Algemene verordening gegevensbescherming (AVG)

De Algemene verordening gegevensbescherming (AVG) regelt de privacyrechten van mensen. Deze nieuwe wet – ook wel bekend als GDPR (General Data Protection Regulation) – heeft per 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangen. Vanaf die datum geldt in de hele Europese Unie (EU) dezelfde privacywetgeving.

op deze pagina

    In de Algemene verordening gegevensbescherming (AVG) staat wat de verantwoordelijkheden van organisaties zijn met betrekking tot de verwerking van persoonsgegevens. Ook bepaalt de AVG wat werkgevers wel en niet mogen doen met personeelsgegevens. Daarnaast staan de rechten van werknemers erin beschreven.

    wat zijn persoonsgegevens?

    De Autoriteit Persoonsgegevens (AP) is in Nederland de toezichthouder op naleving van de wettelijke regels voor bescherming van persoonsgegevens. Volgens de AP is een persoonsgegeven elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.

    soorten persoonsgegevens

    Er zijn verschillende soorten persoonsgegevens. Voor de hand liggende ‘gewone’ gegevens zijn iemands naam, adres, woonplaats en telefoonnummer(s). Deze gegevens mogen organisaties verwerken als daarvoor een wettelijke grondslag bestaat.

    Bijzondere persoonsgegevens zijn gegevens over geloofsovertuiging, ras, seksuele geaardheid, gezondheid, lidmaatschap van een vakvereniging of gegevens over iemands fysiologie of gezondheid. Tenzij de organisatie zich kan beroepen op een specifiek wettelijke uitzondering, is het verboden deze gegevens te verwerken. Dat geldt ook voor strafrechtelijke gegevens of gegevens die te maken hebben met onrechtmatig of hinderlijk gedrag waarvoor een verbod is opgelegd.

    verwerken persoonsgegevens

    Organisaties verwerken persoonsgegevens. Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens. Hieronder onder vallen de volgende handelingen: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

    Niet iedere organisatie mag zomaar persoonsgegevens verwerken. Daarvoor moet een zogeheten wettelijke grondslag bestaan.

    veranderingen per 25 mei 2018

    De AVG heeft per 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangen. Daarmee:

    • zijn de privacyrechten van mensen versterkt en uitgebreid
    • hebben organisaties meer verantwoordelijkheden gekregen (zoals de verantwoordingsplicht)
    • hebben alle Europese privacytoezichthouders dezelfde bevoegdheden gekregen.

    versterking en uitbreiding van privacyrechten

    Mensen hebben meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Zo moeten organisaties kunnen bewijzen dat zij een geldige grondslag hebben om hun persoonsgegevens te verwerken. Het moet ook voor iedereen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

    Met de inwerkingtreding van de AVG kunnen mensen voortaan ook eisen dat derden – namelijk alle andere organisaties die gegevens van een organisatie hebben gekregen – te vragen hun persoonsgegevens te verwijderen.

    meer verantwoordelijkheden voor organisaties

    Organisaties die persoonsgegevens verwerken hebben een verantwoordingsplicht gekregen. Dit houdt in dat zij, met documenten, moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Daarnaast is er onder meer het volgende voor organisaties veranderd:

    Europese privacytoezichthouders

    Alle Europese privacytoezichthouders hebben dezelfde bevoegdheden, ook om boetes op te leggen. In Nederland is dat de Autoriteit Persoonsgegevens (AP).

    Meer informatie over de Algemene verordening gegevensbescherming (AVG) vindt u in het Dossier AVG op AutoriteitPersoonsgegevens.nl.

    boetes

    Overtredingen van deze wet kunnen oplopen tot boetes van 20 miljoen euro of 4% van de wereldwijde jaaromzet.