De Europese privacyverordening algemene verordening gegevensbescherming (AVG) is een Europese verordening (dus met rechtstreekse werking) die gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens van Europese staatsburgers en betreffende het vrije verkeer van die gegevens’.


Deze nieuwe verordening geldt wereldwijd voor alle ondernemingen en organisaties die persoonsgegevens bijhouden en verwerken van Europese staatsburgers, onafhankelijk of er al dan niet betaald wordt voor diensten of producten. In het Engels heet de AVG General Data Protection Regulation (GDPR). De verordening vervangt de databeschermingsrichtlijn uit 1995. Die sloot niet meer aan op de huidige digitale wereld. De AVG is in mei 2016 in werking getreden. Van organisaties wordt verwacht dat zij vanaf die tijd hun bedrijfsvoering met de AVG in overeenstemming brengen. Zij krijgen daarvoor tot 25 mei 2018 de tijd. Daarna mag iedereen organisaties op de naleving van de AVG aanspreken. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, waarbij de hoogste variant geldt. Voor opsporingsinstanties en het Openbaar Ministerie geldt aparte privacywetgeving. Het EU voorstel is om de AVG op 25 mei 2018 te laten vergezellen door de e-privacyverordening. Het EU-VS-privacyschild is een overeenkomst over de bescherming van persoonsgegevens van EU-burgers die in de VS worden verwerkt.

Principes

Persoonsgegevens zijn gegevens die kunnen verbonden worden aan een individu, of waarmee een individu kan worden geïdentificeerd: naam, foto, telefoonnummer, adres, bankrekeningnummer, e-mail-adres, IP adres, vingerafdruk, medische data, enz. (een zeer lange lijst).

De volgende regels moeten worden gevolgd:

  • transparantie:
    de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten.
  • doelbeperking:
    de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
  • gegevensbeperking:
    enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
  • juistheid:
    de persoonsgegevens moeten correct zijn en blijven
  • bewaarbeperking:
    de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
  • integriteit en vertrouwelijkheid:
    de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
  • verantwoording:
    de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

Inhoud

Toepassingsgebied

De verordening is van toepassing indien de voor de verwerking verantwoordelijke, een organisatie die gegevens verzamelt van EU burgers, of een verwerker, een organisatie die gegevens verwerkt namens voor de verwerking verantwoordelijke zoals cloud-dienstverleners of namens de betrokkene (persoon), in de EU is gevestigd. De verordening is ook van toepassing op buiten de EU gevestigde organisaties die persoonsgegevens verzamelen of verwerken van binnen de EU gevestigde personen. Volgens de Europese Commissie “zijn persoonsgegevens alle gegevens die betrekking hebben op een individu, ongeacht of het gaat om zijn privé-, beroeps- of openbare leven. Het kan gaan om een naam, een huisadres, een foto, een e-mailadres, bankgegevens, berichten op sociale netwerksites, medische informatie of het IP-adres van een computer.”

De verordening is niet bedoeld om van toepassing te zijn op de verwerking van persoonsgegevens voor activiteiten op het gebied van nationale veiligheid of rechtshandhaving in de EU; industriële groepen die zich zorgen maken over mogelijke wetsconflicten hebben zich echter afgevraagd of artikel 48 van de AVG kan worden ingeroepen om te proberen te voorkomen dat een voor de verwerking verantwoordelijke die onder de wetgeving van een derde land valt, zich houdt aan een rechtsorde van de wetshandhavings-, gerechtelijke of nationale veiligheidsinstanties van dat land om aan die autoriteiten de persoonsgegevens van een persoon uit de EU bekend te maken, ongeacht of de gegevens zich in of uit de EU bevinden. Artikel 48 bepaalt dat een rechterlijke beslissing van een rechterlijke instantie en een beslissing van een administratieve autoriteit van een derde land die een voor de verwerking verantwoordelijke of verwerker ertoe verplicht persoonsgegevens door te geven of openbaar te maken, alleen erkend of afdwingbaar kan zijn op grond van een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtshulp dat van kracht is tussen het verzoekende derde land (niet-EU) en de EU of een lidstaat. Het hervormingspakket inzake gegevensbescherming omvat ook een afzonderlijke gegevensbeschermingsrichtlijn voor de politiële en strafrechtelijke sector die regels bevat voor de uitwisseling van persoonsgegevens op nationaal, Europees en internationaal niveau.

Eén set regels en één loket

Voor alle lidstaten van de EU zullen dezelfde regels gelden. Elke lidstaat zal een onafhankelijke toezichthoudende autoriteit oprichten om klachten te behandelen en te onderzoeken, administratieve overtredingen te bestraffen, enz. De toezichthoudende autoriteiten in elke lidstaat werken samen met andere toezichthoudende autoriteiten, verlenen wederzijdse bijstand en organiseren gezamenlijke acties. Indien een bedrijf in de EU meerdere vestigingen heeft, zal het één enkele toezichthoudende autoriteit als “leidende autoriteit” hebben, gebaseerd op de locatie van zijn “hoofdvestiging” waar de belangrijkste verwerkingsactiviteiten plaatsvinden. Een Europees Comité voor gegevensbescherming zal de toezichthoudende autoriteiten coördineren. Dit Comité zal de werkgroep artikel 29 vervangen.

Er zijn uitzonderingen voor gegevens die in het kader van de werkgelegenheid of de nationale veiligheid worden verwerkt en die nog steeds onderworpen kunnen zijn aan individuele nationale regelgeving (artikel 2, lid 2, onder a), en artikel 82 van de AVG).

Verantwoordelijkheid en verantwoordingsplicht

De aankondigingseisen blijven gehandhaafd en worden uitgebreid. Zij moeten de bewaartermijn voor persoonsgegevens bevatten en er moet contactinformatie worden verstrekt aan de verantwoordelijke voor de verwerking en de functionaris voor gegevensbescherming.

Geautomatiseerde individuele besluitvorming, met inbegrip van profilering (artikel 22), kan worden betwist, net als in de databeschermingsrichtlijn (artikel 15). Burgers hebben het recht om vragen te stellen en te strijden tegen belangrijke beslissingen die hen betreffen en slechts op algoritmische basis zijn genomen.

Om aan te kunnen tonen dat de AVG wordt nageleefd, moet de voor de verwerking verantwoordelijke maatregelen nemen die voldoen aan de beginselen van gegevensbescherming door ontwerp (privacy by design) en gegevensbescherming door standaardinstellingen (privacy by default). Volgens gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen (artikel 25) moeten gegevensbeschermingsmaatregelen worden ontworpen voor de ontwikkeling van bedrijfsprocessen voor producten en diensten. Dergelijke maatregelen omvatten onder meer pseudonimisering van persoonsgegevens door de voor de verwerking verantwoordelijke, zo spoedig mogelijk (overweging 78).

Het is de verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke om effectieve maatregelen te treffen en de conformiteit van de verwerkingsactiviteiten aan te tonen, zelfs als de verwerking wordt uitgevoerd door een gegevensverwerker namens de voor de verwerking verantwoordelijke. (overweging 74).

Bij specifieke risico’s voor de rechten en vrijheden van de betrokkenen moeten gegevensbeschermingseffectbeoordelingen (artikel 35) worden uitgevoerd. Risicobeoordeling en risicobeperking is vereist en voorafgaande goedkeuring van de nationale gegevensbeschermingsautoriteiten is vereist voor grote risico’ s. Er zijn gegevensbeschermingsfunctionarissen (artikelen 37-39) nodig om de naleving binnen organisaties te waarborgen.

