De Algemene verordening gegevensbescherming (AVG) vierde dit jaar haar vijfde toepasselijkheidsverjaardag. De meeste mensen kennen de regeling van naam, net als de beruchte zin ‘dat mag niet van de AVG’, maar kun je dat wel zo hard stellen? In deze blogreeks nemen wij jou mee in verschillende onderdelen van de AVG, waarbij wij uitgaan van de praktische toepassing ervan. Met als uitgangspunt: het mag wél, als je het maar goed regelt.
We beginnen dit eerste deel van de blogreeks met de belangrijkste definities. Vervolgens kijken we wanneer de AVG van toepassing is en stippen we de verschillende rollen aan, zodat je een goede basis hebt voor het vervolg van de reeks.
Wanneer geldt de AVG eigenlijk?
De AVG is een Europese regeling met rechten en plichten op het gebied van de bescherming van persoonsgegevens. Het is de belangrijkste privacywetgeving in Nederland. De bescherming van persoonsgegevens is het eerste hoofddoel van de AVG. Het tweede hoofddoel is het vrije verkeer van persoonsgegevens binnen de Europese Unie (EU) mogelijk maken.
De AVG geldt bij de verwerking van persoonsgegevens in de Europese Economische Ruimte (EER). Een persoonsgegeven is “alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon”. Dit is dus erg breed en omvat o.a. NAW-gegevens, loopbaangegevens, medische dossiers en surfgedrag van een levend individu. Deze persoon heet “de betrokkene”. Ook gegevens over bedrijven kunnen persoonsgegevens zijn, bijvoorbeeld in het geval van een eenmanszaak of vennootschap onder firma (vof).
Verwerking is ook een breed begrip en ziet op (een geheel van) bewerkingen met betrekking tot (een geheel van) persoonsgegevens, zoals het verzamelen, vastleggen, structureren, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verspreiden, combineren, afschermen, wissen of vernietigen. Dit mag geautomatiseerd zijn, maar hoeft niet. Er is dus vrij snel sprake van het verwerken van persoonsgegevens, waardoor de AVG snel van toepassing is.
Alle in Nederland gevestigde bedrijven en overheden moeten zich houden aan de AVG, net als Europese vestigingen van bedrijven met een hoofdkantoor buiten de EER. Het maakt daarbij niet uit of de betrokkenen uit een EU-land komen. De AVG geldt ook voor buitenlandse bedrijven die zich richten op Europese klanten bij het aanbieden van producten of diensten. Denk hierbij aan een Amerikaanse webshop waar je in euro’s kunt betalen en vragen in het Nederlands kunt stellen. De AVG geldt daarnaast wanneer het gedrag van deze Europese personen gemonitord wordt door buitenlandse bedrijven.
De AVG staat niet op zichzelf. Vaak krijg je te maken met nationale wetgeving waarin aanvullende regels (kunnen) staan. Zo is er in Nederland de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). Verder kunnen er afwijkende of aanvullende regels zijn voor een bepaalde sector, denk aan de gegevensuitwisseling in de zorg, maar ook het strafrecht, bestuursrecht of burgerlijk recht kan regels bevatten over de bescherming van persoonsgegevens waar je rekening mee moet houden. Bedrijven met Europese vestigingen moeten dus goed onderzoek doen naar het in dat land geldende recht.
De AVG geldt overigens in beginsel niet in privéverband. Het oude adressenboekje ergens achterin een la in de woonkamer kan daar dus prima blijven liggen zonder dat de AVG om de hoek komt kijken. Wanneer precies sprake is van ‘privéverband’ is niet op voorhand te zeggen en hangt af van de omstandigheden van het geval. Zo kan bij een deurbelcamera wél sprake zijn van toepasselijkheid van de AVG.
Rollen binnen de AVG
De “betrokkene” hebben we al besproken. Twee andere belangrijke spelers zijn de “verwerkingsverantwoordelijke” en de “verwerker”. De verwerkingsverantwoordelijke bepaalt het doel en de essentiële middelen van een verwerking. De verwerker voert slechts handelingen uit namens de verwerkingsverantwoordelijke en volgt daarbij de instructies van deze verantwoordelijke op. Van belang is wie feitelijk gezien bepaalt wat er met de gegevens gebeurt, niet welke rol partijen zichzelf hebben toebedeeld. De afspraken hierover leggen zij vast in een verwerkersovereenkomst. Beide partijen zijn aansprakelijk als deze overeenkomst ontbreekt, ga hier dus niet lichtzinnig mee om.
Wanneer beide partijen voor de verwerking hun eigen doel en middelen bepalen maar wel gegevens uitwisselen, kan sprake zijn van afzonderlijke verwerkingsverantwoordelijken. Ook dan is het schriftelijk vastleggen van afspraken noodzakelijk. Vaak gebeurt dit in een zogeheten gegevensuitwisselingsovereenkomst (of ‘controller-to-controller agreement). Bij partijen die gezamenlijk het doel en de middelen van een verwerking bepalen, is sprake van gezamenlijke verwerkingsverantwoordelijken en maak je gebruik van een ‘joint controller agreement’.
Een verwerker kan bepaalde werkzaamheden uitbesteden aan een derde (de subverwerker). De verwerker blijft ten opzichte van de verwerkingsverantwoordelijke verantwoordelijk voor het nakomen van de verplichtingen van de ingeschakelde subverwerkers. Leg ook in dit verband afspraken goed vast.
De laatste speler is natuurlijk de toezichthouder. In Nederland is dit de Autoriteit Persoonsgegevens (AP). De bevoegdheden van de AP bespreken wij in een aparte blog.
Is de AVG op jouw organisatie van toepassing en wil je graag praktische ondersteuning bij de implementatie ervan? Onze specialisten staan voor je klaar.
Juridisch advies is altijd maatwerk. Deze blog bevat algemene informatie. Hoewel het artikel met veel aandacht en zorgvuldigheid is geschreven, is het verstandig om in een voorkomend geval altijd deskundig juridisch advies in te winnen (lees onze disclaimer).
Geschreven door Evelyn Peerboom en Melissa Charitos
