Wat is de AVG? Een overzicht van de AVG-wetgeving en haar belangrijkste aspecten

Wat houdt de AVG in en wat is het doel ervan?

De AVG heeft als doel de privacyrechten van individuen te beschermen door hen meer controle te geven over hun gegevens, terwijl bedrijven en organisaties verplicht worden om gegevens op een eerlijke, transparante en veilige manier te verwerken. Dit betekent dat bedrijven zorgvuldig moeten afwegen hoe zij gegevens verwerken en voor welke doeleinden zij data verzamelen. De wet is belangrijk voor burgers en bedrijven in heel Europa, aangezien ze de basis vormt voor de bescherming van persoonsgegevens in onze moderne, digitale samenleving.

Onder de AVG vallen persoonsgegevens, oftewel alle gegevens die herleidbaar zijn tot een persoon. Dit kan gaan om namen, adressen, telefoonnummers en e-mailadressen, maar ook om IP-adressen en andere digitale gegevens. Daarnaast zijn er ‘gevoelige gegevens’, zoals medische informatie, etniciteit en politieke opvattingen, die extra beschermd horen te worden.

De AVG richt zich hierbij specifiek op de verwerking van persoonsgegevens. Verwerking verwijst naar elke handeling die met persoonsgegevens wordt uitgevoerd, zoals verzamelen, opslaan, analyseren, gebruiken en verwijderen. Organisaties moeten voldoen aan de vereisten van de AVG om deze gegevens op een rechtmatige en zorgvuldige manier te verwerken.

Wat betekent de AVG voor bedrijven?

Voor bedrijven betekent de AVG een verantwoordelijkheid om aan een reeks voorschriften te voldoen, zoals:

• Toestemming. Het vragen van toestemming aan betrokkenen voordat hun gegevens worden verzameld, behalve in bepaalde uitzonderingen.
• Minimalisatie van gegevensverzameling. Er mogen alleen gegevens verzameld worden die strikt noodzakelijk zijn voor het beoogde doel.
• Transparantie over verzameling en gebruik. Bedrijven moeten gebruikers duidelijk informeren over hun gegevensbeleid.
• Gegevensbescherming en -beveiliging. Organisaties moeten passende technische en organisatorische maatregelen nemen om gegevens te beschermen tegen verlies of ongeoorloofde toegang.

Wat betekent de AVG voor privacy?

De algemene verordening gegevensbescherming versterkt de privacyrechten van individuen door hen de mogelijkheid te bieden om:

• Informatie op te vragen over hoe hun gegevens worden verwerkt.
• Verzoeken te doen om incorrecte gegevens te laten corrigeren of om gegevens volledig te laten verwijderen.
• Meer zeggenschap te hebben over hun persoonlijke informatie en ervoor te zorgen dat deze op een veilige manier wordt beheerd.

Op wie is de AVG van toepassing?

De AVG is van toepassing op elke organisatie, zowel binnen als buiten de EU, die persoonsgegevens verwerkt van EU-burgers. Het gaat hierbij om alle bedrijven en organisaties die goederen of diensten aanbieden in de EU, of die activiteiten van individuen in de EU monitoren, zoals online marketingbedrijven. Dit betekent dat de AVG niet alleen Europese bedrijven verplicht om aan deze regelgeving te voldoen, maar ook internationale bedrijven zoals Amerikaanse techbedrijven die actief zijn in Europa.

Wat zijn de 7 principes van de AVG?

De AVG is opgebouwd rond zes basisprincipes die fungeren als richtlijnen voor bedrijven en organisaties bij het omgaan met persoonsgegevens. Het zevende, overkoepelende principe is de verantwoordingsplicht. We leggen de principes hieronder kort uit:

1. Rechtmatigheid, behoorlijkheid en transparantie. Gegevens moeten op een rechtmatige, eerlijke en transparante manier worden verwerkt.
2. Doelbinding. Gegevens mogen alleen worden verzameld voor specifieke, expliciete en legitieme doeleinden, en mogen niet voor andere doeleinden worden gebruikt.
3. Dataminimalisatie. Alleen de minimaal benodigde gegevens mogen worden verzameld en verwerkt.
4. Juistheid. Gegevens moeten accuraat zijn en indien nodig worden bijgewerkt om onnauwkeurigheden te vermijden.
5. Opslagbeperking. Gegevens mogen niet langer worden bewaard dan noodzakelijk is voor het beoogde doel, in overeenstemming met de principes van dataretentie.
6. Vertrouwelijkheid en integriteit. Gegevens moeten veilig worden verwerkt en beschermd zijn tegen ongeoorloofde toegang, verlies, of vernietiging.
7. Verantwoording. Organisaties moeten kunnen aantonen dat zij zich aan de AVG houden, door bijvoorbeeld interne procedures en documentatie te kunnen overleggen.

Deze principes leggen de nadruk op transparantie, dataminimalisatie, en veiligheid van gegevens en vormen de kern van de AVG-vereisten voor organisaties.

Wat zijn de rechten van betrokkenen onder de AVG?

