AVG Algemeen

Vanaf 25 mei 2018 geldt de nieuwe Europese privacywet: de Algemene Verordening Gegevensbescherming (AVG)

Met deze wet krijgen burgers meer zeggenschap over hun persoonsgegevens. Zo mogen zij hun gegevens inzien, laten wijzigen of zelfs volledig laten wissen. Dit geldt niet als de persoonsgegevens worden verwerkt voor journalistieke doeleinden. Lees hier over AVG & Journalistiek

Wat is een persoonsgegeven?

Persoonsgegevens zijn alle gegevens die informatie bevatten over een persoon. Het gaat dan om gegevens waarmee een persoon geïdentificeerd wordt of op eenvoudige wijze te identificeren is. Is een persoon niet identificeerbaar dan is de AVG niet van toepassing.

Persoonsgegevens zijn niet alleen namen en adressen maar ook bijvoorbeeld IP-adressen en foto’s. Een foto is zelfs een bijzonder (biometrisch) persoonsgegeven als het wordt gemaakt ter identificatie van een persoon.  

Om de identiteit van een persoon vast te stellen wordt gebruik gemaakt van zogenaamde ‘identificatoren’. Daarbij kan worden gedacht aan iemands naam, adres en geboortedatum. Deze gegevens zijn in combinatie zo uniek voor een bepaalde persoon, dat deze daarmee geïdentificeerd kan worden. Personen kunnen ook worden geïdentificeerd op basis van minder directe identificatoren: uiterlijke kenmerken (lengte, postuur, haarkleur) sociale en economische kenmerken (beroep, inkomen en opleiding)  en online identificatoren zoals IP-adressen. Door onderlinge samenhang of door koppeling aan andere gegevens kunnen deze leiden tot identificatie. Een persoon is dan identificeerbaar.

Bij de beoordeling of er sprake is van identificeerbaarheid moeten de mogelijkheden van de verwerkingsverantwoordelijke (of een derde) om de identificatie tot stand te brengen worden meegewogen. Niet iedere verwerkingsverwantwoordelijke beschikt over dezelfde middelen, technologieën en mogelijkheden om iemand te identificeren. Het kan dus zijn dat een gegeven voor de ene verwerkingsverantwoordelijke (bijv. Facebook) wel een persoonsgegeven is, maar voor de andere verwerkingsverantwoordelijke (bijv. freelance fotograaf) niet.

Grondslag voor verwerking

De AVG is van toepassing als er sprake is van het verwerken van een persoonsgegeven. Bij verwerken gaat het kort gezegd om alle handelingen die met persoonsgegevens kunnen worden uitgevoerd zoals opvragen, gebruiken, verzamelen, bewerken, verstrekken, verkopen en vernietigen.

Het verwerken van persoonsgegevens is onder de AVG alleen toegestaan als daar een wettelijke grondslag voor is. De AVG kent 6 grondslagen:

  • Toestemming van de betrokken persoon
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst
  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting
  • De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen
  • De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
  • De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen zoals bijvoorbeeld voor journalistieke doeleinden

Kan je de gegevensverwerking, bijvoorbeeld het maken van de foto maken en opslaan daarvan op je computer, niet baseren op minimaal één van deze grondslagen dan heb je niet het recht de persoonsgegevens te verwerken.

Doel

Persoonsgegevens mogen alleen worden verwerkt voor een vooraf uitdrukkelijk omschreven en gerechtvaardigd doel.

Verantwoordingsplicht

Onder de AVG geldt een verantwoordingsplicht

Je moet kunnen aantonen dat jouw verwerking van persoonsgegevens voldoet aan de regels van de AVG. Het is daarvoor aan te raden je gegevensverwerking in kaart te brengen: welke persoonsgegevens verwerk je, met welk doel, op welke manier bewaar je de gegevens en hoe is dat beveiligd,  wie heeft toegang tot deze persoonsgegevens, wanneer en hoe hebben de betrokkene hiervoor toestemming gegeven?

De verantwoordingsplicht houdt onder andere in dat je moet kunnen aantonen dat als je iemand om toestemming hebt gevraagd je dat op de juiste manier hebt gedaan.

Toestemming

Vraag je toestemming voor het verwerken van persoonsgegevens  dan geldt voor die toestemming een aantal eisen. Voldoet de toestemming daar niet aan dan heb je geen rechtsgeldige toestemming en mag je de persoonsgegevens dus niet verwerken.

De toestemming moet aan de volgende eisen voldoen:

  • vrijelijk gegeven: je mag iemand dus niet onder druk zetten
  • ondubbelzinnig: er is een actieve handeling van de betrokken persoon nodig
  • geïnformeerd: je moet mensen informeren over: 1. jouw identiteit als organisatie; 2. het doel van elke verwerking waarvoor je toestemming vraagt; 3. welke persoonsgegevens je verzamelt en gebruikt; 4. het recht dat mensen hebben om de toestemming weer in te trekken. Deze informatie moet je in eenvoudige en duidelijk taal aanbieden.
  • Specifiek: de toestemming moet steeds gelden voor een specifiek doel en een specifieke verwerking. Per verwerkingsdoel heb je dus toestemming nodig. Het doel mag niet gaandeweg veranderen, dan moet je opnieuw toestemming vragen.

