Algemene Verordening Gegevensbescherming (AVG)

Elke verwerking van persoonsgegevens raakt de privacy van de betrokkene. Persoonsgegevens mogen dan ook niet zomaar worden verwerkt. In de Europese Unie geldt hiervoor uniforme privacywetgeving: de AVG.

Met de komst van de AVG zijn de privacyrechten van betrokkenen versterkt en uitgebreid, en zijn meer verantwoordelijkheden voor organisaties vastgelegd.

In dit verband hebben privacytoezichthouders daarbij ook bevoegdheden gekregen zoals het opleggen van forse geldboetes wanneer de AVG niet (voldoende) wordt nageleefd. In Nederland is de Autoriteit Persoonsgegevens (AP) de nationale privacytoezichthouder.

Hoe voldoe je aan de AVG?

In bepaalde gevallen is het nodig om persoonsgegevens te verwerken, bijvoorbeeld voor een specifieke dienstverlening. Zorg er daarom voor dat elke vraag naar of verwerking van persoonsgegevens – hetzij in formulieren of op een andere manier – in ieder geval:

  • Kritisch is getoetst aan de vereisten die voortvloeien uit de AVG;
  • Waar nodig is voorgelegd aan de departementale Functionaris voor de Gegevensbescherming (FG) of de AP;
  • Is voorzien van een duidelijke, begeleidende uitleg voor de betrokkene.

Formele basis en verplichting

Sinds 25 mei 2018 is de AVG van kracht. De officiële EU-term hiervoor is de Engelse benaming: General Data Protection Regulation (GDPR).

De AVG heeft overigens enige ruimte gelaten voor nationale keuzes op het gebied van uitvoering. Dit is in Nederland verder ingevuld in de Uitvoeringswet AVG (UAVG).

Aanvullende informatie: gegevensverkeer buiten de EU

Op basis van de AVG mogen persoonsgegevens alleen worden doorgegeven aan een land buiten de EU als er sprake is van een passend beschermingsniveau. 

In de praktijk betekent dit onder andere dat de Rijksoverheid ten aanzien van de verwerking van persoonsgegevens niet zonder meer gebruik kan maken van producten en/of diensten die op enigerlei wijze vallen onder wetgeving buiten de EU.

Een voorbeeld ter illustratie. De VS kent qua wetgeving een andere visie op privacy dan de EU. Hierdoor zijn uit de VS afkomstige webdiensten (bijvoorbeeld webanalyses of clouddiensten) waarbij persoonsgegevens aldaar worden opgeslagen niet zomaar door de Rijksoverheid te gebruiken.

Om hier goed mee om te gaan verwijzen wij naar de website van de Autoriteit Persoonsgegevens, waar meer praktische informatie te vinden is.