Veelgestelde vragen AVG

De Algemene Verordening Gegevensbescherming (AVG) is in mei 2018 ingevoerd. Ondanks dat er veel aandacht aan is besteed, ziet Nysingh in de praktijk dat veel organisaties nog moeite hebben om aan de vereisten te voldoen. Organisaties zitten veelal nog met praktische vragen. Om die reden hebben wij de belangrijkste en meest gestelde vragen voor u op een rij gezet.

Wij geven graag antwoord op al uw vragen rondom de AVG.

Carola van Andel

Advocaat, Partner

1. Wat zijn belangrijke uitgangspunten van de AVG?

De belangrijke uitgangspunten van de AVG zijn:

  • Privacy by design en privacy by default.
  • Betrokkenen hebben uitgebreide rechten.
  • De verwerkingsverantwoordelijke moet aantoonbaar compliant zijn. In veel gevallen is een register van verwerkingsactiviteiten verplicht.
  • Datalekken moeten in veel gevallen worden gemeld bij de Autoriteit Persoonsgegevens en in een aantal gevallen ook bij de betrokken personen.
  • Voor bepaalde typen verwerkingen moet vooraf een zogenaamde Data Protection Impact Assessment (DPIA) worden gedaan.
  • Sommige organisaties moeten verplicht een functionaris voor gegevensbescherming (FG) aanstellen.

2. Wat is ‘privacy by design’ en wat is ‘privacy by default’?

De AVG gaat ervan uit dat organisaties proberen om niet meer persoonsgegevens te verwerken dan noodzakelijk. Dat kan onder meer worden bereikt door bij het inrichten van digitale systemen keuzes te maken die leiden tot een beperking van het aantal verwerkte persoonsgegevens. Bijvoorbeeld door persoonsgegevens waar mogelijk automatisch te anonimiseren (privacy by design) en geen persoonsgegevens te verwerken waar niet vooraf toestemming voor is gegeven, waarbij de keuze aan de betrokkene wordt gelaten om wel of niet bepaalde gegevens in het systeem op te slaan (privacy by default).

3. Welke rechten hebben betrokkenen onder de AVG?

Op grond van de AVG hebben betrokkenen (individuen op wie de persoonsgegevens betrekking hebben) onder meer de volgende rechten:

  • Recht op inzage in de van hen verwerkte persoonsgegevens.
  • Het recht om ‘vergeten’ te worden.
  • Het recht op rectificatie en aanvulling van de van hen verwerkte persoonsgegevens.
  • Het recht om de van hen verwerkte persoonsgegevens over te laten dragen aan een andere partij in een gangbaar format.
  • Het recht om minder gegevens te laten verwerken.
  • Rechten met betrekking tot geautomatiseerde besluitvorming en profilering. Anders gezegd: het recht op menselijke interventie bij besluiten met rechtsgevolgen.
  • Het recht om bezwaar te maken tegen de gegevensverwerking.
  • Het recht op duidelijke informatie over wat de verwerkingsverantwoordelijke met hun persoonsgegevens doet.

Deze rechten zijn niet absoluut, maar wel vergaand.

4. Wanneer moet ik een verzoek om gegevens te wissen inwilligen?

Ieder individu (de betrokkene) kan in beginsel bij de verwerkingsverantwoordelijke die persoonsgegevens over hem of haar verwerkt een verzoek doen tot verwijdering (wissen) van die persoonsgegevens.

 

Een verzoek om persoonsgegevens te wissen moet worden ingewilligd als de verwerking van persoonsgegevens onrechtmatig is, bijvoorbeeld omdat:

  • Het betreffende individu de toestemming voor de verwerking van persoonsgegevens intrekt en er geen andere grondslag is voor de betreffende verwerking.
  • De verwerking is gebaseerd op een gerechtvaardigd belang, terwijl het belang bij bescherming van persoonsgegevens in het betreffende geval zwaarder zou moeten wegen. Let op dat bij direct marketing vaak niet alleen de regels van de AVG gelden, maar ook de regels van de Telecommunicatiewet. Zo moet bij digitale direct marketing onder meer een opt-out-mogelijkheid worden geboden én mag digitale direct marketing alleen in bepaalde gevallen worden verzonden.
  • De bewaartermijn van de gegevens verstreken is.

Een verzoek om persoonsgegevens te wissen mag worden geweigerd als:

  • U de persoonsgegevens nodig hebt om het recht op vrijheid van meningsuiting en informatie te beschermen.
  • De verwerking van de persoonsgegevens noodzakelijk is om te voldoen aan een wettelijke plicht.
  • U de gegevens verwerkt ten behoeve van openbaar gezag of een algemeen belang, bijvoorbeeld op het gebied van volksgezondheid.
  • U de persoonsgegevens in het algemeen belang moet archiveren.
  • U de gegevens nodig hebt voor een rechtsvordering.

5. Op welk moment moet de betrokkene geïnformeerd worden over de verwerking van persoonsgegevens?

Wanneer u de persoonsgegevens van de betrokkene zelf verkrijgt, dan moet de betrokkene over de wijze waarop deze persoonsgegevens worden verwerkt worden geïnformeerd voorafgaand aan, of op het moment dat de persoonsgegevens worden verkregen. Als de persoonsgegevens van een derde worden verkregen dan moet de betrokkene binnen een redelijke termijn na ontvangst van de gegevens worden geïnformeerd. Die termijn mag niet langer zijn dan één maand na ontvangst van de persoonsgegevens.

