De Algemene Verordening Gegevensbescherming (AVG) is de Europese wetgeving die ziet op het beschermen van persoonsgegevens. De AVG is in 2018 in werking getreden en is in Nederland rechtsreeks van toepassing. In dit artikel wordt een korte introductie tot de AVG gegeven.
De 10 meest gestelde vragen over Algemene Verordening Gegevensbescherming (AVG)
1. Wat is het doel van de AVG?
De AVG beschermt alleen persoonsgegevens van natuurlijke personen. Gegevens van rechtspersonen vallen daar dus niet onder. Op grond van deze wetgeving is het niet toegestaan om persoonsgegevens te verwerken zonder daar een geldige grondslag voor te hebben.
2. Wat wordt er verstaan onder “persoonsgegevens”?
Het begrip persoonsgegevens wordt in artikel 4 van de AVG breed gedefinieerd. Samengevat komt het neer op vrijwel alle gegevens die herleid kunnen worden naar een natuurlijk persoon. Concrete voorbeelden van persoonsgegevens zijn (voor- en achter)namen, e-mail adressen, adressen, telefoonnummers, medische gegevens, identificatiebewijzen zoals paspoorten en rijbewijzen maar ook foto’s waarop iemand duidelijk herkenbaar is. Het moet wel gaan om gegevens die zijn te herleiden naar een persoon. Het adres van de rechtbank wordt om die reden niet als persoonsgegeven gezien. Een persoonlijk adres weer wel.
3. Wat wordt er bedoeld met “bijzondere persoonsgegevens”?
Bijzondere persoonsgegevens zijn gegevens die gevoeliger zijn dan normale persoonsgegevens. Er gelden daarom strengere eisen voor de verwerking daarvan. Enkele voorbeelden van bijzondere persoonsgegevens zijn medische gegevens, gegevens over iemands politieke voorkeur of gegevens over de etnische afkomst van een betrokkene.
4. Wat wordt er in de AVG verstaan onder “verwerken”?
Ook het begrip ‘verwerken’ wordt in artikel 4 van de AVG breed gedefinieerd. Kort gezegd houdt dat alles in wat er met persoonsgegevens gedaan zou kunnen worden. Daarbij moet u niet alleen denken aan het verzamelen en opslaan, maar ook het bewerken en verwijderen van gegevens. Concrete voorbeelden van verwerking zijn het versturen van een nieuwsbrief naar een e-mailadres, het plaatsen van een foto op een openbaar sociale media profiel (óók als degene die de foto plaatst een natuurlijk persoon betreft), het opslaan van toegestuurde documenten van een (toekomstige) werknemer of het opvragen van contactgegevens.
Niet alleen rechtspersonen of overheidsorganisaties kunnen op grond van de AVG worden aangemerkt als verwerker. De regels omtrent verwerking gelden ook voor natuurlijke personen. De uitzondering op deze regel is het persoonlijk gebruik. Bij bijvoorbeeld het noteren van een verjaardag van een vriend of familielid in de agenda is de AVG niet van toepassing.
5. Wat is de taak van de Autoriteit Persoonsgegevens?
De Autoriteit Persoonsgegevens (de AP) is de autoriteit die belast is met het toezicht op naleving van de AVG. De AP doet dit op verschillende manieren. Zij kan naar aanleiding van een melding of uit eigen beweging onderzoek doen naar de (niet-)naleving van de privacywetgeving.
De AP kan hoge boetes opleggen indien de privacywetgeving niet wordt nageleefd. Zo heeft de AP afgelopen jaar een boete van 290 miljoen euro uitgedeeld aan Uber omdat zij zich niet aan de privacywetgeving hield.
6. Wat zijn de zes grondslagen op basis waarvan persoonsgegevens mogen verwerkt?
De persoonsgegevens mogen worden verwerkt indien:
a. de betrokkene daar toestemming voor heeft gegeven;
Deze toestemming is pas geldig als de betrokkene voldoende wordt geïnformeerd. Dat betekent dat de betrokkene moet weten welke gegevens er worden verwerkt en voor welke doeleinden. In sommige gevallen is het geven van toestemming geen geldige grondslag voor de verwerking van persoonsgegevens (bijv. bij een arbeidsrelatie).
b. dit noodzakelijk is voor het uitvoeren van een overeenkomst;
Soms is het verwerken van persoonsgegevens noodzakelijk voor de uitvoering van de overeenkomst. denk bijvoorbeeld aan een online bestelling. De verzender heeft jouw adres nodig om het pakketje naar je toe te kunnen sturen.
c. dit noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
In sommige gevallen is het verwerken van persoonsgegevens noodzakelijk om te voldoen aan een wettelijke verplichting. Zo is een werkgever verplicht de BSN-nummers van haar werknemers op te vragen in verband met de Wet op de loonbelasting.
d. dit noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
Hierbij kunt u denken aan iemand die in coma in het ziekenhuis ligt en geen toestemming kan geven aan het ziekenhuis om zijn of haar gegevens te verwerken. Deze grondslag kan slechts worden gebruikt indien de verwerking niet op en andere grondslag kan worden gebaseerd.
e. dit noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag;
Deze grondslag wordt met name door de overheid gebruikt.
f. dit noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.
