10 vragen en antwoorden over de Avg
Sinds 2018 geldt in heel Europa dezelfde privacywetgeving: de Algemene verordening gegevensbescherming (Avg). Onze juristen hebben honderden bedrijven geholpen om aan deze nieuwe wetgeving te voldoen. We zetten de 10 belangrijkste en meest gestelde vragen over de Avg voor je op een rij:
1. Waar gaat de Avg over?
In de Algemene verordening gegevensbescherming, ook wel de Avg of in het Engels de GDPR genoemd, wordt beoogd de privacygevoelige gegevens te beschermen. De Avg stelt regels aan organisaties die met persoonsgegevens werken. De Avg verving per 25 mei 2018 de Nederlandse privacywet (Wbp). Veel bleef hetzelfde, maar de Avg bracht ook een aantal veranderingen en aanscherpingen met zich mee.
2. Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens die informatie bevatten over een persoon. Dat kan direct zijn, maar ook indirect als het gegeven tot een persoon te herleiden is. Persoonsgegevens zijn dus niet alleen namen en adressen, maar kunnen ook zijn: IP-adressen, postcodes met huisnummer, foto’s, medische gegevens of bijvoorbeeld (herleidbaar) surfgedrag. Het e-mailadres info@nldigital.nl bevat geen informatie over een persoon (het is niet herleidbaar tot een persoon) en is dus geen persoonsgegeven. Het e-mailadres john.smit@bedrijf.nl bevat wél persoonsgegevens, namelijk de naam van de persoon John Smit (en de informatie dat hij werkzaam is voor bedrijf).
3. Wat is het verschil tussen een ‘gewoon’ en een ‘bijzonder’ persoonsgegeven?
Aan het verwerken van bepaalde gevoelige persoonsgegevens worden extra wettelijke eisen gesteld. Deze gegevens heten ‘bijzondere persoonsgegevens’. Bijzondere persoonsgegevens zijn genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of met betrekking tot iemands seksueel gedrag of seksuele gerichtheid en gegevens die informatie bevatten over: ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond. Ook voor gegevens van strafrechtelijke aard gelden extra wettelijke eisen.
4. Wanneer is er sprake van verwerking van persoonsgegevens in de Avg?
Bij de verwerking van persoonsgegevens gaat het kort gezegd om alle handelingen die met persoonsgegevens kunnen worden uitgevoerd. Als je persoonsgegevens verzamelt, bewaart, bijwerkt, kunt opvragen, gebruiken, verstrekken of vernietigen, dan ben je bezig met het verwerken van persoonsgegevens. Worden er geen persoonsgegevens verwerkt? Dan is de Avg niet van toepassing. Dat zal echter niet snel het geval zijn.
5. Wie is…?
Vijf partijen die veel in de Avg worden genoemd zijn:
- De betrokkene (data subject) = persoon over wie de persoonsgegevens informatie bevatten;
- De verwerkingsverantwoordelijke (controller) = degene die het doel en de middelen van de verwerking bepaalt;
- De verwerker (processor) = partij die (als leverancier) persoonsgegevens verwerkt in opdracht en ten behoeve van de verwerkingsverantwoordelijke (diens klant);
- De Autoriteit persoonsgegevens (AP) = de Nederlandse toezichthouder die de Avg handhaaft. Taken van de AP zijn onder meer: toezicht, advisering, voorlichting en internationale taken;
- De Functionaris voor de gegevensbescherming (DPO) = interne toezichthouder.
6. Wat is het verschil tussen de verwerker en de verwerkingsverantwoordelijke?
In de Avg staan veel regels die specifiek gelden voor ofwel de ‘verwerkingsverantwoordelijke’ ofwel de ‘verwerker’. Het is dus belangrijk om te weten of je verwerker ofover verwerkingsverantwoordelijke bent. We ontwikkelden hebben hiervoor een quickscan.
De Avg geeft aan dat je verwerkingsverantwoordelijke bent als je (al dan niet samen met een andere verwerkingsverantwoordelijke) het doel van en de middelen voor de verwerking vaststelt.
Een voorbeeld: als leverancier beschik je waarschijnlijk over een CRM-administratie met daarin gegevens over jouw klanten (persoonsgegevens). Jij bepaalt wat er met de gegevens gebeurt en waarom je die persoonsgegevens verzamelt (wel/niet mede ten behoeve van facturering, wel/niet mede ten behoeve van nieuwsbrieven, etc.). Dat is het doel. Jij bepaalt ook wat die CRM-administratie mag kosten, wie er mee mogen werken en welke software je daarvoor gebruikt. Dit zijn de middelen. Als leverancier voelt dit als ‘jouw’ CRM-administratie.
-> Je bent verwerkingsverantwoordelijke.
Een verwerkingsverantwoordelijke kan het feitelijk beheer over de verwerking van persoonsgegevens aan een andere partij, zoals een ICT-leverancier, uitbesteden. Deze door de verwerkingsverantwoordelijke ingeschakelde partij wordt in de Avg de verwerker genoemd. Dit is altijd een persoon of organisatie die niet ondergeschikt is aan de verwerkingsverantwoordelijke, oftewel een externe partij. Als verwerker heb je ‘feitelijke beschikkingsmacht’ over de persoonsgegevens. Dat betekent dat de verwerking door jou gepaard gaat met de mogelijkheid om hierop enige invloed uit te oefenen. Het is niet van belang of je deze invloed daadwerkelijk uitoefent. Een voorbeeld: je levert als SaaS-dienst een CRM-administratie aan klanten. Het is de CRM-administratie ‘van de klant’, maar jij kan bij de data voor bijvoorbeeld service en onderhoud.
-> Je bent verwerker.
