10 vragen en antwoorden over de Avg

Sinds 2018 geldt in heel Europa dezelfde privacywetgeving: de Algemene verordening gegevensbescherming (Avg). Onze juristen hebben honderden bedrijven geholpen om aan deze nieuwe wetgeving te voldoen. We zetten de 10 belangrijkste en meest gestelde vragen over de Avg voor je op een rij:

1. Waar gaat de Avg over?

In de Algemene verordening gegevensbescherming, ook wel de Avg of in het Engels de GDPR genoemd, wordt beoogd de privacygevoelige gegevens te beschermen. De Avg stelt regels aan organisaties die met persoonsgegevens werken. De Avg verving per 25 mei 2018 de Nederlandse privacywet (Wbp). Veel bleef hetzelfde, maar de Avg bracht ook een aantal veranderingen en aanscherpingen met zich mee.

2. Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die informatie bevatten over een persoon. Dat kan direct zijn, maar ook indirect als het gegeven tot een persoon te herleiden is. Persoonsgegevens zijn dus niet alleen namen en adressen, maar kunnen ook zijn: IP-adressen, postcodes met huisnummer, foto’s, medische gegevens of bijvoorbeeld (herleidbaar) surfgedrag. Het e-mailadres info@nldigital.nl bevat geen informatie over een persoon (het is niet herleidbaar tot een persoon) en is dus geen persoonsgegeven. Het e-mailadres john.smit@bedrijf.nl bevat wél persoonsgegevens, namelijk de naam van de persoon John Smit (en de informatie dat hij werkzaam is voor bedrijf).

3. Wat is het verschil tussen een ‘gewoon’ en een ‘bijzonder’ persoonsgegeven?

Aan het verwerken van bepaalde gevoelige persoonsgegevens worden extra wettelijke eisen gesteld. Deze gegevens heten ‘bijzondere persoonsgegevens’. Bijzondere persoonsgegevens zijn genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of met betrekking tot iemands seksueel gedrag of seksuele gerichtheid en gegevens die informatie bevatten over: ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond. Ook voor gegevens van strafrechtelijke aard gelden extra wettelijke eisen.

4. Wanneer is er sprake van verwerking van persoonsgegevens in de Avg?

Bij de verwerking van persoonsgegevens gaat het kort gezegd om alle handelingen die met persoonsgegevens kunnen worden uitgevoerd. Als je persoonsgegevens verzamelt, bewaart, bijwerkt, kunt opvragen, gebruiken, verstrekken of vernietigen, dan ben je bezig met het verwerken van persoonsgegevens. Worden er geen persoonsgegevens verwerkt? Dan is de Avg niet van toepassing. Dat zal echter niet snel het geval zijn.

5. Wie is…?

Vijf partijen die veel in de Avg worden genoemd zijn:

6. Wat is het verschil tussen de verwerker en de verwerkingsverantwoordelijke?

In de Avg staan veel regels die specifiek gelden voor ofwel de ‘verwerkingsverantwoordelijke’ ofwel de ‘verwerker’. Het is dus belangrijk om te weten of je verwerker ofover verwerkingsverantwoordelijke bent. We ontwikkelden hebben hiervoor een quickscan.

De Avg geeft aan dat je verwerkingsverantwoordelijke bent als je (al dan niet samen met een andere verwerkingsverantwoordelijke) het doel van en de middelen voor de verwerking vaststelt.

Een voorbeeld: als leverancier beschik je waarschijnlijk over een CRM-administratie met daarin gegevens over jouw klanten (persoonsgegevens). Jij bepaalt wat er met de gegevens gebeurt en waarom je die persoonsgegevens verzamelt (wel/niet mede ten behoeve van facturering, wel/niet mede ten behoeve van nieuwsbrieven, etc.). Dat is het doel. Jij bepaalt ook wat die CRM-administratie mag kosten, wie er mee mogen werken en welke software je daarvoor gebruikt. Dit zijn de middelen. Als leverancier voelt dit als ‘jouw’ CRM-administratie.
-> Je bent verwerkingsverantwoordelijke.