Veelgestelde vragen avg
6. Voor wie is het register van verwerkingsactiviteiten verplicht?

Een register van verwerkingsactiviteiten is verplicht voor:

  • Organisaties met meer dan 250 medewerkers.
  • Organisaties met minder dan 250 medewerkers als deze organisatie persoonsgegevens verwerkt:
  1. die een hoog risico inhouden voor de rechten en vrijheden van betrokkenen;
  2. waarvan de verwerking niet incidenteel is;
  3. die vallen in de categorie bijzondere persoonsgegevens.

7. Welke gegevens moeten in het register van verwerkingsactiviteiten worden opgenomen?

In het register van verwerkingsactiviteiten moeten in ieder geval de volgende gegevens worden opgenomen:

  • De naam en de contactgegevens van de verwerkingsverantwoordelijke en, indien aangesteld, van de functionaris voor gegevensbescherming.
  • De verwerkingsdoeleinden.
  • De categorieën van persoonsgegevens die worden verwerkt,
  • De categorieën van betrokkenen die het betreft.
  • De categorieën van de ontvangers van persoonsgegevens.
  • Of er doorgifte plaatsvindt aan een derde land of een internationale organisatie, welk land of welke organisatie dat is en de documenten inzake de passende waarborgen.
  • Indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist.
  • Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

8. Wat moet er gebeuren bij een datalek?

Van een datalek is sprake als er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden. Dat is bijvoorbeeld het geval als onbevoegden persoonsgegevens hebben ingezien en/of gekopieerd en als persoonsgegevens verloren zijn gegaan.

 

Als er sprake is van een datalek dan moet de verwerkingsverantwoordelijke dat zonder enige vertraging en indien mogelijk binnen 72 uur melden bij de bevoegde autoriteit (in Nederland: de Autoriteit Persoonsgegevens). Een melding kan alleen achterwege blijven als het onwaarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de individuen op wie persoonsgegevens betrekking hebben.

 

Als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de individuen op wie persoonsgegevens betrekking hebben, moet de verwerkingsverantwoordelijke (enkele uitzonderingen daargelaten) de betreffende individuen ook onverwijld informeren over het datalek.
Een verwerker is verplicht om een datalek zonder onredelijke vertraging te melden bij de verwerkingsverantwoordelijke.

9. Wat is een Data Protection Impact Assessment (DPIA)?

Een Data Protection Impact Assessment (DPIA) of gegevensbeschermingseffectbeoordeling is een uitgebreide toets om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Voor bepaalde verwerkingen is deze toets verplicht.

10. Wanneer moet een DPIA worden uitgevoerd?

U moet een DPIA uitvoeren als een verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

 

Daarvan is in ieder geval sprake als:

  • Systematisch en uitvoerig persoonlijke aspecten worden geëvalueerd.
  • Op grote schaal bijzondere persoonsgegevens worden verwerkt.
  • Op grote schaal mensen in publiek toegankelijk gebied worden gevolgd.

De Europese privacytoezichthouders hebben criteria opgesteld om het risico van een bepaalde verwerking van persoonsgegevens, en dus de noodzaak om een DPIA te bepalen. Daarnaast heeft de Autoriteit Persoonsgegevens een lijst opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint.

11. Wat is een functionaris voor gegevensbescherming (FG)?

Een functionaris voor gegevensbescherming (FG) is een door een organisatie aangestelde persoon die:

  • De organisatie adviseert en informeert over de verplichtingen in verband met de wet- en regelgeving op het gebied van privacy/gegevensbescherming (bijvoorbeeld de AVG of de Uitvoeringswet AVG).
  • Toeziet op de naleving van wet- en regelgeving op het gebied van privacy en gegevensbescherming.
  • Verantwoordelijk is voor het toewijzen van verantwoordelijkheden, de bewustwording bij en de opleiding van medewerkers.
  • Adviseert over DPIA’s en toeziet op de uitvoering daarvan.
  • Indien nodig overleg zoekt met de Nederlandse toezichthouder (Autoriteit Persoonsgegevens) en als contactpersoon voor die toezichthouder fungeert.

Een functionaris voor gegevensbescherming (FG) kan zowel in dienst van een organisatie zijn als extern worden ingehuurd. Als de functionaris voor gegevensbescherming (FG) in dienst van de organisatie is geniet deze een met OR-leden vergelijkbare arbeidsrechtelijke bescherming. Het doel van deze bescherming is om de onafhankelijkheid van de functionaris voor gegevensbescherming (FG) zoveel mogelijk te waarborgen.

12. Voor wie is een functionaris gegevensbescherming (FG) verplicht?

Voor de meeste organisaties is een functionaris voor gegevensbescherming (FG) niet verplicht. De volgende organisaties moeten wel verplicht een functionaris voor gegevensbescherming (FG) aanstellen:

  • Overheidsinstanties: Rijksoverheid, provincies, gemeenten, Kadaster, etc.
  • Publieke organisaties: zorg- en onderwijsinstellingen.
  • Organisaties die op grote schaal individuen volgen.
  • Organisaties die op grote schaal bijzondere gegevens verwerken.
Contact
Sluiten
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors