Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. De Handleiding AVG geeft een toelichting op de belangrijkste onderwerpen uit de AVG. De belangrijkste aspecten uit de AVG worden hier toegelicht. Vetgedrukte termen worden op deze pagina toegelicht.
Grondslagen van verwerking
Het verwerken van persoonsgegevens is alleen rechtmatig wanneer hiervoor een wettelijke grondslag is. De AVG benoemt zes grondslagen.
Toestemming
De betrokkene kan toestemming geven om de persoonsgegevens te verwerken. De AVG stelt een aantal eisen aan deze toestemming:
- Vrijelijk gegeven: de betrokkene mag niet onder druk worden gezet om toestemming te geven. Als betrokkene geen toestemming heeft, mag dit geen consequenties hebben. Let hierbij ook op machtsverhoudingen, bijvoorbeeld werkgever - werknemer.
- Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Het is niet toegestaan om gebruik te maken van voor-aangevinkte vakjes.
- Geïnformeerd: betrokkenen moeten worden geïnformeerd over de identiteit van de organisatie, het doel van elke verwerking waarvoor toestemming wordt gevraagd, welke persoonsgegevens worden verwerkt en de mogelijkheid voor betrokkene om toestemming in te trekken. Deze informatie moet in duidelijke en eenvoudige taal aan betrokkenen worden gegeven.
- Specifiek: toestemming moet gelden voor een specifieke verwerking en een specifiek doel. Wanneer er sprake is van verwerking voor verschillende doeleinden, dan moet voor die verschillende doeleinden afzonderlijk toestemming worden gevraagd.
- Zorg ervoor dat je kunt aantonen dat de toestemming is gegeven.
- Voor kinderen jonger dan 16 jaar geldt dat één van hun ouders of verzorgers toestemming moet geven.
- Betrokkenen moeten de mogelijkheid hebben hun toestemming in te trekken. Dit moet even makkelijk gaan als het geven van toestemming.
uitvoering van een overeenkomst
Mogelijk is de verwerking van persoonsgegevens noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. De overeenkomst zelf moet niet als doel hebben het verwerken van persoonsgegevens. Als je bijvoorbeeld een aankoop doet in een webshop, dan zijn je adresgegevens nodig om het product te kunnen bezorgen. Als de webshop de persoonsgegevens wil gebruiken om bijvoorbeeld koopgedrag te analyseren, dan is toestemming vereist.
Wettelijke plicht
Wanneer de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, kan op deze grondslag een beroep worden gedaan. Er hoeft niet expliciet in de wet te zijn opgenomen dat persoonsgegevens worden verwerkt bij het uitvoeren van de taak. Een beroep op deze grondslag is niet mogelijk als het gaat om een zeer algemene taak; in die gevallen kan een beroep op de grondslag van algemeen belang of openbaar gezag mogelijk zijn.
Vitale belangen
Wanneer de verwerking noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen, dan is deze rechtmatig. Er is sprake van een vitaal belang wanneer het gaat over een belang dat essentieel is voor iemands leven of gezondheid en je kunt deze persoon niet om toestemming vragen om zijn of haar gegevens te verwerken. Denk bijvoorbeeld aan situaties waarin acuut gevaar dreigt, bijvoorbeeld een grootschalige ramp. Mogelijk is iemand bewusteloos of mentaal niet in staat om toestemming te geven; daarbij moet hulpverlening onmiddelijk op gang komen en is het onmogelijk iedereen toestemming te vragen.
algemeen belang of openbaar gezag
Mogelijk is de verwerking noodzakelijk voor de vervulling van een tak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Het moet hier gaan om een taak die in de wet is vastgelegd en die relevant is voor de organisatie. Het moet voor betrokkenen duidelijk zijn dat hun persoonsgegevens worden verwerkt om die specifieke wettelijke taak uit te voeren.
Gerechtvaardigd belang
Organisaties kunnen zich beroepen op deze grondslag, wanneer de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde. Dit belang moet dan wel zwaarder wegen dan het recht op privacy van de betrokkenen. Er dient hier dus een belangenafweging plaats te vinden.
Beginselen van verwerking
Elke verwerking moet voldoen aan de volgende beginselen:
- Persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verwerkt;
- persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt;
- alleen persoonsgegevens, die noodzakelijk zijn voor het doel mogen worden verwerkt;
- gegevens moeten correct en actueel zijn;
- als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of geanonimiseerd;
- de persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.
Privacy by design en privacy by default
Elke verwerking moet voldoen aan het principe ‘privacy by design’. Dat wil zeggen dat er tijdens het ontwerp al aandacht wordt besteed aan het beschermen van de privacy van betrokkenen. Daarnaast moet elke verwerking voldoen aan het principe ‘privacy by default’. Hierbij worden de standaardinstellingen zo ingericht dat deze de hoogst mogelijke privacybescherming bieden aan betrokkenen.
Verder vereist de AVG expliciet transparantie, waarbij de UT moet kunnen aantonen te voldoen aan de eisen van de AVG. Ook naar de betrokkenen is transparantie vereist: alle informatie moet eenvoudig toegankelijk en begrijpelijk zijn.
Elke nieuwe verwerking waarbij een nieuwe technologie worden gebruikt of die leidt tot een hoog risico voor betrokkenen moet worden voorafgegaan door een DPIA.
Verwerkingsregister
Alle verwerkingen van persoonsgegevens moeten worden opgenomen in het verwerkingsregister. Hierin moet van elke verwerking in ieder geval de grondslag, het doel, de (categorieën) betrokkenen, de (categorieën) persoonsgegevens, de bewaartermijn en de technische en organisatorische maatregelen worden opgenomen.
Verwerkingen met een breed toepassingsgebied binnen de UT worden door de betreffende privacy contactpersoon (PCP) of de functionaris gegevensbescherming (FG) opgenomen in het register. Ben je van mening dat je te maken hebt met een (nieuwe) verwerking die in het register moet staan? Neem dan contact op met je PCP en/of de FG.
Verwerkingen die op zichzelf staan, waaronder onderzoek waarin persoonsgegevens worden verwerkt, moeten worden aangemeld.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) is in Nederland verantwoordelijk voor het toezicht op de naleving van de privacywetgeving. In het kader van toezicht kunnen zij onderzoek doen naar mogelijke overtredingen, voorafgaand aan ingebruikname risicovolle verwerkingen onderzoeken en gedragscodes toetsen. Daarnaast hebben zij een adviserende rol ten aanzien van nieuwe wet- en regelgeving en een rol om organisaties voor te lichten, bijvoorbeeld in de vorm van beleidsregels. De AP heeft internationale taken als toezichthouder bij grensoverschrijdende verwerkingen en deelnemer aan internationale samenwerkingsverbanden. Verder zijn zij bevoegd organisaties boetes op te leggen wanneer zij niet voldoen aan de privacywetgeving.