- Herculesplein 213, 3584 AA Utrecht
- +31 30 251 64 24
- info@vanodijk.nl
De Algemene Verordening Gegevensbescherming (AVG) komt eraan… of, euh.. is er eigenlijk al. Deze treedt op 1 mei 2018 formeel in werking. Geen nieuwe Wet, maar een Verordening die vanaf dat moment rechtstreeks in de Europese lidstaten van de EU werkt.
De bijdrage hierover in deze spotlight beoogt geen totaal overzicht te geven van wat de AVG allemaal gaat betekenen – dat is veelomvattend – maar beoogt enig inzicht te geven waar de AVG voor staat. In onze volgende blogs en nieuwsbrieven zal er steeds op diverse voor de praktijk relevante AVG-onderwerpen nader worden ingezoomd.
Nu eerst deel 1, een algemene inleiding.
De AVG is breder dan de nu nog geldende Wet Bescherming Persoonsgegevens. De AVG introduceert een veelomvattende en uitgebreide Europese privacyregeling, te beginnen bij de invoering van een (deels nieuw) begrippenkader.
De AVG kent voor de toepassing in de praktijk belangrijke begrippen, zoals: ”persoonsgegevens”, “bijzondere persoonsgegevens”, “verwerking”, “verantwoordelijke“, “verwerker” en “verwerkersovereenkomst”.
Wanneer kwalificeert bepaalde informatie als een persoonsgegeven? In welke ‘hoedanigheden’ komen deze gegevens in de praktijk voor? Is een kenteken een persoonsgegeven in de zin van de AVG? Of een IP adres? Of een röntgenfoto? En bepaalde onderzoekgegevens?
De zoektocht naar het antwoord op dit soort vragen begint altijd artikel 1 van de AVG: een persoonsgegeven is “iedere informatie betreffende een geidentificeerde of identificeerbare natuurlijke persoon.” In alle door mij hierboven genoemde voorbeelden gaat het inderdaad om persoonsgegevens. Dat is echter in de praktijk niet altijd op voorhand even duidelijk.
Als men in de aanloop naar de inwerkingtreding met de AVG aan de slag gaat, moet men zich allereerst rekenschap geven van de vraag of er gewerkt wordt met persoonsgegevens en zo ja, om welke persoonsgegevens het dan precies gaat. Daarvan zal men zich primair bewust moeten zijn en deze persoonsgegevens zullen steeds specifiek geduid moet worden.
Bij die duiding is direct relevant of er dan mogelijk sprake is van het aanwezig zijn en/of verwerken van een specifieke soort persoonsgegevens, de zogeheten “bijzondere persoonsgegevens”. Daarbij gaat het om een persoonsgegevens, zoals gegevens met betrekking tot ras, etniciteit, politieke opvattingen, genetische gegevens, seksueel gedrag, gegevens over gezondheid. Hierover bepaalt de AGV dat het verboden is deze te verwerken, tenzij wordt voldaan aan de specifiek in de AVG genoemde uitzonderingsmogelijkheden (daarover in een volgende bijdrage meer).
In de vorige zin staat het werkwoord “verwerken”. Wat houdt dat begrip precies in?
Bij het verwerken van persoonsgegevens in de zin van de AVG gaat het om: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens […] al dan niet uitgevoerd via automatische procedures”.
Het begrip ziet concreet op activiteiten zoals: ”verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzenden, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen” van persoonsgegevens. Een hele mond vol activiteiten dus, op grond waarvan het direct duidelijk is hoe breed het toepassingsbereik van de AVG in de praktijk eigenlijk is.
En wie is de zogeheten “verantwoordelijke” in de zin van de AVG?
Dat is degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze.
Zie artikel 4 lid 7 AVG: “natuurlijk of rechtspersoon […] die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt”. Op deze verantwoordelijke rusten allerlei verplichtingen van de AVG zoals, het wettelijk kader naleven, het beoordelen van de rechtmatigheid van de verwerking (is deze in overeenstemming met de AVG), het zorgen voor en het controleren van voldoende beveiliging en geheimhouding, het controleren van het recht op kennisneming of verwijdering en, bepaald niet onbelangrijk, de verplichting om een datalek bij de autoriteit persoonsgegevens te melden.
De “verantwoordelijke” moet onderscheiden worden van de “verwerker”. Dat is de natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verantwoordelijke persoonsgegevens verwerkt.
En omdat de verantwoordelijke ervan uit moet kunnen gaan dat de ingeschakelde verwerker behoorlijk omgaat met persoonsgegevens (de AVG naleeft) – de verantwoordelijke draagt de verantwoordelijkheid als dat niet zo is – geeft de AVG de verplichting om afspraken te maken tussen de verantwoordelijke en de verwerker middels een zogeheten ”verwerkersovereenkomst.”
Tot zover een inleiding op de komst van de AVG.
Als u zich afvraagt wat de inwerkingtreding daarvan voor de eigen onderneming betekent of kan gaan betekenen, dan is kennis van het in deze bijdrage genoemde begrippenkader essentieel. In onze volgende blogs en nieuwsbrieven gaan wij hier dieper op in. Op de hoogte blijven? Meld u dan aan voor onze nieuwsbrief!