Zij moeten worden benoemd:

  • voor alle overheidsinstanties, met uitzondering van rechterlijke instanties die in hun hoedanigheid van rechter optreden
  • indien de kernactiviteiten van de voor de verwerking verantwoordelijke of de verwerker als volgt zijn:verwerkingen die vanwege hun aard, reikwijdte en/of doeleinden vereisen dat de betrokkenen op grote schaal regelmatig en systematisch worden gevolgd.verwerking op grote schaal van speciale categorieën van gegevens overeenkomstig artikel 9 en persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

Wettelijke basis voor verwerking

Gegevens mogen niet worden verwerkt tenzij er ten minste één wettelijke basis is om dit te doen:

  • De betrokkene heeft toestemming gegeven voor de verwerking van persoonsgegevens voor een of meer specifieke doeleinden.
  • Verwerking is noodzakelijk voor de uitvoering van een contract waar betrokkene deel van is of om op verzoek van de betrokkene stappen te ondernemen voordat hij een contract sluit.
  • Verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting waaraan de voor de verwerking verantwoordelijke is onderworpen.
  • Verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te behartigen.
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van officiële autoriteit van de voor de verwerking verantwoordelijke.
  • Verwerking is noodzakelijk met het oog op de rechtmatige belangen die door de voor de verwerking verantwoordelijke of door een derde worden behartigd, tenzij deze belangen prevaleren boven de belangen of fundamentele rechten en vrijheden van de betrokkene, die bescherming van persoonsgegevens vereisen, met name wanneer de betrokkene een kind is.

Toestemming

Indien de toestemming wordt gebruikt als wettelijke basis voor verwerking, moet de toestemming expliciet worden gegeven voor de verzamelde gegevens en moeten de doeleinden waarvoor de gegevens worden gebruikt (artikel 7; gedefinieerd in artikel 4). Toestemming voor kinderen moet door de ouder of voogd van het kind worden gegeven en moet verifieerbaar zijn (artikel 8). De voor de verwerking verantwoordelijken moeten “toestemming” kunnen aantonen en de toestemming kan worden ingetrokken.

Functionaris voor gegevensbescherming

Indien de verwerking wordt uitgevoerd door een overheidsinstantie, met uitzondering van rechterlijke instanties of onafhankelijke rechterlijke instanties wanneer zij optreden in hun gerechtelijke hoedanigheid, of indien de verwerking in de particuliere sector wordt uitgevoerd door een voor de verwerking verantwoordelijke wiens kernactiviteiten bestaan uit verwerkingen die een regelmatige en systematische controle van de betrokkenen vereisen, dient een persoon met deskundige kennis van de wetgeving en praktijken inzake gegevensbescherming de voor de verwerking verantwoordelijke of verwerker bij te staan bij het toezicht op de interne naleving van deze verordening.

De functionaris voor gegevensbescherming is vergelijkbaar met een nalevingsfunctionaris en zal naar verwachting ook deskundig zijn in het beheren van IT-processen, gegevensbeveiliging (met inbegrip van het afhandelen van cyberaanvallen) en andere kritieke bedrijfscontinuïteitsaspecten rond het bewaren en verwerken van persoonlijke en gevoelige gegevens. De vereiste vaardigheden gaan verder dan het begrijpen van de wettelijke naleving van wetten en voorschriften inzake gegevensbescherming.

De aanstelling van een functionaris voor gegevensbescherming in een grote organisatie zal een uitdaging vormen voor zowel het bestuur als de betrokkene. Er zijn tal van problemen op het gebied van bestuur en menselijke factoren die organisaties en bedrijven moeten aanpakken, gezien de omvang en de aard van de benoeming. Daarnaast moet de functionaris voor gegevensbescherming beschikken over een ondersteuningsteam en zal hij ook verantwoordelijk zijn voor de verdere professionele ontwikkeling om onafhankelijk te zijn van de organisatie die hen in dienst neemt, effectief als een “mini-autoriteit”.

Meer details over de functie en de rol van de functionaris voor gegevensbescherming werden op 13 december 2016 (herziene versie 5 april 2017) gegeven in een richtsnoer.

