De AP houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Onder toezicht vallen diverse activiteiten: Onderzoek doen uit eigen beweging naar mogelijke overtredingen van de wet (artikel 55 en 58, lid 1, onder e, AVG).
AVG-eisen verantwoordelijke en verwerker
Als verwerkingsverantwoordelijke blijft u altijd verantwoordelijk voor de persoonsgegevens die u verwerkt. Ook wanneer u die verwerking uitbesteedt aan een verwerker. Uw klanten, burgers, patiënten etc. hebben hun persoonsgegevens immers met ú gedeeld.
Organisaties zijn in bepaalde situaties verplicht een functionaris gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG).
Als verantwoordelijke moet u ervoor zorgen dat er een data protection impact assessment (DPIA) wordt uitgevoerd. U moet hierbij, wanneer van toepassing, aan verschillende partijen advies vragen. U hoeft de DPIA niet zelf uit te voeren, dit kunt u ook door iemand anders binnen of buiten uw organisatie laten doen.
De verwerkingsverantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. Als uw onderneming/organisatie dus beslist „waarom” en „hoe” persoonsgegevens moeten worden verwerkt, is zij de verwerkingsverantwoordelijke.
In de meeste gevallen zijn advocaten verwerkingsverantwoordelijken en geen verwerkers. Een advocaat geeft u doorgaans namelijk niet primair de opdracht om persoonsgegevens voor u te verwerken. Maar wel om u van advies te voorzien bij een juridische kwestie.
De AP houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Onder toezicht vallen diverse activiteiten: Onderzoek doen uit eigen beweging naar mogelijke overtredingen van de wet (artikel 55 en 58, lid 1, onder e, AVG).
Als verantwoordelijke moet u ervoor zorgen dat er een data protection impact assessment (DPIA) wordt uitgevoerd. U moet hierbij, wanneer van toepassing, aan verschillende partijen advies vragen. U hoeft de DPIA niet zelf uit te voeren, dit kunt u ook door iemand anders binnen of buiten uw organisatie laten doen.
Omdat de AVG (net als de Wbp) van dwingend recht is, kunnen partijen slechts aanvullende afspraken maken die niet in strijd zijn met de AVG.
De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder in Nederland die dit grondrecht bewaakt. En ervoor zorgt dat bedrijven en organisaties zich aan de privacywetgeving houden.
De eigenaar van de gegevens is verantwoordelijk, maar ook degene die met de persoonsgegevens aan de slag gaat heeft een bepaalde verantwoordelijkheid. De wet spreekt in dat geval over een verantwoordelijke (degene die de gegevens verzamelt heeft) en de bewerker (degene die de gegevens verwerkt).
De verantwoordelijke of de verwerker blijft verantwoordelijk voor de naleving van de privacywetgeving en moet kunnen aantonen dat deze nageleefd wordt.
Verplichtingen verwerker
De verwerker mag de persoonsgegevens alleen maar verwerken in opdracht van de verwerkingsverantwoordelijke. Indien zij een andere verwerker (ook wel: sub-verwerker) in willen schakelen moeten zij toestemming vragen van de verwerkingsverantwoordelijke.
De ontvanger is een organisatie die persoonsgegevens ontvangt van een verwerkingsverantwoordelijke en voor het ontvangen en verder verwerken daarvan eigen doelstellingen heeft.
'Data controllers' ofwel 'verwerkingsverantwoordelijken', zijn alle bedrijven of instellingen die persoonsgegevens verzamelen en daarbij beslissen wat zij met de verwerkte gegevens doen.
Het gaat hier enerzijds om personen die bevoegd zijn om namens de organisatie over belangrijke zaken te beslissen, maar ook over personen die verstand hebben van het recht, technologie en de gegevensverwerkingen binnen een organi- satie. Het is van belang dat deze personen het belang van privacy compliance onderkennen.
Vaak gaat het over personen die handelingsonbekwaam zijn, personen die hun toestemming niet kunnen geven, of personen die zeer nadelige gevolgen kunnen ondervinden wanneer hun persoonsgegevens publiek beschikbaar zouden worden (zie ook Europese Commissie, (2021) “Ethics in Social Science and Humanities” Guidelines, ...
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.
De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze bevoegdheid heeft de AP sinds 25 mei 2018, de datum dat de AVG van toepassing werd.
De AVG gaat over de bescherming van persoonsgegevens. Mensen hebben meer privacyrechten, organisaties hebben meer verantwoordelijkheden en de toezichthouder heeft meer bevoegdheden. De AVG is ook bekend onder de Engelse naam: General Data Protection Regulation (GDPR).
Op schending van het privacyrecht staat nu boetes tot 820.000 euro of 10% van de jaaromzet. Die boete kan echter alleen worden opgelegd bij opzet of ernstig verwijtbare nalatigheid.
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare levende natuurlijke persoon. Losse gegevens die samengevoegd kunnen leiden tot de identificatie van een bepaalde persoon vormen ook persoonsgegevens.
Dat houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en 'afgedwongen' kan worden.
De verwerkersovereenkomst is de overeenkomst tussen verantwoordelijke en verwerker, waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. In bovengenoemd voorbeeld moeten het bedrijf en het salarisadministratiekantoor dus een schriftelijke overeenkomst met elkaar aangaan.