De AVG in het kort

De Algemene verordening gegevensbescherming (AVG) legt meer verantwoordelijkheden neer bij organisaties die persoonsgegevens verwerken. Mensen van wie gegevens worden verwerkt, hebben meer rechten gekregen. En alle Europese privacytoezichthouders hebben de bevoegdheid om boetes op te leggen aan organisaties die de regels overtreden.

Op deze pagina

Voor wie de AVG geldt

De AVG geldt voor iedereen die persoonsgegevens verwerkt. Dus niet alleen voor grote bedrijven, maar ook voor kleine mkb’ers en zzp’ers. En voor de overheid. Verder geldt de AVG niet alleen voor organisaties, maar ook voor individuele personen die gegevens verwerken. Bijvoorbeeld mensen die een camera ophangen bij hun huis.

Aparte richtlijn voor politie en justitie

Voor politie en justitie geldt naast de AVG extra privacywetgeving. Dat is de Europese Richtlijn voor gegevensbescherming bij rechtshandhaving. Deze richtlijn geeft regels voor de verwerking van persoonsgegevens door bevoegde autoriteiten om strafbare feiten te voorkomen, te onderzoeken, op te sporen en te vervolgen en om straffen uit te voeren.

Voor andere taken van politie en justitie is de AVG wel van toepassing. Bijvoorbeeld bij de verwerking van personeelsgegevens. In Nederland is de Richtlijn per 1 januari 2019 geïmplementeerd in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).

Basisprincipes (beginselen) AVG

De AVG kent 6 basisprincipes, in de AVG 'beginselen' genoemd. Die staan in  artikel 5 van de AVG. Elke organisatie die persoonsgegevens verwerkt, moet zich hieraan houden. En dit kunnen aantonen. Dat is de verantwoordingsplicht.

De 6 AVG-beginselen zijn:

  1. rechtmatigheid, behoorlijkheid en transparantie;
  2. doelbinding;
  3. dataminimalisatie;
  4. juistheid;
  5. opslagbeperking;
  6. vertrouwelijkheid en integriteit.

Rechtmatigheid, behoorlijkheid en transparantie

Organisaties mogen persoonsgegevens alleen verwerken in overeenstemming met de wet. Dan is de verwerking rechtmatig. Een verwerking die niet aan de AVG voldoet, is dus onrechtmatig.

Voor betrokkenen moet het behoorlijk en transparant zijn hoe en waarom hun persoonsgegevens verwerkt worden. Zij moeten in ieder geval op de hoogte zijn van de identiteit van de organisatie die hun persoonsgegevens verwerkt. Ook moet het doel van de gegevensverwerking duidelijk zijn.

Zie ook: Recht op informatie.

Doelbinding

Organisaties mogen persoonsgegevens alleen verzamelen met een gerechtvaardigd doel. Dat doel moet specifiek zijn en vooraf uitdrukkelijk zijn omschreven.

Het doel waarvoor een organisatie persoonsgegevens gaat verwerken, moet verenigbaar zijn met het doel waarvoor deze gegevens zijn verzameld. Oftewel: de organisatie mag de gegevens niet ineens voor een heel ander doel gebruiken.

Dataminimalisatie

Als organisaties persoonsgegevens verwerken, moeten ze daarbij uitgaan van het principe ‘zo min mogelijk’. Dat houdt bijvoorbeeld in dat de verwerking van de gegevens moet passen bij het doel. En dat de organisatie niet meer gegevens mag verwerken dan noodzakelijk is om het doel te bereiken.

Juistheid

De verwerkingsverantwoordelijke moet ervoor zorgen dat de gegevens juist zijn. En de gegevens actualiseren als dat nodig is.

Mensen kunnen ook aan organisaties vragen hun persoonsgegevens aan te passen als die niet kloppen. Dat is het recht op rectificatie.

Opslagbeperking

Organisaties moeten persoonsgegevens verwijderen zodra die niet langer nodig zijn voor het oorspronkelijke doel waarvoor ze zijn verzameld. Organisaties mogen gegevens dus maar een bepaalde tijd bewaren.

Zie ook: Bewaren van persoonsgegevens.

Vertrouwelijkheid en integriteit

De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere persoonsgegevens, zoals over iemands gezondheid, gelden extra strenge regels.

Zie ook: Beveiliging van persoonsgegevens.

De betekenis van de AVG

Organisaties hebben door de AVG meer verantwoordelijkheden gekregen. Ook staat er meer op het spel, want zij kunnen een hoge boete krijgen als zij de AVG overtreden. Mensen van wie organisaties gegevens verwerken, hebben meer privacyrechten gekregen.

De betekenis voor organisaties

Voor u als organisatie is onder meer van belang:

Bent u als organisatie in meerdere EU-lidstaten actief ? Dan levert de AVG u het volgende op:

  • U heeft minder administratieve kosten en nalevingskosten.
  • U heeft meer rechtszekerheid.
  • Er is een gelijk speelveld (‘level playing field’), want alle regels zijn hetzelfde voor alle bedrijven in de EU.
  • U hoeft nog maar met één toezichthouder zaken te doen (onestopshop).

De betekenis voor privacyrechten

Door de AVG hebben mensen meer mogelijkheden gekregen om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten zijn namelijk versterkt en uitgebreid.

Aanvullende rechten zijn:

  • Recht op gegevens wissen (‘recht op vergetelheid’). Mensen hadden al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Nu kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die de gegevens hebben ontvangen.
  • Recht op dataportabiliteit. Mensen hebben (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst.

De rol van de AP

De AVG en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) regelen de taken en bevoegdheden van de AP als toezichthouder op de wet- en regelgeving voor de verwerking van persoonsgegevens.

Privacybescherming is een continu proces. De AP helpt organisaties op verschillende manieren om aan de AVG te voldoen.

Contact

U kunt de AP bellen met algemene vragen over de AVG. U kunt ons vragen stellen over uw verantwoordelijkheden onder de AVG. Ook kunt u bij ons terecht voor algemene informatie over de privacyregels. Wij leggen u dan uit wat er in de wet staat.

Wij geven als toezichthouder algemene antwoorden op uw vragen. Wilt u weten of u met een specifieke handeling of werkwijze aan de AVG voldoet? Dan kunt u het beste contact opnemen met bijvoorbeeld een adviesbureau, een bedrijfsjurist of een brancheorganisatie.

Soms kunnen wij uw AVG-vraag (nog) niet concreet beantwoorden. In sommige gevallen werken de Europese privacytoezichthouders bijvoorbeeld nog aan guidance over een bepaalde regel uit de wet. Wanneer die er is, brengen zij bijvoorbeeld nieuwe guidelines uit. Zodat alle landen dezelfde uitleg geven.

Helpt u onze voorlichting te verbeteren?

Uw vragen en reacties geven ons inzicht in de onderwerpen uit de AVG waarover nog veel behoefte aan informatie is. Dat helpt om onze voorlichting te verbeteren. Onder andere door de informatie op onze website uit te breiden.

Dus ook al kunnen wij soms uw vraag nog niet concreet beantwoorden, blijf ons vooral uw vragen stellen. Via de telefoon of tijdens bijeenkomsten.

Voorlichting

De AP geeft op uitnodiging en in overleg presentaties tijdens bijeenkomsten georganiseerd door brancheorganisaties of andere georganiseerde samenwerkingen. Ook zorgt de AP voor voorlichting via de pers.

Handhaving

De AP is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing.

Boete

De AP kan een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze bevoegdheid heeft de AP sinds 25 mei 2018, de datum dat de AVG van toepassing werd.

Meer over de AP

Lees meer over het werk van de AP.

Informatie en hulpmiddelen

Er zijn verschillende hulpmiddelen beschikbaar voor organisaties.  

Informatie op de website van de AP

De informatie op deze website is op thema ingedeeld. Bij ieder thema vindt u basisinformatie en antwoorden op veelgestelde vragen. Zo komt u stap voor stap aan alle informatie die u nodig heeft.   

AVG-regelhulp

De AP heeft de interactieve AVG-regelhulp ontwikkeld. Als u de vragen uit de regelhulp beantwoordt, krijgt u een praktisch advies op maat over waar u nog aan moet werken om aan de AVG te (blijven) voldoen. De AVG-regelhulp ontwikkelde de AP samen met de Rijksdienst voor Ondernemend Nederland (RVO).

Checklist AVG

Voor een overzicht van een aantal belangrijke onderdelen van de AVG bekijkt u de infographic De AVG in een notendop. De AP-checklist Houd grip op persoonsgegevens helpt u om te controleren of uw organisatie (nog steeds) aan een aantal belangrijke onderdelen van de AVG voldoet.  

AVG-guidelines

De AP publiceert samen met de andere Europese privacytoezichthouders guidelines die bepaalde onderwerpen uit de AVG verduidelijken.

Lespakket over privacy

Leraren van groep 7 en 8 kunnen het gratis Lespakket privacy van de AP downloaden.