Pseudonimisering

De AVG verwijst naar pseudonimisering als een proces waarbij persoonsgegevens zodanig worden omgezet dat de resulterende gegevens niet zonder het gebruik van aanvullende informatie aan een specifieke betrokkene kunnen worden toegeschreven. Een voorbeeld hiervan is versleuteling, waarbij de oorspronkelijke gegevens onbegrijpelijk worden en het proces niet kan worden omgekeerd zonder toegang tot de juiste ontcijferingssleutel. De AVG vereist dat de aanvullende informatie (zoals de ontcijferingssleutel) gescheiden wordt gehouden van de gepseudonimiseerde gegevens.

Een ander voorbeeld van pseudonimisering is symbolisering, een niet-wiskundige benadering van de bescherming van gegevens in rust die gevoelige gegevens vervangt door niet-gevoelige substituten, de zogenaamde symbolen. De symbolen hebben geen extrinsieke of exploiteerbare betekenis of waarde. De symbolisering verandert het type of de lengte van de gegevens niet, wat betekent dat het kan worden verwerkt door oudere systemen zoals databases die gevoelig kunnen zijn voor lengte en type gegevens.

Dat vereist veel minder rekenmiddelen om te verwerken en minder opslagruimte in databases dan traditioneel gecodeerde gegevens. Dit wordt bereikt door specifieke gegevens volledig of gedeeltelijk zichtbaar te houden voor verwerking en analyse terwijl gevoelige informatie verborgen wordt gehouden.

Pseudonimisering wordt aanbevolen om de risico’s voor de betrokkenen te beperken en ook om de voor de verwerking verantwoordelijken en verwerkers te helpen hun verplichtingen inzake gegevensbescherming na te komen (overweging 28).

Hoewel de AVG het gebruik van pseudonimisering aanmoedigt om “de risico’s voor de betrokkenen te verminderen” (overweging 28), worden gepseudonimiseerde gegevens nog steeds beschouwd als persoonsgegevens (overweging 26) en blijven zij dus onder de AVG vallen.

Datalek

Krachtens de AVG is de voor de verwerking verantwoordelijke wettelijk verplicht de toezichthoudende autoriteit zonder onnodige vertraging op de hoogte te stellen, tenzij de datalek waarschijnlijk niet zal leiden tot een risico voor de rechten en vrijheden van de betrokkenen. Er is een maximumtermijn van 72 uur na kennisneming van de datalek om het verslag op te stellen (artikel 33). Personen moeten op de hoogte worden gebracht wanneer negatieve effecten worden vastgesteld (artikel 34). Bovendien moet de gegevensverwerker de voor de verwerking verantwoordelijke zonder onnodige vertraging op de hoogte te stellen van een datalek. (artikel 33).

De kennisgeving aan betrokkenen is echter niet vereist indien de voor de verwerking verantwoordelijke passende technische en organisatorische beschermingsmaatregelen ten uitvoer heeft gelegd die de persoonsgegevens onbegrijpelijk maken voor eenieder die geen toegangsbevoegdheid heeft, zoals versleuteling (artikel 34).

Sancties

De volgende sancties kunnen worden opgelegd:

  • een schriftelijke waarschuwing in geval van eerste en niet-opzettelijke niet-naleving
  • periodieke controles van gegevensbescherming
  • een boete van maximaal 10 miljoen euro of maximaal 2% van de wereldwijde jaaromzet van het vorige boekjaar in het geval van een onderneming, afhankelijk van welk bedrag hoger is, indien de volgende bepalingen zijn overtreden (artikel 83, lid 4, onder 20)
    • de verplichtingen van de voor de verwerking verantwoordelijke en de verwerker uit hoofde van de artikelen 8,11,25 tot en met 39,42 en 43
    • de verplichtingen van de certificeringsinstantie uit hoofde van de artikelen 42 en 43
    • de verplichtingen van het controleorgaan uit hoofde van artikel 41, lid 4
  • een boete van maximaal 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet van het vorige boekjaar in het geval van een onderneming, afhankelijk van welk bedrag hoger is, indien de volgende bepalingen zijn overtreden (artikel 83, leden 5 en 6)
    • de basisbeginselen voor verwerking, met inbegrip van de voorwaarden voor toestemming overeenkomstig de artikelen 5,6,7 en 9
    • de rechten van de betrokkenen uit hoofde van de artikelen 12 tot en met 22
    • de doorgifte van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie overeenkomstig de artikelen 44 tot en met 49
    • eventuele verplichtingen uit hoofde van de krachtens hoofdstuk IX vastgestelde wetgeving van een lidstaat
    • niet-naleving van een bevel of een tijdelijke of definitieve beperking van de verwerking of opschorting van de gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, lid 2, of het niet verlenen van toegang in strijd met artikel 58, lid 1, of het niet verlenen van toegang in strijd met artikel 58, lid 1

