Vergroot contrast

Algemene verordening gegevensbescherming

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Wat verandert er?

De AVG zorgt onder meer voor:

Overgangsperiode tussen Wbp en AVG

Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.

Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Let op: tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

Aparte richtlijn politie en justitie

Naast de AVG is er een aparte Richtlijn gegevensbescherming opsporing en vervolging. Deze richtlijn is alleen bedoeld voor politie en justitie.

Nieuws

Alle nieuwsberichten over het onderwerp 'Algemene verordening gegevensbescherming'

Alle antwoorden op mijn vragenVragen over de algemene verordening gegevensbescherming (AVG)

  • Wat zijn de belangrijkste veranderingen voor organisaties?

    Als de algemene verordening gegevensbescherming (AVG) van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability).

      Documentatieplicht

      Organisaties hebben daarom een documentatieplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

        Hulp bij naleving wet

        Maar de AVG biedt organisaties tegelijkertijd meer instrumenten die hen helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor de relatie tussen de verantwoordelijke en de verwerker (in de Wbp heet dit de bewerker) en voor doorgifte van persoonsgegevens.

          Veranderingen per 25 mei 2018

          Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:

        • Wat merken mensen van wie persoonsgegevens worden verwerkt van de AVG?

          Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid.

          Toestemming

          In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken.

          Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

          Aanvullende rechten

          Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.

          Zij hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

          Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

          Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

        • Hoe hoog zijn de boetes onder de AVG?

          Overtreedt een organisatie straks de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.

          Boete van maximaal 10 miljoen euro

          Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben onder de AVG bepaalde verplichtingen, zoals een documentatieplicht.

          Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

          Boete van maximaal 20 miljoen euro

          Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)?

          Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

        • Wat levert de AVG mij als organisatie op?

          Als de algemene verordening gegevensbescherming (AVG) van toepassing is, geldt er nog maar één privacywet in de hele Europese Unie (EU) in plaats van 28 verschillende nationale wetten. Dit betekent dat u zich nog maar aan één Europese wet hoeft te houden als u persoonsgegevens verwerkt.

          Bent u in meerdere EU-lidstaten actief ? Dan levert de AVG u het volgende op:

          • u heeft minder administratieve kosten en nalevingskosten;
          • u heeft meer rechtszekerheid;
          • er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU;
          • u hoeft nog maar met één toezichthouder zaken te doen (onestopshop).
        • Waar moet de verwerkersovereenkomst onder de AVG aan voldoen?

          Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG). In de toekomst kunt u hiervoor mogelijk ook standaardcontractbepalingen gebruiken, als die beschikbaar komen.

          U moet de volgende onderwerpen vastleggen:

          Algemene beschrijving

          Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).

          Instructies verwerking

          De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

          Geheimhoudingsplicht

          Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

          Beveiliging

          De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

          Subverwerkers

          De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.

          In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

          Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

          Privacyrechten

          De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

          Andere verplichtingen

          De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een privacy impact assessment (PIA) en bij een voorafgaande raadpleging.

          Gegevens verwijderen

          Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

          Audits

          De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).

        • Moet ik me tijdens de voorbereiding op de AVG nog aan de Wbp houden?

          Ja. Tot 25 mei 2018 moet u zich nog aan de Wet bescherming persoonsgegevens (Wbp) houden. De Algemene verordening gegevensbescherming (AVG) is weliswaar al in werking getreden, maar geldt nu nog niet. In de overgangsperiode tussen Wbp en AVG kunt u voorbereidingen treffen om per 25 mei 2018 aan de AVG te voldoen.

          Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.

          Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

        • Moet ik mijn gegevensverwerkingen straks nog melden bij de AP?

          Nee. Zodra de algemene verordening gegevensbescherming (AVG) van toepassing is (25 mei 2018), hoeft u uw gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP).

          U heeft vanaf deze datum wél een documentatieplicht. Dit houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen (accountability).

          Let op: uw gegevensverwerkingen melden bij de AP is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet. Als de AVG van toepassing is, moet u dus nog steeds datalekken melden bij de AP.

        • Waarom is er nieuwe Europese privacywetgeving?

          In de EU heeft nu nog elke lidstaat een eigen privacywet. Deze nationale wetten zijn wel allemaal gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is de nationale uitvoering van deze richtlijn de Wet bescherming persoonsgegevens.

