10 vragen en antwoorden over de Avg

AVG
Vragen en antwoorden Avg

Sinds 2018 geldt in heel Europa dezelfde privacywetgeving: de Algemene verordening gegevensbescherming (Avg). Onze juristen hebben honderden bedrijven geholpen om aan deze nieuwe wetgeving te voldoen. We zetten de 10 belangrijkste en meest gestelde vragen over de Avg op een rij:

Voor het laatst bijgewerkt in juni 2022.

1. Waar gaat de Avg over?

In de Algemene verordening gegevensbescherming, ook wel de Avg of met de Engelse afkorting GDPR genoemd, wordt beoogd de privacygevoelige gegevens te beschermen. De Avg stelt regels aan organisaties die met persoonsgegevens werken. De Avg verving per 25 mei 2018 de Nederlandse privacywet (Wbp). Veel bleef hetzelfde, maar de Avg bracht ook een aantal veranderingen en aanscherpingen met zich mee.

2. Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die informatie bevatten over een persoon. Dat kan direct zijn, maar ook indirect als het gegeven tot een persoon te herleiden is. Persoonsgegevens zijn dus niet alleen namen en adressen, maar kunnen ook zijn: IP-adressen, postcodes met huisnummer, foto’s, medische gegevens of bijvoorbeeld (herleidbaar) surfgedrag. Het e-mailadres info@nldigital.nl bevat geen informatie over een persoon (het is niet herleidbaar tot een persoon) en is dus geen persoonsgegeven. Het e-mailadres john.smit@bedrijf.nl bevat wél persoonsgegevens, namelijk de naam van de persoon John Smit (en de informatie dat hij werkzaam is voor bedrijf).

3. Wat is het verschil tussen een ‘gewoon’ en een ‘bijzonder’ persoonsgegeven?

Aan het verwerken van bepaalde gevoelige persoonsgegevens worden extra wettelijke eisen gesteld. Deze gegevens heten ‘bijzondere persoonsgegevens’. Bijzondere persoonsgegevens zijn genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of met betrekking tot iemands seksueel gedrag of seksuele gerichtheid en gegevens die informatie bevatten over: ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond. Ook voor gegevens van strafrechtelijke aard gelden extra wettelijke eisen.

4. Wanneer is er sprake van verwerking van persoonsgegevens in de Avg?

Bij de verwerking van persoonsgegevens gaat het kort gezegd om alle handelingen die met persoonsgegevens kunnen worden uitgevoerd. Als je persoonsgegevens verzamelt, bewaart, bijwerkt, kunt opvragen, gebruiken, verstrekken of vernietigen, dan ben je bezig met het verwerken van persoonsgegevens. Worden er geen persoonsgegevens verwerkt? Dan is de Avg niet van toepassing. Dat zal echter niet snel het geval zijn.

5. Wie is …?

Vijf partijen die veel in de Avg worden genoemd zijn:

  • De betrokkene (data subject) = persoon over wie de persoonsgegevens informatie bevatten;
  • De verwerkingsverantwoordelijke (controller) = degene die doel en middelen van de verwerking bepaalt;
  • De verwerker (processor) = partij die (als leverancier) persoonsgegevens verwerkt in opdracht en ten behoeve van de verwerkingsverantwoordelijke (diens klant);
  • De Autoriteit persoonsgegevens (AP) = de Nederlandse toezichthouder die de Avg handhaaft. Taken van de AP zijn onder meer: toezicht, advisering, voorlichting en internationale taken;
  • De Functionaris voor de gegevensbescherming (DPO) = interne toezichthouder.

6. Wat is het verschil tussen de verwerker en de verwerkingsverantwoordelijke?

In de Avg staan veel regels die specifiek gelden voor ofwel de ‘verwerkingsverantwoordelijke’ ofwel de ‘verwerker’. Het is dus belangrijk om te weten of je verwerker over verwerkingsverantwoordelijke bent. We ontwikkelden hiervoor een quickscan.

De Avg geeft aan dat je verwerkingsverantwoordelijke bent als je (al dan niet samen met een andere verwerkingsverantwoordelijke) het doel van en middelen voor de verwerking vaststelt.

