de gegevensverwerking. Belangrijk is de doeleinden (het doel) goed te omschrijven. Een en ander moet worden gebaseerd op tenminste één van de grondslagen van de verordening. Daarnaast moeten de belangen afgewogen zijn of worden en transparant zijn.


De zes rechtsgrondslagen volgens schema 4 zijn: (Uitvoeringswet AVG - pagina 36-37)
  1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  4. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
 
Het criterium om binnen de wet gegevens te verwerken is (afgezien van de toestemming onder a) de ´noodzakelijkheid´ van de verwerking om het doel te bereiken.
Naast de expliciete toestemming voor het opslaan van informatie zijn er nog een aantal belangrijke criteria. De verzamelde informatie dient het doel van de organisatie direct te ondersteunen. Oftewel, als organisatie moet u kunnen uitleggen waarom u de informatie heeft of er naar vraagt en waar u dat voor gebruikt.
Bij de uitvoering en het voldoen aan de eisen die de AVG aan bedrijven en natuurlijke personen stelt moet er onderscheid gemaakt worden tussen gegevens van derden zoals relaties en gegevens van werknemers.
 
Schema 5 geeft aan wanneer de betrokkene geïnformeerd moet worden.
Er is geen informatieplicht als de betrokkene al op de hoogte is. Bij leden van een vereniging of medewerkers is dit veelal het geval.
 

Verwerkersovereenkomst

Bij verwerking door anderen moet het zwart op wit staan in een zogenaamde verwerkersovereenkomst. Daarin dient onder andere te worden vastgelegd wat er wordt verwerkt, met welk doel, hoe de beveiliging is geregeld, wat er na afloop gebeurt met de gegevens en wie er eindverantwoordelijk is en wie verwerker.
Afspraken over persoonsgegevens van medewerkers worden binnen een (kleine) organisatie veelal als ‘intern beheer’ gekwalificeerd. Als het geen verwerking door derden maar door een medewerker is moet er een procedure zijn.
  

Datalek 

Alle situaties waarbij persoonsgegevens op verkeerde plaatsen terecht zijn gekomen moeten in principe aan de Autoriteit Persoonsgegevens gemeld worden. Tevens dienen de incidenten altijd intern geadministreerd te worden.

Wat moet er gebeuren?

  • Doeleinden van verwerking persoonsgegevens omschrijven;
  • Omschrijven welke gegevens verwerkt worden;
  • Aan betrokkenen duidelijk maken dat gegevens opgeslagen worden en welke dat zijn;
  • Afmeldmogelijkheid voor betrokkenen creëren;
  • Toestemming vooraf vragen, hierbij duidelijk maken dat zonder toestemming niets verstuurd en/of opgeslagen wordt, gegeven toestemming moet ondubbelzinnig zijn;
  • Betrokkenen expliciet op rechten wijzen;
  • Eventueel verwerkersovereenkomst opstellen;
  • Als er gegevens aan derden verstrekt worden dat vooraf melden en toestemming vragen;
  • Aan betrokkene mededelen wat na toestemming met welk doel verwerkt wordt en hoe men zich af kan melden;
  • Aan medewerkers mededelen hoe aan alle verplichtingen wordt voldaan.



Jan Vogelaar

Jan Vogelaar
Secretaris


Contact:



Dossiers in beheer:

Ledengroepen: Takenpakket:
  • Juridische Zaken


Ga naar boven