Crompvoets + Raafs Advocaten

De ins and outs van de Algemene Verordening Gegevensbescherming

In deze blog wordt ingegaan op de Algemene Verordening Gegevensbescherming (hierna: ‘de AVG’).[1] Deze verordening zal ingaan per 25 mei 2018 en is een Europese regeling. Dit maakt dat de regelgeving uit deze verordening voor alle Europese lidstaten zal komen te gelden. De AVG is de opvolger van de Richtlijn 95/46/EG welke in 1995 werd vastgesteld. De Richtlijn uit 1995 en de daarop volgende regelgeving voldoet echter niet meer aan het snel veranderende (digitale) tijdperk. Om die reden heeft de Europese Commissie in 2012 een voorstel gedaan voor een geheel nieuwe regeling: de AVG.[2]

Hierbij moet onderscheid worden gemaakt tussen de AVG – welke van Europees niveau komt – en de uitvoeringsregeling van nationaal niveau. De uitvoeringsregeling is immers noodzakelijk voor het toezicht houden op de naleving van de AVG op nationaal niveau. Tot op heden is hierin nog niet voorzien, er is enkel nog sprake van het ‘Wetsvoorstel Uitvoeringswet Algemene verordening gegevensbescherming.[3] De huidige Wet Bescherming Persoonsgegevens komt met inwerkingtreding van de nieuwe regelgeving dan ook te vervallen.

Velen vragen zich af waarvoor de AVG dient, of deze ook op hen van toepassing is en wat de consequenties zijn van het niet naleven van de AVG. Op deze vragen zal hieronder kort worden ingegaan.

Ter bescherming van wie dient de AVG?

De AVG dient ter bescherming van natuurlijke personen en is van toepassing bij de verwerking van persoonsgegevens van deze natuurlijke personen. In beginsel is dus iedere ondernemer, stichting, et cetera gehouden aan het naleven van de AVG. In artikel 1 van de AVG wordt bijvoorbeeld wel een uitzondering gemaakt voor het verwerken van gegevens “door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit”.

De begrippen ‘persoonsgegevens’, ‘verwerking’ en alle andere relevante begrippen zijn gedefinieerd in artikel 4 van de AVG. Het komt er eigenlijk op neer dat gegevens zoals de naam van een persoon, of andere informatie die een persoon als zodanig identificeerbaar maakt, vallen onder het begrip persoonsgegevens. De verwerking ziet niet enkel op het digitaal verwerken van persoonsgegevens. Alle manieren van opslaan, verzamelen, doorsturen et cetera van persoonsgegevens vallen onder het begrip verwerken.

Voor het verwerken van persoonsgegevens is vanaf de inwerkingtreding van de AVG toestemming nodig, welke toestemming als volgt wordt beschreven: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.” Belangrijk hierbij is dat de toestemming specifiek gericht moet zijn op de verwerking van de persoonsgegevens. Deze toestemming mag niet vervat liggen in bijvoorbeeld de algemene voorwaarden.

Zoals we nu een hokje aanvinken met ‘ik ga akkoord met de algemene voorwaarden’, dient er ook een hokje te komen met ‘ik ga akkoord met het verwerken van mijn persoonsgegevens ten behoeve van (…)’. Immers, aan de persoon die de toestemming geeft moet duidelijk worden gemaakt voor welke doeleinden zijn gegevens worden verwerkt (artikel 5 en 13 AVG). Als de reeds verwerkte gegevens gebruikt moeten worden voor andere doeleinden dan waarvoor de toestemming is verleend, dan zal een afzonderlijke toestemming hiervoor verkregen dienen te worden. De rechtmatigheid van de verwerking en de voorwaarden voor toestemming worden verder in de artikelen 6 tot en met 10 van de AVG uiteengezet.

In artikel 13 AVG staat vermeld welke informatie moet worden verstrekt aan de betrokkene, wiens persoonsgegevens verwerkt gaan worden. Daarbij moet onder meer gedacht worden aan wie de gegevens zullen ontvangen, voor welke periode de gegevens zullen worden opgeslagen enzovoorts.

