AVG

Wat is de AVG?

De AVG, we dienen er allemaal rekening mee te houden. Maar wat is de AVG precies? En nog belangrijker, hoe zorgt u ervoor dat u deze Algemene verordening gegevensbescherming niet overschrijdt? We nemen u in dit blog mee in de AVG.

Wat is de AVG precies?

De AVG staat voor Algemene Verordening Gegevensbescherming, ook wel bekend als GDPR (General Data Protection Regulation) in het Engels. De AVG is een Europese wet die op 25 mei 2018 in werking is getreden.

De wet geldt voor alle organisaties die persoonlijke gegevens van EU-burgers verwerken, ongeacht waar de organisatie zich bevindt. De wetgeving heeft als doel om de privacy van individuen te beschermen en de manier waarop organisaties omgaan met persoonlijke gegevens te reguleren.

Het stelt onder meer eisen aan de manier waarop persoonlijke gegevens worden verzameld, gebruikt, opgeslagen en gedeeld, en geeft individuen meer controle over hun persoonlijke gegevens. Organisaties die niet aan de AVG voldoen, kunnen worden beboet.

Wat houdt de AVG precies in?

De AVG regelt dus wat er allemaal wel en niet mag met de persoonsgegevens van mensen. Bij elk gebruik van persoonsgegevens geldt dat de privacyinbreuk zo klein mogelijk moet zijn. We bespreken de zeven belangrijkste elementen van de AVG:

  1. Rechten van individuen: De AVG geeft individuen meer controle over hun persoonlijke gegevens en stelt hen in staat om te weten welke gegevens worden verzameld, waarom en hoe ze worden gebruikt.
  2. Toestemming: Organisaties moeten toestemming verkrijgen van individuen voordat ze hun persoonlijke gegevens kunnen verzamelen, gebruiken en delen. De toestemming moet specifiek, vrijwillig, geïnformeerd en ondubbelzinnig zijn.
  3. Verwerkersovereenkomsten: Organisaties moeten een schriftelijke overeenkomst hebben met elke verwerker van persoonlijke gegevens, waarin de verwerking van persoonlijke gegevens wordt geregeld.
  4. Data Protection Impact Assessment (DPIA): Organisaties moeten een DPIA uitvoeren wanneer zij persoonlijke gegevens verwerken die een hoog risico vormen voor de privacy van individuen.
  5. Datalekken: Organisaties moeten alle datalekken melden aan de toezichthouder en aan de betrokken individuen, tenzij het datalek geen risico vormt voor de rechten en vrijheden van de betrokkenen.
  6. Verantwoordingsplicht: Organisaties moeten aantonen dat zij voldoen aan de AVG door middel van documentatie, beleid en procedures.
  7. Boetes: Organisaties die niet voldoen aan de AVG kunnen worden beboet tot maximaal 4% van hun wereldwijde jaaromzet of 20 miljoen euro, afhankelijk van welk bedrag hoger is.

Naast deze zeven eisen zijn er natuurlijk veel meer eisen en bepalingen die nageleefd moeten worden.

Waar zorgt de AVG voor?

De AVG zorgt voor een duidelijke wetgeving omtrent de privacy van burgers uit de Europese Unie. Deze wet sluit ook beter aan op het digitale tijdperk waarin we leven. De wet geeft u, als burger, meer rechten en organisaties meer verantwoordelijkheid om zorgvuldig met (digitale) persoonsgegevens om te gaan.

Ook brengt de AVG een consistente wetgeving. Het is een uniforme wetgeving die geldt voor alle EU-lidstaten. Dit betekent dat organisaties die actief zijn in de EU dezelfde regels moeten volgen. Dit maakt het voor individuen makkelijker om hun rechten uit te oefenen en geeft organisaties duidelijke richtlijnen voor gegevensbescherming.

Wie valt onder de AVG?

Zoals u al hebt kunnen lezen, is de AVG van toepassing op alle organisaties die persoonlijke gegevens verwerken van EU-burgers, ongeacht waar de organisatie zich bevindt. Dit omvat niet alleen organisaties die gevestigd zijn in de EU, maar ook organisaties die gevestigd zijn buiten de EU en die goederen of diensten aanbieden aan EU-burgers of hun gedrag monitoren.

De AVG is van toepassing op alle sectoren, waaronder de publieke sector en de private sector, als bedrijven, non-profitorganisaties, overheidsinstanties en gezondheidszorginstellingen. Het maakt niet uit hoe groot de organisatie is, of het nu gaat om een klein bedrijf of een grote multinational.

Individuen, of het nu gaat om werknemers, klanten, patiënten of anderen, vallen ook onder de bescherming van de AVG. Zij hebben het recht om te weten welke persoonlijke gegevens over hen worden verwerkt, waarom deze gegevens worden verwerkt en hoe deze gegevens worden gebruikt en beschermd.

Het is belangrijk om op te merken dat de AVG alleen van toepassing is op persoonlijke gegevens. Dit zijn gegevens die kunnen worden gebruikt om een individu te identificeren. Denk hierbij aan naam, adres, e-mailadres, IP-adres, locatiegegevens, biometrische gegevens en financiële informatie.

Wat mag wel en niet volgens AVG?

Goede vraag! We splitsen ‘m op in tweeën.

Wat mag wel volgens de AVG?