Een voorbeeld: als leverancier beschik je waarschijnlijk over een CRM-administratie met daarin gegevens over jouw klanten (persoonsgegevens). Jij bepaalt wat er met de gegevens gebeurt en waarom je die persoonsgegevens verzamelt (wel/niet mede ten behoeve van facturering wel/niet mede ten behoeve van nieuwsbrieven, etc.). Dat is het doel. Jij bepaalt ook wat die CRM-administratie mag kosten, wie er mee mogen werken en welke software je daarvoor gebruikt. Dit zijn de middelen. Als leverancier voelt dit als ‘jouw’ CRM-administratie.
-> Je bent verwerkingsverantwoordelijke.

Een verwerkingsverantwoordelijke kan het feitelijk beheer over de verwerking van persoonsgegevens aan een andere partij, zoals een ICT-leverancier, uitbesteden. Deze door de verwerkingsverantwoordelijke ingeschakelde partij wordt in de Avg de verwerker genoemd. Dit is altijd een persoon of organisatie die niet ondergeschikt is aan de verwerkingsverantwoordelijke, oftewel een externe partij. Als verwerker heb je ‘feitelijke beschikkingsmacht’ over de persoonsgegevens. Dat betekent dat de verwerking door jou gepaard gaat met de mogelijkheid om hierop enige invloed uit te oefenen. Het is niet van belang of je deze invloed daadwerkelijk uitoefent. Een voorbeeld: je levert als SaaS-dienst een CRM-administratie aan klanten. Het is de CRM-administratie ‘van de klant’, maar jij kan bij de data voor bijvoorbeeld service en onderhoud.
-> Je bent verwerker.

Kortom: als jij bepaalt wat er met de gegevens gebeurt en waarom (‘jouw’ data) dan ben je waarschijnlijk verwerkingsverantwoordelijke. Als jij data ‘van de klant’ als onderdeel van je dienstverlening verwerkt voor de klant, dan ben je waarschijnlijk verwerker.

7. Wat geldt specifiek voor de verwerkingsverantwoordelijke in de Avg?

Veel van de bepalingen uit de Avg zijn specifiek van belang voor de verwerkingsverantwoordelijke. Andere begrippen, zoals het hebben van een register van verwerkingen, beveiliging en het hebben van een verwerkersovereenkomst richten zich niet alleen op de verwerkingsverantwoordelijke, maar ook op de verwerker.

Een paar begrippen die vooral van belang zijn voor de verwerkingsverantwoordelijke:

  • Doel: persoonsgegevens mogen alleen voor, door de verwerkingsverantwoordelijke welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Vervolgens mogen de persoonsgegevens alleen verder worden verwerkt voor doeleinden die met dat vooraf omschreven doel verenigbaar zijn.
  • Grondslag: de verwerkingsverantwoordelijke mag alleen gegevens verwerken als hij daarvoor grondslag heeft. De grondslagen worden genoemd in artikel 6 Avg( voor ‘gewone’ persoonsgegevens), artikel 9 Avg (voor bijzondere persoonsgegevens) en artikel 10 Avg (strafrechtelijke gegevens). In artikel 7 en 8 Avg worden nadere eisen gesteld aan de grondslag ‘toestemming’.
  • Transparantie: de verwerkingsverantwoordelijke heeft de plicht de betrokkene te informeren. Zie ook ons uitgebreide artikel over transparantie.
  • Rechten betrokkene: de verwerkingsverantwoordelijke moet de rechten van betrokkenen, zoals recht op inzage, recht op verbetering en recht op dataportabiliteit respecteren. Zie meer hierover in onze serie Avg uitgelegd deel 8.
  • Melden inbreuk in verband met persoonsgegevens (datalek): het is de taak van de verwerkingsverantwoordelijke om alle datelekken te documenteren en bepaalde datalekken te melden aan de AP en/of betrokkenen.
  • Privacy impact assessment: een data Privacy Impact Assessment (PIA) is een verplicht instrument om vooraf na te denken over de privacy-risico’s van een bepaalde gegevensverwerking en deze risico’s vervolgens te verkleinen door aanpassingen te doen. Lees meer hierover in ons uitgebreide artikel over het PIA.