Een verwerkingsverantwoordelijke kan het feitelijk beheer over de verwerking van persoonsgegevens aan een andere partij, zoals een ICT-leverancier, uitbesteden. Deze door de verwerkingsverantwoordelijke ingeschakelde partij wordt in de Avg de verwerker genoemd. Dit is altijd een persoon of organisatie die niet ondergeschikt is aan de verwerkingsverantwoordelijke, oftewel een externe partij. Als verwerker heb je ‘feitelijke beschikkingsmacht’ over de persoonsgegevens. Dat betekent dat de verwerking door jou gepaard gaat met de mogelijkheid om hierop enige invloed uit te oefenen. Het is niet van belang of je deze invloed daadwerkelijk uitoefent. Een voorbeeld: je levert als SaaS-dienst een CRM-administratie aan klanten. Het is de CRM-administratie ‘van de klant’, maar jij kan bij de data voor bijvoorbeeld service en onderhoud.
-> Je bent verwerker.

Kortom: als jij bepaalt wat er met de gegevens (‘jouw’ data) gebeurt en waarom dan ben je waarschijnlijk verwerkingsverantwoordelijke. Als jij data ‘van de klant’ als onderdeel van je dienstverlening verwerkt voor de klant, dan ben je waarschijnlijk verwerker.

7. Wat geldt specifiek voor de verwerkingsverantwoordelijke in de Avg?

Veel van de bepalingen uit de Avg zijn specifiek van belang voor de verwerkingsverantwoordelijke. Andere begrippen, zoals het hebben van een register van verwerkingen, beveiliging en het hebben van een verwerkersovereenkomst richten zich niet alleen op de verwerkingsverantwoordelijke, maar ook op de verwerker.

Een paar begrippen die vooral van belang zijn voor de verwerkingsverantwoordelijke:

8. Wat geldt voor zowel de verwerker als de verwerkingsverantwoordelijke in de Avg?

Een paar begrippen die zowel voor de verwerkingsverantwoordelijke als voor de verwerker relevant zijn:

9. Wat geldt specifiek voor de verwerker in de Avg?

Overigens geldt voor een aantal van deze begrippen dat de verwerkingsverantwoordelijke de verwerker uiteraard wel kan vragen te assisteren (bij wijze van aanvullende dienstverlening), bijvoorbeeld bij het doen van een DPIA of het inrichten van de rechten van betrokkenen.

Ook moet de verwerker de verwerkingsverantwoordelijke van informatie voorzien die helpt bij het kunnen melden en bijhouden van datalekken. De Avg verplicht de verwerker bijvoorbeeld om aan de verwerkingsverantwoordelijke melding te maken van iedere ‘inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’ (oftewel: een datalek). Bij die melding moet je als verwerker bepaalde informatie voegen over het incident, de waarschijnlijke gevolgen, contactgegevens en de getroffen en te treffen maatregelen.

10. Wat kunnen de juristen van NLdigital voor de ICT-leverancier betekenen?

Data Pro Code

Als verwerker van persoonsgegevens wil je niet alleen zorgen dat je je privacy en security op orde hebt. Je wilt dat ook in duidelijke taal aan je klanten en partners laten zien. Vanuit die gedachte heeft NLdigital de Data Pro Code ontwikkeld: een praktische doorvertaling van de Avg voor verwerkers. Je kunt bij een geaccrediteerde toezichthouder beoordelen of je aan de Data Pro Code voldoet. Zo laat je aan je klanten zien dat je veilig met hun gegevens omgaat.

Standaard verwerkersovereenkomst

De juristen van NLdigital hebben voor de leden van NLdigital een Standaard verwerkersovereenkomst opgesteld. Niet-leden kunnen deze Standaard verwerkersovereenkomst tegen betaling bestellen.


Deel via:

Gerelateerde artikelen

3 gevaarlijke mythes over privacy en hoe je ze effectief ontkracht

Rondom privacy bestaat veel onbegrip in de samenleving. In deze blog delen we drie hardnekkige mythes over privacy om jou…
Avg & privacy

Een datalekkenprotocol: waarom is dat belangrijk?

Met een datalekkenprotocol is duidelijk wat je moet doen in het geval dat er zich een incident voordoet, weet je…
Avg & privacy

Voorbeeld datalekkenprotocol

Voor datalekken geldt uiteraard: voorkomen is beter dan genezen. Maar in het geval dat het toch misgaat, is het goed…
Avg & privacy