De AVG bevat dan wel regels voor de verwerking van persoonlijke gegevens, maar het is niet zo dat alle verwerking van persoonlijke gegevens verboden is. Onder de AVG is het nog steeds mogelijk om persoonlijke gegevens te verwerken, mits aan bepaalde voorwaarden wordt voldaan.

Een aantal zaken die wel mogen volgens de AVG zijn:

  • Verwerking met toestemming: Als een individu toestemming heeft gegeven voor de verwerking van zijn of haar persoonlijke gegevens, is dit toegestaan volgens de AVG.
  • Uitvoering van een contract: Als de verwerking van persoonlijke gegevens noodzakelijk is voor de uitvoering van een contract tussen de organisatie en het individu, is dit toegestaan.
  • Wettelijke verplichting: Als de verwerking van persoonlijke gegevens noodzakelijk is om te voldoen aan een wettelijke verplichting, bijvoorbeeld belastingwetgeving, is dit toegestaan.
  • Bescherming van vitale belangen: Als de verwerking van persoonlijke gegevens noodzakelijk is om vitale belangen van het individu of andere personen te beschermen, is dit toegestaan.
  • Uitvoering van een taak in algemeen belang: Als de verwerking van persoonlijke gegevens noodzakelijk is voor de uitvoering van een taak van algemeen belang of de uitoefening van openbaar gezag, is dit toegestaan.
  • Gerechtvaardigd belang: Als de verwerking van persoonlijke gegevens noodzakelijk is voor een gerechtvaardigd belang van de organisatie, waarbij de belangen of grondrechten van het individu niet zwaarder wegen, is dit toegestaan.

Bij al deze punten is het wel belangrijk om te onthouden dat bij alle verwerking van persoonlijke gegevens, de principes van de AVG (transparantie, juistheid, vertrouwelijkheid) moeten worden nageleefd.

Wat mag niet volgens de AVG?

Naast wat wel mag volgens de AVG, zijn er natuurlijk ook een hoop zaken die niet mogen volgens deze wetgeving. We nemen zes ‘verboden aspecten’ met u door:

  • Verwerking zonder toestemming: De verwerking van persoonlijke gegevens zonder toestemming van het individu is niet toegestaan, tenzij de verwerking is toegestaan op basis van een andere rechtmatige grondslag.
  • Verwerking voor andere doeleinden: Persoonlijke gegevens mogen alleen worden verwerkt voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Het is niet toegestaan om de gegevens voor andere doeleinden te gebruiken dan waarvoor ze zijn verzameld.
  • Verwerking van gevoelige gegevens: Het verwerken van gevoelige persoonlijke gegevens, zoals ras, etnische afkomst, politieke opvattingen, religieuze overtuigingen, gezondheidsgegevens of seksuele geaardheid, is in principe verboden, tenzij er sprake is van een uitzondering zoals expliciete toestemming van het individu.
  • Onvoldoende beveiliging: Organisaties zijn verplicht om persoonlijke gegevens te beveiligen tegen ongeautoriseerde toegang, onthulling of vernietiging. Onvoldoende beveiliging van persoonlijke gegevens kan leiden tot boetes en reputatieschade.
  • Geautomatiseerde besluitvorming: Besluiten die uitsluitend worden genomen op basis van geautomatiseerde verwerking van persoonlijke gegevens, inclusief profilering, zijn niet toegestaan, tenzij er sprake is van een uitzondering en het besluit nodig is voor de uitvoering van een contract of als het individu expliciet toestemming heeft gegeven.
  • Doorgifte naar landen buiten de EU: Het is niet toegestaan om persoonlijke gegevens door te geven aan laden buiten de EU, tenzij er sprake is van een passend beschermingsniveau of een uitzondering, zoals expliciete toestemming van het individu.

Nogmaals, de AVG verbiedt de verwerking van persoonlijke gegevens niet, maar stelt wel strikte regels aan de manier waarop dit gebeurt.

Wat gebeurt er als je de AVG niet naleeft?

Als een organisatie de AVG niet naleeft, kan dit leiden tot verschillende sancties en boetes. De hoogte van de boetes kan oplopen tot maximaal 4% van de wereldwijde jaaromzet of 20 miljoen euro, afhankelijk van welk bedrag hoger is.

De Europese privacytoezichthouders hebben de bevoegdheid om boetes op te leggen en andere maatregelen te nemen om naleving van de AVG af te dwingen. Andere mogelijke sancties zijn:

  1. Waarschuwing: Een organisatie kan een waarschuwing krijgen als deze voor het eerst de AVG overtreedt.
  2. Tijdelijke of permanente opschorting van de gegevensverwerking: In ernstige gevallen kan een toezichthouder besluiten om de verwerking van persoonsgegevens tijdelijk of permanent stop te zetten.
  3. Correctieve maatregelen: Een toezichthouder kan een organisatie verplichten om bepaalde maatregelen te nemen om de naleving van de AVG te waarborgen, zoals het verwijderen van persoonlijke gegevens of het aanpassen van processen.
  4. Schadevergoeding: Individuen kunnen een schadevergoeding vragen als ze schade hebben geleden als gevolg van een schending van de AVG.

Neem de AVG dus serieus en zorg ervoor dat u voldoet aan de verplichtingen die de AVG oplegt met betrekking tot de verwerking van persoonlijke gegevens.

Kunt u advies gebruiken over de bescherming van de persoonlijke gegevens van uw medewerkers, klanten, patiënten of anderen? Onze IT-specialisten staan klaar om al uw vragen te beantwoorden.