Privacyrechten

De AVG kent betrokkenen onder meer onderstaande rechten toe.

Recht op inzage

Het recht van toegang (artikel 15) is een recht van de betrokkene. Dit geeft burgers het recht om toegang te krijgen tot hun persoonlijke gegevens en informatie over de manier waarop deze persoonsgegevens worden verwerkt. Een voor de verwerking verantwoordelijke moet op verzoek een overzicht verstrekken van de categorieën gegevens die worden verwerkt (artikel 15, lid 1, onder b)) en een kopie van de feitelijke gegevens (artikel 15, lid 3). Daarnaast moet de verantwoordelijke voor de verwerking de betrokkene informeren over de details van de verwerking, zoals wat het doel van de verwerking is (artikel 15, lid 1, onder a)), met wie de gegevens worden gedeeld (artikel 15, lid 1, onder c)) en hoe de gegevens zijn verkregen (artikel 15, lid 1, onder g)).

Recht op correctie en verwijdering

Het recht om te worden vergeten werd vervangen door een beperkter recht op schrapping in de versie van de AVG die het Europees Parlement in maart 2014 heeft aangenomen. Artikel 17 bepaalt dat de betrokkene het recht heeft om op een van een aantal gronden te verzoeken om verwijdering van hem betreffende persoonsgegevens, waaronder niet-naleving van artikel 6.1 (wettigheid) die een geval (f) omvat waarin de legitieme belangen van de voor de verwerking verantwoordelijke zwaarder wegen dan de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen (zie ook Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González).

Recht op dataportabiliteit

Een persoon moet zijn persoonsgegevens van het ene elektronische verwerkingssysteem naar het andere kunnen overdragen, zonder door de verantwoordelijke voor de verwerking te worden verhinderd. Gegevens die voldoende geanonimiseerd zijn, komen niet in aanmerking, maar gegevens die alleen geanonimiseerd zijn, maar nog steeds kunnen worden gekoppeld aan de persoon in kwestie, zoals door hem of haar die de desbetreffende identificatiecode verstrekt, niet. Zowel gegevens die door de betrokkene “verstrekt” zijn, als “waargenomen” gegevens – bijvoorbeeld over hun gedrag – vallen binnen de omvang van dit recht. Bovendien moeten de gegevens door de verantwoordelijke voor de verwerking worden verstrekt in een gestructureerde en algemeen gebruikte elektronische open standaard. Het recht op gegevensportabiliteit is vastgelegd in artikel 20 van het AVG. Juridische deskundigen zien in de definitieve versie van deze maatregel een “nieuw recht” dat “verder reikt dan de portabiliteit van gegevens tussen twee voor de verwerking verantwoordelijken, zoals bepaald in artikel 18”. (Opmerking: het artikelnummer is in de definitieve versie van artikel 20 bijgewerkt. Dit citaat was op dat moment juist.)

Beperkingen

De volgende gevallen buiten de verordening:

  • Nationale veiligheid, het leger, de politie, justitie
  • Statistische en wetenschappelijke analyse
  • Overleden personen vallen onder de nationale wetgeving
  • Er is een speciale wet over werkgever-werknemer relaties
  • Verwerking van persoonsgegevens door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit

 

Bron:WikipediA