AVG (Algemene Verordening Gegevensbescherming)

Beschrijving

Europese verordening die Nederland heeft verwerkt in UAVG (Uitvoeringswet AVG). Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) (pdf) van toepassing. Dat betekent dat er vanaf die datum nog maar één privacywet geldt in de hele Europese Unie (EU). De Wet Bescherming Persoonsgegevens is daarmee komen te vervallen. Nederland heeft de Europese AVG verwerkt in de Nederlandse UAVG (Uitvoeringswet AVG). Buiten de overheidssector spreekt men ook in Nederland vaak van de GDPR (voor General Data Protection Regulation) i.p.v. AVG, hiermee wordt dezelfde verordening aangeduid.

De voorloper van de AVG, de Europese privacyrichtlijn, werd vastgesteld toen internet nog in de kinderschoenen stond. Herziening van de Europese privacywetgeving was met name daarom hard nodig. Het resultaat is een algemene verordening gegevensbescherming (AVG) en een aparte richtlijn (pdf) voor gegevensbescherming bij opsporing en vervolging. In Nederland is de richtlijn per 1 januari 2019 geïmplementeerd in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) en blijft hier verder buiten beschouwing.

De AVG zorgt onder meer voor:

• versterking en uitbreiding van privacyrechten;
• meer verantwoordelijkheden voor organisaties;
• dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders.
  

Nadere duiding
Uitgangspunten:

• Overheden mogen alleen persoonsgegevens verwerken als het niet anders kan. Dus: als zij zonder deze gegevens hun doel niet kunt bereiken.
  
• Er is een grondslag nodig om persoonsgegevens te mogen verwerken. Bij de overheid is dit vrijwel altijd een grondslag vanuit een wet.
  
• Mensen hebben het recht een kopie te ontvangen van de persoonsgegevens die worden verwerkt.
  
• Mensen hebben in bepaalde mate het recht om ‘vergeten’ te worden. Voor de overheid prevaleren de wettelijke bewaartermijnen en archiveringsvoorschriften.
  
• Mensen hebben verschillende rechten zoals: rectificatie, aanvulling, beperking van de verwerking, profilering, bezwaar en het recht om te weten wat een organisatie met de persoonsgegevens doet. Consequentie is dat overheden uitgebreide verplichtingen tot het loggen van gegevensverwerking hebben.
• De organisatie moet kunnen aantonen aan de Avg te voldoen, een actueel verwerkingsregister bijhouden en bij veranderingen bepalen of een verwerking van persoonsgegevens in een van de categorieën valt waarvoor uitvoeren van een Data Protection Impact Assessment (DPIA) verplicht is.
  

Kader:
In de Avg staan de volgende 6 grondslagen voor het verwerken van persoonsgegevens:
1. U heeft toestemming van de persoon om wie het gaat (tenzij er sprake is van wettelijke toestemming).
2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
3. Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
6. Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.

Herkomst en positionering

Organisatie: Europese Unie
Interne verwijzing: Interne verwijzing ontbreekt
Externe verwijzing: https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32016R0679
Laag binnen het NORA Vijflaagsmodel: 1

Relaties vanuit dit beleidskader