De laatste grondslag wordt vaak gezien als de ‘restcategorie’. Dit betekent echter niet dat deze categorie altijd gebruikt kan worden als het beoogde doel niet onder een van de andere grondslagen kan vallen. Zo kan een nieuwsbrief niet door een organisatie worden verstuurd op grond van deze grondslag. Als een organisatie een nieuwbrief wil versturen, zal dit altijd op basis van toestemming moeten gebeuren. Ook kan deze grondslag bijvoorbeeld niet worden gebruikt voor het verwerken van persoonsgegevens van minderjarigen.
7. Wanneer is er sprake van een datalek en wanneer moet er melding daarvan worden gemaakt?
Op grond van de AVG is er al snel sprake van een datalek, alleen hoeft niet ieder datalek te worden gemeld. Dit is pas verplicht indien het datalek een groot risico vormt voor de rechten en vrijheden van natuurlijke personen. Zo is er op grond van de AVG sprake van een datalek als er per ongeluk een e-mail is verwijderd. Zo een datalek vormt in de meeste gevallen geen groot risico voor rechten en vrijheden de betrokkene. Dat is anders wanneer er een systeem gehackt wordt waarbij onbevoegde personen toegang krijgen tot een groot aantal persoonsgegevens.
Indien er wordt geconcludeerd dat een datalek wel moet worden gemeld bij de toezichthoudende autoriteit (in Nederland is dit de Autoriteit Persoonsgegevens), dan dient dit binnen 72 uur te gebeuren.
8. Wat zijn de gevolgen van het niet-naleven van de AVG?
De toezichthoudende autoriteit kan administratieve boetes opleggen indien de AVG niet wordt nageleefd. Artikel 83 lid 6 noemt een maximum van EUR 20.000.000 of, in geval het een onderneming betreft, maximaal 4% van de totale wereldwijde jaaromzet van het voorgaande boekjaar.
9. Welke persoonsgegevens mag een werkgever van een werknemer in bezit hebben?
Volgens de wet mogen persoonsgegevens alleen worden verwerkt – denk hierbij aan verzamelen, opslaan, aanpassen of verwijderen – als daar een duidelijk doel voor is.
Wat zijn voorbeelden van zulke gegevens? Denk aan een ondertekende arbeidsovereenkomst, functieomschrijving, verslagen van functionerings- of beoordelingsgesprekken, bankgegevens, het Burgerservicenummer (BSN), een kopie van een identiteitsbewijs en, in beperkte mate, gegevens over ziekteverzuim. Werkgevers hebben deze informatie nodig om aan wettelijke en contractuele verplichtingen te voldoen.
Bijzondere persoonsgegevens – zoals gegevens over iemands ras, seksuele voorkeur, politieke overtuiging of religie – mogen niet worden opgeslagen, ook niet als die indirect tot een persoon te herleiden zijn. Voor het verwerken van dit soort gevoelige gegevens gelden strengere regels.
Er moet:
- een gerechtvaardigd verwerkingsdoel zijn;
- toestemming zijn van de werknemer, die vooraf goed geïnformeerd is;
- of de verwerking moet noodzakelijk zijn op grond van verplichtingen uit het arbeidsrecht, de cao of de sociale zekerheidswetgeving.
Zo mag een werkgever bijvoorbeeld wel informatie over de zwangerschap van een werkneemster registreren om deze aan het UWV door te geven.
10. Mag een werkgever medische gegevens bij werknemer opvragen?
Nee, op grond van de AVG mag een werkgever geen medische gegevens van werknemers verwerken of opvragen. Alleen de bedrijfsarts is bevoegd om medische informatie te beoordelen en terug te koppelen of en in hoeverre iemand arbeidsongeschikt is. Daarbij mogen geen medische details worden gedeeld. Sterker nog: een werkgever mag een werknemer niet eens vragen naar de reden van de ziekmelding.
Meer informatie
Mocht u a.d.h.v. dit artikel nog vragen hebben, neem dan contact op met onze specialisten Privacyrecht: