Algemene verordening gegevensbescherming (AVG) in het kort

In de Algemene verordening gegevensbescherming (AVG) staan in het kort de belangrijkste privacyregels voor het verwerken van persoonsgevoelige informatie van burgers uit landen van de EU. Vanaf 25 mei 2018 geldt dezelfde Europese privacywetgeving in alle landen van de EU. In Nederland heeft de invoering van de AVG de Wet bescherming persoonsgegevens (Wbp) vervangen. De Engelse benaming voor de AVG is 'General Data Protection Regulation' (GDPR). De AVG beschrijft wanneer organisaties persoonsgegevens mogen verwerken, welke privacyrechten betrokkenen hebben bij persoonsgegevensverwerking, welke persoonsgegevens organisaties mogen verwerken, en wat de verantwoordingsplicht van organisaties inhoudt.

Doelen van de AVG

De regelingen van de AVG zijn op 25 mei 2018 ingevoerd ter behartiging van een aantal doelen:

1. Het verbeteren van de privacyrechten van betrokkenen.
2. De verantwoordingsplicht van organisaties omtrent de verwerking en bescherming van persoonsgegevens.
3. Dezelfde bevoegdheden voor álle Europese privacy-toezichthouders met betrekking tot de naleving van de AVG.

Wat zijn persoonsgegevens?

Alle informatie over iemands identiteit behoort tot de persoonsgegevens van die persoon. Ook wanneer informatie niet direct over iemand gaat, maar wel indirect informatie over diegene weergeeft, gaat het om persoonsgegevens van een betrokkene (een betrokkene is degene over wie persoonsgegevens worden verwerkt).

Toestemming van betrokkene voor persoonsgegevensverwerking

Organisaties verwerken soms zeer persoonsgevoelige informatie over personen en hierom is het voor betrokkenen van belang dat dit gebeurt met een correct doel. Hierom dient een organisatie een betrokkene voor elk doel waarvoor deze organisatie de persoonsgegevens wil verwerken specifiek om toestemming te vragen. Dit verbetert het recht op privacy van betrokkenen, omdat zij in de meeste gevallen zelf mogen bepalen voor welk(e) doel(en) organisaties persoonsgegevens mogen verwerken.

Wettelijke plicht van organisaties voor persoonsgegevensverwerking

Er bestaan gevallen waarin een organisatie wettelijk verplicht is om persoonsgegevens te verwerken. In dat geval hoeft een organisatie een betrokkene niet eerst om toestemming te vragen. De gronden op basis waarvan een organisatie persoonsgegevens mag verwerken zijn limitatief: alleen op basis van een van de AVG-grondslagen die de AVG beschrijft, mag een organisatie persoonsgegevens over betrokkenen verwerken. In een aantal gevallen gelden er aanvullende voorwaarden, waarbij de plicht bestaat van de aanwezigheid van een aanvullende grondslag uit het Lidstatelijk recht of het Unierecht.

Autoriteit Persoonsgegevens

Indien een betrokkene van mening is dat zijn of haar gegevens op een incorrecte wijze door een organisatie zijn verwerkt, dan kan diegene een klacht indienen bij de autoriteit persoonsgegevens (AP).

Verschillende categorieën persoonsgegevens

Er zijn verschillende soorten persoonsgegevens, zoals de 'gewone' persoonsgegevens: de naam, adres en woonplaats van een persoon, de 'bijzondere' persoonsgegevens: de meer persoonsgevoelige informatie over een persoon, zoals iemands etnische, medische, religieuze of godsdienstige gegevens. De 'strafrechtelijke' persoonsgegevens zijn bijvoorbeeld gegevens over iemands strafrechtelijke veroordelingen. In totaal beschrijft de AVG 3 verschillende categorieën van persoonsgegevens.

AVG-grondslagen

De gewone persoonsgegevens van betrokkenen mogen door organisaties worden verwerkt als er sprake is van een van de zes AVG-grondslagen voor persoonsgegevensverwerking.

AVG-privacyrechten

Elke betrokkene kan zijn/haar privacyrechten inroepen omtrent de verwerking van zijn of haar persoonsgegevens. Betrokkenen beschikken in totaal over 8 privacyrechten zoals staan beschreven in de regelingen van de AVG. De invoering van de AVG heeft twee (nieuwe) privacyrechten geïntroduceerd, waardoor het recht op privacy van burgers uit de EU is uitgebreid door een betere bescherming hiervan.

AVG-verantwoordingsplicht

De verantwoordelijke organisaties leggen verantwoording af aan een en dezelfde Europese privacy-toezichthouder over het gevoerde beleid betreffende persoonsgegevensverwerking en de naleving van de regelingen van de AVG. Dit wordt de verantwoordingsplicht genoemd.

Lees verder

• AVG: Wat zijn de categorieën van persoonsgegevens?
• AVG: de grondslagen voor het verwerken van persoonsgegevens
• AVG: Welke privacyrechten bij persoonsgegevensverwerking?
• AVG: Wat is de betekenis van de verantwoordingsplicht?