De verplichtingen voortvloeiend uit de AVG voor de verwerker

De verplichtingen van de verwerker liggen onder meer besloten in hoofdstuk 4 van de AVG: ‘Verwerkingsverantwoordelijke en verwerker’. Hieruit blijkt dat de verwerker een gegevensbeschermingsbeleid moet opstellen, dat hij een register moet bijhouden van de verwerkingsactiviteiten, en dat hij passende en organisatorische maatregelen moet nemen.

Zodra er een inbreuk heeft plaatsgevonden in de verwerkte gegevens moet in beginsel de betrokkene wiens gegevens daarbij blootgesteld zijn, worden ingelicht. In sommige gevallen moet ook de AP hierover worden ingelicht. Deze omstandigheden worden genoemd in de artikelen 33 en 34 van de AVG.

De AVG stelt in bepaalde situaties de aanstelling van een zogenaamde “functionaris gegevensbescherming” noodzakelijk. Artikel 37 van de AVG gaat hier over. In dit artikel worden onder andere overheidsinstanties of overheidsorganen genoemd.

Toezicht en sanctionering op het niet naleven van de AVG

Het toezicht op het niet naleven van de AVG gebeurt door de Autoriteit Persoonsgegevens, (hierna te noemen de ‘AP’), middels de uitvoeringsregeling. De AP is de Nederlandse toezichthouder, waarbij de kanttekening geplaatst dient te worden dat indien uw bedrijf over de Nederlandse grenzen werkt, een andere instantie dan de AP verantwoordelijk kan zijn voor de naleving van de AVG. Immers, iedere lidstaat heeft zijn eigen uitvoeringsregeling en orgaan dat hierop toeziet.[4]

In Nederland kan een natuurlijk persoon naar de AP stappen, indien er sprake is van verwerking van persoonsgegevens “in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in Nederland”.[5]

Een van de taken van de AP is toezicht houden op de naleving van de AVG. De AP heeft de bevoegdheid om een last onder bestuursdwang op te leggen (artikel 16 van het Wetsvoorstel Uitvoeringswet Algemene verordening gegevensbescherming). Een andere taak van de AP is dat zij op kan treden als adviseur of bemiddelaar. De AP kan als adviseur of bemiddelaar optreden in het geval een belanghebbende een daartoe strekkend verzoek aan de AP richt.

De AP heeft ten slotte ook de bevoegdheid om sancties op te leggen in het geval de AVG niet wordt nageleefd. Een sanctie kan bestaan uit een boete, waarvan de bedragen aanzienlijk kunnen oplopen. In artikel 83 van de AVG wordt uiteengezet in welke situaties de AP boetes kan opleggen. Een voorbeeld betreft het niet naleven van de “verplichtingen van de verwerkingsverantwoordelijke en de verwerker overeenkomstig de artikelen 8, 11, 25 tot en met 39, 42 en 43.” De hoogte van de boete kan oplopen tot 10.000.000 euro. Voor een onderneming kan het zelfs gaan om een bedrag van 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dat bedrag hoger is dan de voornoemde 10.000.000 euro.

Tot slot

Hiervoor is de aard en strekking van de AVG kort uitgelegd. Wanneer de AVG op u of uw organisatie van toepassing is, dan is het belangrijk om na te gaan of de werkwijze van gegevensverwerking voldoet aan de eisen die de AVG daaraan stelt. Als dat niet het geval is, dan kunnen immers sancties volgen.

Al met al genoeg redenen om te laten controleren of uw werkwijze van gegevensverwerking voldoet aan de AVG. Indien u hierover meer advies wenst, kunt u te allen tijde contact opnemen met Helgers Advocaten.

 

 

 

 

 

 

[1] De volledige tekst van de verordening is te raadplegen via: http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL

[2] Lexplicatie, commentaar op AVG door mr. A Baas.

[3] https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/wetsvoorstel-uitvoeringswet-algemene-verordening-gegevensbescherming

[4] Whitepaper IONIT: ‘De Algemene Verordening Gegevensbescherming. De 15 meest belangrijke stappen te nemen. Bereid u voor op 25 mei 2018’.

[5] Wetsvoorstel Uitvoeringswet Algemene verordening gegevensbescherming, artikel 4, lid 1.