De AVG-wetgeving geeft individuen binnen de EU verschillende privacyrechten waarmee zij controle kunnen uitoefenen over hun persoonsgegevens. Hieronder een overzicht van de belangrijkste rechten:

1. Recht op informatie. Mensen moeten geïnformeerd worden dat hun persoonsgegevens worden of zullen worden verwerkt, en wat de doeleinden van deze verwerking zijn.
2. Recht op inzage. Het recht om te weten welke persoonsgegevens worden verwerkt.
3. Recht op rectificatie. Het recht om onjuiste of onvolledige gegevens te corrigeren.
4. Recht op gegevenswisseling (vergetelheid). Ook bekend als het ‘recht om vergeten te worden’, waarbij mensen kunnen verzoeken hun gegevens te laten verwijderen. (Lees hier ook hoe je jezelf van het internet kunt verwijderen).
5. Recht op beperking van de verwerking. Het recht om de verwerking van gegevens in bepaalde gevallen te beperken.
6. Recht op overdraagbaarheid (dataportabiliteit). Het recht om persoonsgegevens over te dragen naar een andere organisatie.
7. Recht op bezwaar. Het recht om bezwaar te maken tegen bepaalde verwerkingen, zoals profilering voor marketingdoeleinden.
8. Recht om niet aan geautomatiseerde besluitvorming onderworpen te worden. Bescherming tegen geautomatiseerde besluitvorming zonder menselijke tussenkomst, zoals in het geval van kredietbeoordelingen.

Wat is de relatie tussen de AVG, UAVG, RGR en AP?

Naast de AVG, die een EU-brede wetgeving is, heeft Nederland ook de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). De UAVG biedt Nederland de mogelijkheid om specifieke invullingen en uitzonderingen op bepaalde AVG-normen toe te passen.

In de Richtlijn voor gegevensbescherming bij rechtshandhaving (RGR) worden verdere details uitgewerkt over de uitvoering van deze wetten.

In Nederland is de Autoriteit Persoonsgegevens (AP) de toezichthoudende instantie die de naleving van de AVG en UAVG handhaaft en boetes kan opleggen bij overtredingen. Daarnaast speelt de AP een belangrijke rol bij het adviseren van bedrijven en het beschermen van privacyrechten van burgers.

Is AVG-wetgeving altijd van toepassing?

De algemene verordening gegevensbescherming is in veel gevallen van toepassing, maar er zijn enkele uitzonderingen. Wanneer persoonsgegevens uitsluitend worden verwerkt voor persoonlijke en huishoudelijke doeleinden, zonder commerciële intentie, is de AVG niet van toepassing. Ook geldt de AVG niet in gevallen die te maken hebben met nationale veiligheid, defensie en bepaalde strafrechtelijke onderzoeken. Deze uitzonderingen maken het mogelijk om privacybescherming in balans te houden met andere belangrijke maatschappelijke belangen.

Hoe voldoe je aan de AVG-wetgeving en wat zijn de gevolgen van niet-naleving?

Bedrijven kunnen aan de AVG-wetgeving voldoen door een aantal belangrijke stappen te volgen om persoonsgegevens zorgvuldig en volgens de regels te verwerken. Hier zijn enkele maatregelen die helpen om AVG-compliant te zijn:

1. Toestemming vragen. Bedrijven moeten expliciete en geïnformeerde toestemming vragen van individuen voordat ze hun gegevens verzamelen en verwerken. Deze toestemming moet specifiek, vrijelijk gegeven, en eenvoudig te herroepen zijn.
2. Gegevensminimalisatie toepassen. Verzamel alleen de persoonsgegevens die echt noodzakelijk zijn voor een specifiek doel. Het principe van gegevensminimalisatie helpt om de privacyrisico’s te beperken.
3. Informatieplicht naleven. Bedrijven moeten transparant zijn over de verwerking van gegevens. Dit betekent dat zij betrokkenen moeten informeren over wat er met hun gegevens gebeurt, waarom ze worden verzameld, en met wie ze worden gedeeld. Dit kan bijvoorbeeld via een duidelijke privacyverklaring.
4. Rechten van betrokkenen respecteren. De AVG verleent individuen verschillende rechten, zoals het recht op inzage, correctie, en verwijdering van hun gegevens. Bedrijven moeten processen hebben om snel te kunnen reageren op dergelijke verzoeken.
5. Passende beveiligingsmaatregelen treffen. Gegevens moeten adequaat beveiligd zijn tegen ongeoorloofde toegang en datalekken. Dit kan door technische maatregelen zoals encryptie en toegangslimieten toe te passen, en organisatorische maatregelen zoals het trainen van personeel.
6. Data Protection Impact Assessment (DPIA) uitvoeren. Voor bepaalde soorten gegevensverwerking, zoals risicovolle of grootschalige verwerking, moet een DPIA worden uitgevoerd. Dit helpt om mogelijke risico’s voor de privacy van betrokkenen vooraf te identificeren en te beheersen.
7. Verwerkingsregister bijhouden. De AVG vereist dat bedrijven een register bijhouden van alle verwerkingsactiviteiten. Dit verwerkingsregister moet de aard en het doel van de verwerking, betrokken gegevenscategorieën, en de beveiligingsmaatregelen beschrijven.
8. Functionaris Gegevensbescherming (FG) aanstellen. In sommige gevallen, zoals bij overheidsorganisaties of bij grootschalige verwerking van gevoelige gegevens, is het verplicht om een Functionaris Gegevensbescherming aan te stellen. Deze persoon houdt toezicht op de naleving van de AVG binnen de organisatie.

