De AVG gaat over het rechtmatig omgaan met persoonsgegevens. De belangrijkste bepalingen uit de AVG zijn als volgt samen te vatten: Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet.
De Algemene verordening gegevensbescherming (AVG) geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.
Informationele privacy
Dit in de Grondwet opgenomen recht wordt nader uitgewerkt in onze privacywet, de Algemene Verordening Gegevensbescherming of AVG. In de AVG wordt bepaald hoe en wanneer persoonsgegevens mogen worden verwerkt, en welke rechten natuurlijke personen hebben met betrekking tot hun gegevens.
Alles wat strikt privé is of huishoudelijk gebruik wordt, valt niet onder deze wet. Dus vakantiekiekjes of foto's van kinderfeestjes mag je nog steeds maken. Als je ze ook maar zelf blijft gebruiken, je moet uitkijken bij het publiceren van die foto's. Ook scholen moeten oppassen.
Denk aan voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, straatnaam, postcode, woonplaats, telefoonnummer (mobiel en vast), en e-mailadres. Een BSN mag alleen door overheidsinstanties gebruikt worden en door organisaties buiten de organisatie als dat in een wet staat.
Een organisatie mag niet zomaar persoonsgegevens doorgeven aan personen of andere organisaties. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit het geval is, hangt af van de concrete omstandigheden.
Gegevens over organisaties, zoals rechtspersonen, verenigingen en stichtingen, zijn geen persoonsgegevens. Ook gegevens van overleden mensen vallen buiten de reikwijdte van de AVG. De AVG regelt wat er allemaal wel en niet mag met de persoonsgegevens van mensen.
De AVG kent zes grondslagen: toestemming, uitvoering van de overeenkomst, wettelijke verplichting, vitaal belang van betrokkene of andere personen, algemeen belang of gerechtvaardigd belang.
Dit zijn gegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Het recht om de persoonsgegevens die u verwerkt te laten wijzigen. Het recht op dataportabiliteit. Het recht om persoonsgegevens over te laten dragen aan een andere partij. Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze bevoegdheid heeft de AP sinds 25 mei 2018, de datum dat de AVG van toepassing werd.
Hoe vraagt u om toestemming? De AVG schrijft niet voor hoe en in welke vorm u toestemming moet vragen. U mag dus in principe zelf weten hoe u toestemming vraagt, als u maar kunt aantonen dat u op de juiste manier toestemming heeft gevraagd én gekregen.
Er is op grond van de Algemene verordening gegevensbescherming (AVG) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.
Het voor een specifiek doel verzamelen van gegevens heet in juridische termen 'doelbinding'. Doelbinding is essentieel binnen de AVG en houdt in dat persoonsgegevens alleen verzameld mogen worden voor een 'welbepaald, uitdrukkelijk omschreven en gerechtvaardigd' doel (artikel 5 lid 1 sub a AVG).
Bescherming privacy bij gebruik persoonsgegevens
Iedereen mag organisaties op de naleving van de AVG aanspreken. De maximale boete is € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet als het om een grote onderneming gaat.
Nee. Alleen de ambtenaren die daarvoor geautoriseerd zijn door de politie. Omdat de politie zulke gevoelige persoonsgegevens verwerkt, stelt de wet strikte eisen aan het systeem dat regelt wie waar toegang toe heeft.
Moet ik betrokkenen laten weten wie toegang heeft gehad tot hun gegevens? Ja. Een betrokkene (degene van wie u als organisatie persoonsgegevens verwerkt) heeft het recht om te vragen wie binnen uw organisatie toegang heeft gehad tot zijn gegevens.
De geïnde boetes en dwangsommen komen tot een maximum van €2,5 miljoen per jaar in mindering op de heffingen die onder toezicht staande instellingen betalen aan de AFM. Voor zover de opbrengsten uit boetes en dwangsommen in een jaar meer dan €2,5 miljoen bedragen, komen die opbrengsten toe aan de Nederlandse Staat.
Naast een bestuurlijke boete kan een overheidsdienst indien het daarvoor in een wet de bevoegdheid heeft gekregen een dwangsom opleggen. Het belangrijkste verschil met een bestuurlijke boete is dat een boete een straffend karakter heeft en dat een dwangsom als doel heeft toekomstige overtredingen te voorkomen.
De AP houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Onder toezicht vallen diverse activiteiten: Onderzoek doen uit eigen beweging naar mogelijke overtredingen van de wet (artikel 55 en 58, lid 1, onder e, AVG).
Het opstellen van een register van verwerkingsactiviteiten (verwerkingsregister) is onder de Algemene verordening gegevensbescherming (AVG) vaak een verplichte maatregel. Of u een verwerkingsregister moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt.
Een organisatie moet jou binnen 4 weken kunnen vertellen welke gegevens ze van je hebben, als je daar om vraagt. 'Recht op Inzage' heet dit wettelijke recht. Als jouw gegevens niet kloppen mag je eisen dat ze worden aangepast of verwijderd.