In de Algemene verordening gegevensbescherming (AVG) zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. Voorheen was dat in de Wet bescherming persoonsgegevens (Wbp). Vanaf 25 mei 2018 is de AVG van toepassing.
De belangrijkste bepalingen uit de AVG zijn als volgt samen te vatten: Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet. Voor de betrokkene (dat is degene van wie de persoonsgegevens verwerkt worden) moet het behoorlijk en transparant zijn hoe en waarom de persoonsgegevens verwerkt worden.
De AVG kent zes grondslagen: toestemming, uitvoering van de overeenkomst, wettelijke verplichting, vitaal belang van betrokkene of andere personen, algemeen belang of gerechtvaardigd belang.
Je mag alleen persoonsgegevens verwerken wanneer je deze echt nodig hebt om je doel te bereiken en het niet anders kan. Je moet dus een goede reden, ofwel 'grondslag' hebben. Bijvoorbeeld dat je toestemming hebt van de persoon om wie het gaat. Er zijn 6 grondslagen in de AVG.
Gegevens over organisaties, zoals rechtspersonen, verenigingen en stichtingen, zijn geen persoonsgegevens. Ook gegevens van overleden mensen vallen buiten de reikwijdte van de AVG. De AVG regelt wat er allemaal wel en niet mag met de persoonsgegevens van mensen.
Denk aan voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, straatnaam, postcode, woonplaats, telefoonnummer (mobiel en vast), en e-mailadres. Een BSN mag alleen door overheidsinstanties gebruikt worden en door organisaties buiten de organisatie als dat in een wet staat.
Bijzondere categorieën van persoonsgegevens (gevoelige persoonsgegevens) zijn de volgende persoonsgegevens: persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens ...
Dit zijn gegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Denk aan NAW-gegevens, geboortedatum, burgerservicenummer (BSN), relatienummer, e-mail-adres, rekeningnummer, telefoonnummer etc. Ook gegevens die in combinatie tot een persoon te herleiden zijn, zijn van belang.
De Algemene verordening gegevensbescherming (AVG) is de nieuwe Europese privacywet. Deze wet sluit beter aan op het digitale tijdperk waarin we leven. De wet geeft u meer rechten en organisaties meer verantwoordelijkheid om zorgvuldig met uw (digitale) persoonsgegevens om te gaan. En u daarover goed te informeren.
Het recht om de persoonsgegevens die u verwerkt te laten wijzigen. Het recht op dataportabiliteit. Het recht om persoonsgegevens over te laten dragen aan een andere partij. Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
Hoe vraagt u om toestemming? De AVG schrijft niet voor hoe en in welke vorm u toestemming moet vragen. U mag dus in principe zelf weten hoe u toestemming vraagt, als u maar kunt aantonen dat u op de juiste manier toestemming heeft gevraagd én gekregen.
Antwoord. De AVG is van toepassing op: een onderneming of eenheid die, persoonsgegevens verwerkt in het kader van de activiteiten van een van zijn of haar in de EU gevestigde bijkantoren, ongeacht waar de gegevens worden verwerkt; of.
De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze bevoegdheid heeft de AP sinds 25 mei 2018, de datum dat de AVG van toepassing werd.
Op schending van het privacyrecht staat nu boetes tot 820.000 euro of 10% van de jaaromzet. Die boete kan echter alleen worden opgelegd bij opzet of ernstig verwijtbare nalatigheid.
Voorbeelden van persoonsgegevens:
e‑mailadres zoals [email protected]; nummer van identiteitskaart; locatiegegevens (bijvoorbeeld de locatiegegevens op een mobiele telefoon)*; internetprotocoladres (IP-adres);
Zowel het invoeren van een wachtwoord, het controleren van het wachtwoord, als het hashen van een wachtwoord betreft dus een verwerking van persoonsgegevens.
Een onderneming/organisatie mag niet zomaar persoonsgegevens verzamelen voor ongedefinieerde doeleinden („doelbinding”); de onderneming/organisatie mag alleen de persoonsgegevens verzamelen en verwerken die nodig zijn om dat doel te bereiken („minimale gegevensverwerking”);
Onder indirecte persoonsgegevens vallen gegevens die niet rechtstreeks over de persoon gaan, zoals WOZ-waarde, kentekennummer, de winst van een eenmanszaak en het IP-adres van een computer.
Voorbeelden: naam- en adresgegevens, e-mailadressen, pasfoto's, vingerafdrukken en IP-adressen. Ook gegevens die een waardering over een persoon geven, zoals iemands IQ, zijn persoonsgegevens. Het term datasubject wordt gebruikt voor de persoon van wie gegevens worden verzameld, bewerkt, gebruikt en verspreid.
Verordening (EU) 2016/679 van het Europees Parlement en de Raad1, de nieuwe Algemene Verordening Gegevensbescherming ('AVG') van de Europese Unie ('EU'), regelt de verwerking van persoonsgegevens van natuurlijke personen in de EU door een natuurlijk persoon, een onderneming of een organisatie.
Persoonsgegevens of persoonlijke gegevens zijn alle data over een geïdentificeerde of identificeerbare natuurlijke persoon. Voorbeelden van persoonlijk gegevens zijn: Voor- en achternaam. Telefoonnummer.