Kortom: als jij bepaalt wat er met de gegevens (‘jouw’ data) gebeurt en waarom dan ben je waarschijnlijk verwerkingsverantwoordelijke. Als jij data ‘van de klant’ als onderdeel van je dienstverlening verwerkt voor de klant, dan ben je waarschijnlijk verwerker.
7. Wat geldt specifiek voor de verwerkingsverantwoordelijke in de Avg?
Veel van de bepalingen uit de Avg zijn specifiek van belang voor de verwerkingsverantwoordelijke. Andere begrippen, zoals het hebben van een register van verwerkingen, beveiliging en het hebben van een verwerkersovereenkomst richten zich niet alleen op de verwerkingsverantwoordelijke, maar ook op de verwerker.
Een paar begrippen die vooral van belang zijn voor de verwerkingsverantwoordelijke:
- Doel: persoonsgegevens mogen alleen voor, door de verwerkingsverantwoordelijke welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Vervolgens mogen de persoonsgegevens alleen verder worden verwerkt voor doeleinden die met dat vooraf omschreven doel verenigbaar zijn.
- Grondslag: de verwerkingsverantwoordelijke mag alleen gegevens verwerken als hij daarvoor een grondslag heeft. De grondslagen worden genoemd in artikel 6 Avg (voor ‘gewone’ persoonsgegevens), artikel 9 Avg (voor bijzondere persoonsgegevens) en artikel 10 Avg (voor strafrechtelijke gegevens). In artikel 7 en 8 Avg worden nadere eisen gesteld aan de grondslag ‘toestemming’.
- Transparantie: de verwerkingsverantwoordelijke heeft de plicht de betrokkene te informeren. Zie ook ons uitgebreide artikel over transparantie.
- Rechten van betrokkene: de verwerkingsverantwoordelijke moet de rechten van betrokkenen, zoals het recht op inzage, recht op verbetering en recht op dataportabiliteit, respecteren. Zie meer hierover in onze serie Avg uitgelegd.
- Melden inbreuk in verband met persoonsgegevens (datalek): het is de taak van de verwerkingsverantwoordelijke om alle datalekken te documenteren en bepaalde datalekken te melden aan de AP en/of betrokkenen. Lees meer hierover in ons artikel over datalekken.
- Data Protection Impact Assessment (DPIA): een Data Protection Impact Assessment (DPIA) is een verplicht instrument om vooraf na te denken over de privacy-risico’s van een bepaalde gegevensverwerking en deze risico’s vervolgens te verkleinen door aanpassingen te doen. Lees meer hierover in ons artikel over DPIA’s.
8. Wat geldt voor zowel de verwerker als de verwerkingsverantwoordelijke in de Avg?
Een paar begrippen die zowel voor de verwerkingsverantwoordelijke als voor de verwerker relevant zijn:
- Verwerkersovereenkomst: als een verwerkingsverantwoordelijke een verwerker inschakelt, moeten partijen bepaalde afspraken maken met elkaar over de verwerking. Deze afspraken over de verwerking van persoonsgegevens kunnen worden uitgewerkt in een verwerkersovereenkomst. Lees hier meer over de standaard verwerkersovereenkomst van NLdigital.
- Beveiliging (‘technische en organisatorische maatregelen’): nieuw in de Avg is dat de verwerker naast de verwerkingsverantwoordelijke ook een zelfstandige plicht heeft om ‘passende technische en organisatorische maatregelen’ te treffen om een ‘op het risico afgestemd beveiligingsniveau te waarborgen’. Daarbij kun je bijvoorbeeld denken aan: pseudonimisering en versleuteling, het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen en het vermogen om bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen (back ups, redundantie).
- Registerplicht: zowel de verwerker als de verwerkingsverantwoordelijke moeten een register bijhouden van alle verwerkingsactiviteiten. Meer hierover in ons uitgebreide artikel over accountability.
9. Wat geldt specifiek voor de verwerker in de Avg?
Overigens geldt voor een aantal van deze begrippen dat de verwerkingsverantwoordelijke de verwerker uiteraard wel kan vragen te assisteren (bij wijze van aanvullende dienstverlening), bijvoorbeeld bij het doen van een DPIA of het inrichten van de rechten van betrokkenen.
Ook moet de verwerker de verwerkingsverantwoordelijke van informatie voorzien die helpt bij het kunnen melden en bijhouden van datalekken. De Avg verplicht de verwerker bijvoorbeeld om aan de verwerkingsverantwoordelijke melding te maken van iedere ‘inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’ (oftewel: een datalek). Bij die melding moet je als verwerker bepaalde informatie voegen over het incident, de waarschijnlijke gevolgen, contactgegevens en de getroffen en te treffen maatregelen.
10. Wat kunnen de juristen van NLdigital voor de ICT-leverancier betekenen?
Data Pro Code
Als verwerker van persoonsgegevens wil je niet alleen zorgen dat je je privacy en security op orde hebt. Je wilt dat ook in duidelijke taal aan je klanten en partners laten zien. Vanuit die gedachte heeft NLdigital de Data Pro Code ontwikkeld: een praktische doorvertaling van de Avg voor verwerkers. Je kunt bij een geaccrediteerde toezichthouder beoordelen of je aan de Data Pro Code voldoet. Zo laat je aan je klanten zien dat je veilig met hun gegevens omgaat.
Standaard verwerkersovereenkomst
De juristen van NLdigital hebben voor de leden van NLdigital een Standaard verwerkersovereenkomst opgesteld. Niet-leden kunnen deze Standaard verwerkersovereenkomst tegen betaling bestellen.
Gerelateerde artikelen
Voldoe aan de AVG met onze Privacy Academy
3 gevaarlijke mythes over privacy en hoe je ze effectief ontkracht