8. Wat geldt voor de verwerker en de Verwerkingsverantwoordelijke in de Avg?

Een paar begrippen die zowel voor de verwerkingsverantwoordelijke als voor de verwerker relevant zijn:

  • Verwerkersovereenkomst: als een verwerkingsverantwoordelijke een verwerker inschakelt, moeten partijen bepaalde afspraken maken met elkaar over de verwerking. Deze afspraken over de verwerking van persoonsgegevens kunnen worden uitgewerkt in een verwerkersovereenkomst. Meer over de voorbeeld verwerkersovereenkomst van NLdigital.
  • Beveiliging (‘technische en organisatorische maatregelen’): nieuw in de Avg is dat de verwerker naast de verwerkingsverantwoordelijke ook een zelfstandige plicht heeft om ‘passende technische en organisatorische maatregelen’ te treffen om een ‘op het risico afgestemd beveiligingsniveau te waarborgen’. Daarbij kun je bijvoorbeeld denken aan: pseudonimisering en versleuteling, het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen en het vermogen om bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen (back ups, redundantie).
  • Registerplicht: zowel de verwerker als de verwerkingsverantwoordelijke moeten een register bijhouden van alle verwerkingsactiviteiten. Meer hierover in ons uitgebreide artikel over accountability.

9. Wat geldt specifiek voor de verwerker in de Avg?

Overigens geldt voor een aantal van deze begrippen dat de verwerkingsverantwoordelijke de verwerker uiteraard wel kan vragen te assisteren (bij wijze van aanvullende dienstverlening), bijvoorbeeld bij het doen van een PIA of het inrichten van de rechten van betrokkenen.

Ook moet de verwerker de verwerkingsverantwoordelijke van informatie voorzien die helpt bij het kunnen melden en bijhouden van datalekken. De Avg verplicht de verwerker bijvoorbeeld om aan de verwerkingsverantwoordelijke melding te maken van iedere ‘inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’ (oftewel: datalek). Bij die melding moet je als verwerker bepaalde informatie voegen over het incident, de waarschijnlijke gevolgen, contactgegevens en de getroffen en te treffen maatregelen.

10. Wat kunnen de juristen van NLdigital voor de ICT-leverancier betekenen?

Data Pro

Om ICT-bedrijven in hun rol van data processor op weg te helpen bij de implementatie van de Avg, hebben we de Data Pro-dienstverlening ontwikkeld: Data Pro helpt je blijvend te voldoen aan de nieuwe privacyregels voor het verwerken van persoonsgegevens. Meer informatie over de Data Pro-dienstverlening is hier te vinden.

Data ProCode

Als verwerker van persoonsgegevens wil je niet alleen zorgen dat je je privacy en security op orde hebt, je wilt dat ook in duidelijke taal aan je klanten en partners laten zien. Vanuit die gedachte heeft NLdigital de Data Pro Code ontwikkeld: een praktische doorvertaling van de Avg voor verwerkers.

Data Pro Certificate

We willen bedrijven bovendien de mogelijkheid bieden een stap verder te gaan dan compliance, door zich extern te laten certificeren: het Data Pro Certificate. Met dit certificaat laat je aan klanten en partners zien dat jij als verwerker voldoet aan de wettelijke eisen voor het beschermen van persoonsgegevens. Met het Data Pro Certificate+ regel je ook jouw Functionaris Gegevensbescherming.

Standaard verwerkersovereenkomst

De juristen van NLdigital hebben voor de leden van NLdigital een Standaard verwerkersovereenkomst opgesteld. Leden van NLdigital kunnen deze Standaard verwerkersovereenkomst downloaden via het ledenportal (heb je hiervoor nog geen inloggegevens, neem dan contact met ons op). Niet-leden kunnen deze Standaard verwerkersovereenkomst hier bestellen. Ook stellen we de overeenkomst beschikbaar als je jouw bedrijf aanmeldt voor het Data Pro Certificate.