Niet-naleving van de AVG kan leiden tot hoge boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaarlijkse omzet van een bedrijf, afhankelijk van welk bedrag hoger is. Naast financiële sancties kan het verlies van vertrouwen bij klanten ook schadelijk zijn voor de reputatie van bedrijven en organisaties.

Bekende gevallen van AVG-overtredingen in Nederland

Enkele bekende voorbeelden van AVG-overtredingen in Nederland waarvoor de AP aanzienlijke boetes heeft opgelegd:

De Autoriteit Persoonsgegevens (AP) heeft Uber in 2024 een boete van € 290 miljoen opgelegd vanwege de overtreding van regels die de Algemene Verordening Gegevensbescherming (AVG) stelt aan internationale doorgiften van persoonsgegevens. Uber deelt persoonsgegevens van Europese taxichauffeurs met de Verenigde Staten (VS) en heeft daarbij volgens de AP tussen 2021 en 2023 geen gebruik gemaakt van een doorgifte-instrument, zoals een adequaatheidsbesluit van de Europese Commissie, standard contractual clauses (SCCs), binding corporate rules (BCR).

Een van de meest spraakmakende boetes die de Autoriteit Persoonsgegevens (AP) heeft opgelegd, betreft de Belastingdienst in 2021. De Belastingdienst kreeg een boete van 2,75 miljoen euro vanwege ernstige schendingen van de AVG tijdens de toeslagenaffaire. In dit schandaal werden duizenden ouders ten onrechte verdacht van fraude, en de Belastingdienst hield jarenlang onrechtmatig gegevens bij over de nationaliteit en dubbele nationaliteit van deze ouders. De AP concludeerde dat de Belastingdienst zich schuldig maakte aan discriminatie en onvoldoende waarborgen had ingebouwd om de privacy van burgers te beschermen.

Conclusie

De AVG is een essentieel instrument in de bescherming van persoonsgegevens en heeft als doel om de privacy van EU-burgers te waarborgen. Door de verplichtingen van de AVG moeten organisaties hun gegevensbeheer verbeteren, transparantie bieden en veiligheid garanderen. De naleving van de AVG kan organisaties helpen om het vertrouwen van klanten te winnen en hun reputatie te beschermen, terwijl ze voorkomen dat ze geconfronteerd worden met hoge boetes en andere sancties.

Veelgestelde vragen

Wat betekent AVG-wetgeving?

De Algemene Verordening Gegevensbescherming (AVG) is de Europese wetgeving voor privacybescherming, die sinds 2018 van kracht is. Deze wet past bij het huidige digitale tijdperk en geeft burgers meer controle over hun persoonsgegevens. Organisaties worden verplicht om zorgvuldig en transparant om te gaan met data en mensen te informeren over hoe hun gegevens worden verwerkt.

Is de AVG altijd van toepassing?

Nee, de AVG is niet altijd van toepassing. De wet geldt bijvoorbeeld niet wanneer gegevens worden verwerkt voor puur persoonlijke of huishoudelijke doeleinden zonder commercieel karakter. De AVG is echter wel van toepassing wanneer organisaties persoonsgegevens verwerken van burgers in de EU, ongeacht de locatie van de organisatie.

Wanneer moet ik de AVG toepassen?

Je moet de AVG toepassen als je organisatie persoonsgegevens van mensen in de EU verzamelt, gebruikt, of beheert, ook als je bedrijf buiten de EU is gevestigd. De wet eist dat elk bedrijf dat gegevens van EU-burgers verwerkt aan de AVG-vereisten voldoet.

Wat is het verschil tussen de AVG en de UAVG?

De AVG vormt de basis van de Europese privacywetgeving met open normen zoals noodzakelijkheid en proportionaliteit. Deze principes waren in veel opzichten al vastgelegd in eerdere wetgeving, maar de AVG versterkt deze. De Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) stelt Nederland in staat om specifieke nationale invullingen toe te voegen aan de AVG, zoals bepaalde uitzonderingen en aanvullende regels.

Wat mag wel en wat mag niet volgens de AVG?

De AVG schrijft voor dat bedrijven en organisaties persoonsgegevens met zorg verwerken. Dit betekent dat ze een gerechtvaardigde reden moeten hebben om gegevens te verwerken en niet meer gegevens mogen verzamelen of gebruiken dan strikt noodzakelijk is. Deze regels gelden binnen de gehele Europese Economische Ruimte (EER) en zijn bedoeld om onnodige inbreuken op de privacy van individuen te voorkomen.