Verwerkersovereenkomsten

Als je een derde inschakelt voor de verwerking van persoonsgegevens – denk daarbij bijvoorbeeld aan alle ict-diensten die je gebruikt (bijv. e-mail, cloudopslag) – dan moet je met die organisatie een ‘verwerkersovereenkomst’ sluiten waarin is bepaald dat die organisatie de gegevens niet voor eigen doelen mag verwerken en niet verder zal verwerken dan waarvoor jij toestemming hebt gegeven. De verwerker is ook verplicht een bepaald beschermingsniveau te bieden. Jij blijft echter zelf verantwoordelijk voor de correcte naleving van de AVG. 

In de verwerkersovereenkomst staat onder andere het onderwerp van en de aard en duur van de gegevenswerking, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van partijen.   

Beveiligingsplicht

Je bent verplicht de persoonsgegevens die je verwerkt passend te beveiligen. De AVG schrijft voor dat je passende technische en organisatorische maatregelen treft om een op het risico afgestemd beveiligingsniveau te waarborgen.

Meldplicht datalek

Je hebt onder de AVG de verplichting ieder datalek te registreren. Er is sprake van een datalek als er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Bijvoorbeeld door inbraak op je databestand (hack) maar ook als je bijvoorbeeld een usb-stick met data bent verloren of als je laptop met data wordt gestolen of ergens hebt laten liggen. Een datalek moet je binnen 72 uur melden aan de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens kan fikse boetes opleggen voor het niet melden van een datalek. De registratie-meldplicht geldt overigens niet als de gegevens zijn verwerkt voor uitsluitend journalistieke doeleinden.

Rechten van betrokkenen

Onder de AVG krijgen mensen het recht op:

Deze rechten gelden niet als de persoonsgegevens uitsluitend worden verwerkt voor journalistieke doeleinden. De rechten gelden dus wel als je de gegevens voor andere doeleinden verwerkt, denk aan administratie, facturatie en wellicht online tracking diensten op je website.

Informatieplicht (privacyverklaring)

Op grond van artikel 13 AVG heb je een informatieplicht als je persoonsgegevens verwerkt. Je moet mensen duidelijk en schriftelijk informeren wat je met hun persoonsgegevens doet. Dat kan je doen met een online privacyverklaring.  De informatieplicht (privacyverklaring) is niet verplicht als je de persoonsgegevens uitsluitend verwerkt voor journalistieke doeleinden.

De informatieplicht houdt in dat je betrokkene informeert vóór het moment dat je de persoonsgegevens ontvangt. Bijvoorbeeld door de privacyverklaring duidelijk vindbaar op je website te plaatsen en een hyperlink naar de privacyverklaring op te nemen in de handtekening van je e-mail.
Als je persoonsgegevens niet van de betrokkene zelf ontvangt maar via een derde dan moet je de betrokkene binnen 30 dagen informeren.

De privacyverklaring  moet in duidelijke en eenvoudige taal zijn opgesteld en kort en bondig zijn geformuleerd. Lees hier hoe je een privacyverklaring opstelt. 

In de privacyverklaring staat onder andere:

  • de identiteit en contactgegevens van je bedrijf
  • doeleinden van de verwerking
  • rechtsgrond van de verwerking (bij gerechtvaardigd belang, belang en motivatie noemen (bedrijfsbelang, journalistieke doeleinden)
  • welke persoonsgegevens per doel gebruik worden
  • de rechten van betrokkene (waaronder recht op intrekken toestemming)
  • bewaartermijn gegevens (niet langer dan noodzakelijk, daarna alleen als pseudoniem)
  • hoe de gegevens en de verwerking beveiligd is
  • gevolgen niet verstrekken gegevens ingeval van wettelijke of contractuele verplichting
  • klachtrecht bij AP
  • welke partijen de persoonsgegevens ontvangen
  • of er profilering wordt toepast op de persoonsgegevens

Let op: een privacyverklaring kan niet worden gebruikt om toestemming te vragen voor de verwerking. Toestemming moet je apart en duidelijk vragen.

Korte checklist

  • verwerk ik persoonsgegevens?
  • uitsluitend voor journalistieke doeleinden?
  • onder welke grondslag?
  • ingeval van toestemming, heb ik bewijs daarvan en voldoet de toestemming aan de AVG eisen?
  • met welk doel?
  • hoe lang bewaar ik de gegevens?
  • is de beveiliging adequaat?
  • wie heeft toegang tot de persoonsgegevens?
  • heb ik verwerkersovereenkomsten nodig en met wie?
  • heb ik een procedure bij datalekken?
  • heb ik een privacyverklaring?

Het is aan te raden een verwerkingsregister op te stellen waarin je bovenstaande vragen documenteert voor iedere verwerking zodat je weet wat je doet. Het bijhouden van een register is niet verplicht als het een incidentele verwerking betreft door een bedrijf met minder dan 250 werknemers.

Zie voor specifieke regels en wetgeving ook de volgende artikelen: