Algemene verordening gegevensbescherming (AVG)

De nieuwe privacywetgeving, de AVG, is een Europese wetgeving (Verordening) die al op 25 mei 2016 door de ‘Europese Unie’ is aangenomen. Twee jaar na die datum, dus op 25 mei 2018, is deze Europese wetgeving daadwerkelijk van kracht in alle Europese landen. Dat laatste weten veel organisaties, want de AVG wordt volop onder de aandacht gebracht in Nederland. De termijn van twee jaar is nodig als een soort voorbereidingstijd voor de landen. Dat de AVG de Wet bescherming persoonsgegevens in Nederland vervangt, is ook bij vele bedrijven/overheden bekend.[1]

Wat moet u bijvoorbeeld als een afdeling bij een gemeente, een adviesbureau, een bouw- en infrabedrijf, een makelaarskantoor, een (particuliere) verhuurder of anderszins met de AVG?

Hieronder een aantal antwoorden op een aantal voor de hand liggende vragen ter informatie.

Voor welke organisatie geldt de AVG?

De AVG geldt voor elke organisatie die persoonsgegevens verwerkt.

Denk aan:

  • het verwerken van de persoonsgegevens van werknemers en freelancers;
  • het verwerken van persoonsgegevens van vertegenwoordigers van bedrijven (leveranciers) waar u mee zaken doet;
  • het vragen van antecedenten gegevens van vertegenwoordigers van bedrijven bij aanbestedingen (gedragsverklaring aanbestedingen);
  • het verzamelen van persoonsgegevens om huurderscheck uit te voeren;
  • de persoonsgegevens van derden die op uw website worden achtergelaten (contactformulier).

Dus als uw organisatie gegevens zelf verwerkt of in opdracht van een andere organisatie is de AVG van toepassing.[2]

Denk hierbij aan het volgende.

  • Uw organisatie geeft een extern boekhoudkantoor informatie, persoonsgegevens van uw zakelijke relatie, om deze in zijn systeem te boeken.
  • Of een adviesbureau organiseert aanbestedingen voor een gemeente en de inschrijvers dienen persoonsgegevens in als bestuurders van een bedrijf.

Ook gegevens die in een bestand zijn opgenomen die verwerkt zullen worden vallen in beginsel onder de AVG, enkele uitzonderingen daargelaten.[3]

Kinderen < 16 jaar

Bij het verwerken van gegevens van kinderen onder de 16 jaar is toestemming van de ouder(s)/ rechtsgeldige vertegenwoordiger(s) nodig, ook als de verwerking met een goede reden plaatsvindt.[4]

Mag een organisatie geen gegevens meer verwerken door de AVG?

Voor de verwerking van persoonsgegevens moet een rechtsgeldige reden zijn. Een van de grondslagen genoemd in de wet, artikel 6 AVG, moet een reden vormen voor de verwerking, dan mag het in beginsel wel. Bijvoorbeeld toestemming van desbetreffende persoon, uitvoering van een overeenkomst of omdat de gegevens noodzakelijk moeten worden verwerkt voor de behartiging van de gerechtvaardigde belangen.

Bijzondere gegevens

Het verwerken van bijzondere gegevens is in beginsel verboden. Bijzondere gegevens zijn bijvoorbeeld gezondheidsgegevens van een persoon. Uitzonderingen daargelaten, bijvoorbeeld indien degene uitdrukkelijk toestemming geeft voor het specifieke doel voor het gebruik van zijn/haar gezondheidsgegevens (artikel 10 AVG).

Strafrechtelijke gegevens

  • Verwerking van strafrechtelijke gegevens is niet toegestaan, tenzij een specifieke wet die verwerking toestaat.
  • Per geval dient te worden bekeken of een wettelijke bepaling de verwerking rechtvaardigt.

Welke rechten hebben de betrokkenen nog meer waarvan de gegevens worden verwerkt?

  • Recht op inzage
  • Recht op verwijdering van de gegevens
  • Recht op correctie van de gegevens
  • Recht om bezwaar te maken tegen gegevensbescherming
  • Recht om de gegevensbescherming over te laten dragen aan een ander[5]

Wat zijn de belangrijke verplichtingen voor de organisatie?

Er geldt een verantwoordingsplicht. Als de Autoriteit Persoonsgegevens als toezichthouder erom vraagt, dient u aan te kunnen tonen dat uw organisatie aan de wet/beginselen voldoet. Dat u bijvoorbeeld rechtmatig de gegevens verwerkt en onder meer transparant hebt gehandeld ten aanzien van de verwerking van de gegevens.[6]

Verwerkingsregister

Een van de verplichtingen die daarbij horen is het houden van een verwerkingsregister. Dit is verplicht voor organisaties met meer dan 250 medewerkers en als uw organisatie minder dan 250 medewerkers heeft, wordt dat toch aanbevolen.[7]

Gegevensverwerkers & verwerkingsovereenkomst

Het komt voor dat twee of meer organisaties dezelfde gegevens verwerken. In dat geval moeten ze de onderlinge verantwoordelijkheden vastleggen in een verwerkingsovereenkomst.[8]

Functionaris Gegevensbescherming

Voor overheidsorganisaties geldt zelfs de verplichting om een Functionaris Gegevensbescherming te benoemen die onder andere deskundig is en betrokken is bij de gegevensbescherming binnen de organisaties (artikel 37 en 38 AVG).

Schade die door een persoon wordt geleden doordat een organisatie in strijd handelt met de AVG

Degene die schade lijdt omdat zijn gegevens in strijd met de AVG zijn verwerkt, kan een schadevergoeding vorderen bij desbetreffende organisatie. De persoon kan de schade  zowel bij de verwerker zelf als de opdrachtgever van de verwerker (verwerkingsverantwoordelijke) verhalen.[9] Dus als uw organisatie opdracht geeft aan een andere organisatie die gegevens van een persoon verwerkt en deze in strijd is met de AVG en de persoon schade lijdt, kan hij zowel bij uw organisatie als opdrachtgever als bij de opdrachtnemer (verwerker) terecht voor de schade. Het gaat om materiële en immateriële schade. Uitzondering: als de verwerker of de verwerkingsverantwoordelijke kan bewijzen dat hij op geen enkele manier verantwoordelijk is voor het feit dat tot de schade heeft geleid. In dat geval is hij niet aansprakelijk voor de schade.

De verwerkingsverantwoordelijke en de verwerker kunnen concrete verwerkingsovereenkomst opstellen en daarbij afspraken maken. Ook ten aanzien van aansprakelijkheid en schade[10].

Datalekken, dus inbreuk op beveiligd systeem, moet bij de Autoriteit Persoonsgegevens worden gemeld binnen 72 uur nadat de verwerker of verwerkingsverantwoordelijke het datalek heeft ontdekt/op de hoogte is gesteld.[11]

Boete, bezwaar bij de Autoriteit Persoonsgegevens, beroep bij de bevoegde bestuursrechter van de rechtbank en hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State

De Autoriteit Persoonsgegevens kan forse boetes uitdelen, tegelijkertijd moeten de boetes proportioneel zijn.[12]

  • € 10.000.000,- of 2% van de wereldwijde jaaromzet als procedures in de wet niet worden gevolgd (artikel 84 lid 4 AVG).
  • € 20.000.000 4% van de wereldwijde jaaromzet als er inhoudelijke verplichtingen uit de wet niet worden nageleefd/ of een bevel van de Autoriteit Persoonsgegevens niet wordt opgevolgd (artikel 84 lid 6 AVG).
  • Tegen de opgelegde bestuurlijke boete (bestuursrechtelijke handhaving) staat bezwaar open bij de Autoriteit Persoonsgegevens.
  • Beroep bij de bestuursrechter (rechtbank).
  • Hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State.

Voor vragen, zend een mail naar: info@advocatenkantooroudegracht.nl

Of bel 072-5122213 

De voetnoten

 [1] Artikel 51 Voorstel van wet houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119).

[2] Artikel 4 Voorstel van wet houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119).

[3] Artikel 2, Voorstel van wet houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119).

[4] Artikel 5 lid 1 Voorstel van wet houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119).

 

[5] Zie de website van de AP: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen

 

[6] Zie: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht

 

[7] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht#ben-ik-verplicht-om-een-register-van-verwerkingsactiviteiten-op-te-stellen-6101

 

[8] Artikel 26 AVG.

[9] Artikel 82 lid 1AVG.

[10] Artikel 28 lid 3 AVG.

[11] Artikel 32 en 33 AVG.

[12] Memorie van toelichting bij het voorstel van wet houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119), pagina 25.