          De Europese privacyrichtlijn werd vastgesteld toen internet nog in de kinderschoenen stond. Daarom is de Europese privacywetgeving de afgelopen jaren herzien.

        Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

        Alle antwoorden op mijn vragenVragen over het recht op vergetelheid

        • Wat houdt het recht op vergetelheid uit de AVG in?

          In Artikel 17 van de Algemene verordening gegevensbescherming (AVG) is het zogeheten recht op vergetelheid opgenomen. Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt.

          Voorwaarden recht op vergetelheid

          Het recht op vergetelheid geldt niet altijd. Alleen in de volgende situaties is het recht op vergetelheid van toepassing:

          • Niet meer nodig
            De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.
          • Intrekken toestemming
            De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
          • Bezwaar
            De betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.
          • Onrechtmatige verwerking
            De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
          • Wettelijk bepaalde bewaartermijn
            De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
          • Kinderen
            De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).

          Verschil met nu

          Het recht op vergetelheid lijkt op het huidige recht op correctie en verwijdering (artikel 36 van de Wet bescherming persoonsgegevens). Maar het recht op vergetelheid is breder. Het recht is niet meer – zoals nu – beperkt tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens.

          Meer informatie

        • Wanneer geldt het recht op vergetelheid uit de AVG niet?

          De Algemene verordening gegevensbescherming (AVG) noemt een aantal omstandigheden waarin het recht op vergetelheid niet geldt:

          • De verwerking is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat privacy en vrijheid van meningsuiting gelijkwaardige grondrechten zijn.
          • De organisatie verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen.
          • De organisatie verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
          • De organisatie verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
          • De organisatie moet de gegevens in het algemeen belang archiveren.
          • De gegevens zijn noodzakelijk voor een rechtsvordering.

          Algemene uitzonderingen privacyrechten

          Daarnaast is in artikel 23 van de AVG een aantal algemene uitzonderingen opgenomen op de rechten van betrokkenen. Dit artikel lijkt op het huidige artikel 43 van de Wet bescherming persoonsgegevens.

          Het artikel biedt organisaties de mogelijkheid om in bijzondere omstandigheden geen gehoor te geven aan verzoeken van betrokkenen. Zij moeten dan voor dat verzoek een belangenafweging maken waaruit blijkt dat hun belangen (of de rechten en vrijheden van anderen) zwaarder wegen dan het privacyrecht van de betrokkene.

          Het is bijvoorbeeld niet de bedoeling dat betrokkenen met een beroep op hun rechten sporen van crimineel gedrag wissen.

        • Wat moet ik als organisatie doen als ik een verzoek krijg om gegevens te wissen?

          Zodra de Algemene verordening gegevensbescherming (AVG) geldt, hebben betrokkenen (degenen van wie u gegevens verwerkt) het recht op vergetelheid. Vraagt iemand u op grond van dit recht om zijn gegevens te wissen? Dan moet u dat onmiddellijk doen, uiterlijk binnen een maand. Alleen als het om een heel complex verzoek gaat, heeft u twee maanden extra de tijd. U moet dan wel binnen een maand aan de betrokkene laten weten dat het langer gaat duren.

          Manier van reageren

          Als een betrokkene het verzoek elektronisch indient, moet u ook elektronisch reageren. Tenzij de betrokkene u vraagt om op een andere manier te reageren.

          Kosten

          U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is (veelvuldig herhaalde verzoeken van één persoon)? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

          Derde partijen informeren

          Heeft u de betreffende persoonsgegevens aan derde partijen verstrekt? Dan moet u die ontvangers informeren dat u deze persoonsgegevens heeft gewist. En uitleggen dat ook de ontvangers iedere kopie van of koppeling naar die persoonsgegevens moeten wissen.

          Publiceert u bijvoorbeeld persoonsgegevens via een website? Dan moet u zoekmachines informeren. U kunt daarbij de webpagina opnieuw laten indexeren, zodat de gewiste persoonsgegevens niet meer verschijnen in de zoekresultaten.

          Als een betrokkene erom vraagt, moet u ook vertellen welke ontvangers u op die manier heeft geïnformeerd (artikel 19 van de AVG).

        Hulpmiddelen voor professionals