De AVG een ABC'tje?

01-03-2018
De AVG een ABC'tje?

Vanaf 25 mei 2018 is op de verwerking van persoonsgegevens de nieuwe Europese regelgeving van toepassing. Die regels zijn te vinden in de Algemene Verordening Gegevensbescherming (AVG). Is de AVG voor u een ABC’tje? Denk er niet te makkelijk over en laat u voorlichten door een van onze advocaten!

Achtergrond van de AVG

De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht van iedere burger in de Europese Unie. Krachtens artikel 8 lid 1 van het Handvest van de grondrechten van de Europese Unie en artikel 16 lid 1 van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens. Sinds 24 oktober 1995 is de bescherming van persoonsgegevens geregeld in de Richtlijn 95/46/EG van het Europees Parlement en de Raad.

Tussen 1995 en 2018 is er veel veranderd: de samenleving is meer en meer gedigitaliseerd. De wet- en regelgeving op het gebied van bescherming van persoonsgegevens is daarom aan vernieuwing toe. Het is om die reden dat een nieuwe verordening is opgesteld: de Algemene Verordening Gegevensbescherming (AVG).

Definities in de AVG

Op grond van artikel 4 AVG wordt onder 'persoonsgegevens'verstaan alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ('de betrokkene'). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een zogenoemde 'identificator', zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Onder 'verwerking' wordt verstaan een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Regels voor de verwerking van persoonsgegevens

De verwerking van persoonsgegevens is in de AVG aan (nadere) regels gebonden. De verwerking is op grond van artikel 6 lid 1 AVG vanaf 25 mei 2018 alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

  1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  4. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De belangrijkste bepaling hier is het toestemmingsvereiste van artikel 6 lid 1 sub a AVG. De artikelen 7 en 8 AVG geven nadere voorwaarden voor toestemming.

Beginselen van de AVG inzake verwerking van persoonsgegevens

Met alleen toestemming bent u er nog niet. Artikel 5 AVG geeft namelijk de beginselen die gelden voor de verwerking van persoonsgegevens. Op grond van lid 1 van artikel 5 AVG moeten persoonsgegevens:

  1. worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is ('rechtmatigheid, behoorlijkheid en transparantie');
  2. voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt ('doelbinding');
  3. toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt ('minimale gegevensverwerking');
  4. juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren ('juistheid');
  5. worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is ('opslagbeperking');
  6. door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging ('integriteit en vertrouwelijkheid').

Degene die persoonsgegevens verwerkt is verantwoordelijk voor de naleving van de in artikel 5 lid 1 genoemde beginselen en dient dat op grond van artikel 5 lid 2 AVG aan te kunnen tonen ('verantwoordingsplicht').

Sancties bij niet-naleving AVG

Verwerkt u persoonsgegevens, maar voldoet u niet aan de regels van de AVG, dan kan aan u een sanctie worden opgelegd door de toezichthoudende autoriteit. In Nederland is dat de Autoriteit Persoonsgegevens. Een van de sancties is het opleggen van een administratieve geldboete (artikel 83 AVG).

Rechten van betrokkenen

Verder is van belang dat de AVG de betrokkenen rechten geeft zoals het inzagerecht van artikel 15, het recht op rectificatie van artikel 16 en het recht op gegevenswissing ('recht op vergetelheid') van artikel 17 AVG. Ook om die reden dient u c.q. uw organisatie voorbereid te zijn op de nieuwe regels inzake bescherming van persoonsgegevens.

Tot slot...

De AVG schept verplichtingen voor diegenen die persoonsgegevens verwerken en rechten voor betrokkenen. Bovendien kunnen sancties worden opgelegd door de toezichthoudende autoriteit wanneer u c.q. uw organisatie in strijd handelt met de verplichtingen en/of beginselen van de AVG.

De AVG is zeker geen ABC’tje. Laat u daarom tijdig voorlichten door een van onze advocaten.

mr. J.T. Mudde