De AVG in een notendop

Wat zijn persoonsgegevens?


Persoonsgegevens betreft alle informatie die redelijkerwijs te herleiden is tot een individu. Het omvat informatie die in tekst, maar ook in beeld en geluid is vastgelegd.

 

Verwerking van persoonsgegevens


Persoonsgegevens mogen niet zo maar worden verzameld. Organisaties zijn daartoe alleen bevoegd op bepaalde grondslagen, zoals: de grond van een algemeen belang of openbaar gezag, een gerechtvaardigd belang, een wettelijke verplichting, op grond van toestemming of op grond van de uitvoering van een overeenkomst.

 

Voorbeeld “met toestemming”:

Personen moeten toestemming geven voor de verwerking van hun gegevens:

vrijelijk, dus niet uit dwang, of onder druk van een positie van machtsverhoudingen;
ondubbelzinnig, actief en dus niet door middel van aangevinkte hokjes;
terwijl zij geïnformeerd zijn over uw organisatie, welke gegevens u verzamelt en met welk doel u gebruikt maakt van deze gegevens;
met daarbij het recht om de toestemming in te trekken.
NB die toestemming is gegeven voor een specifiek doel dat niet gewijzigd mag worden; het moet voor mensen net zo makkelijk zijn om de toestemming in te trekken als te geven – en u moet kunnen aantonen dat de toestemming heeft gekregen.

 

Rechten van personen


Onder de AVG krijgen mensen van wie u de persoonsgegevens verwerkt meer rechten dan voorheen. Zij hebben het recht om:

te weten welke gegevens zijn vastgelegd, en hoe zij deze kunnen wijzigen of laten verwijderen;
de persoonsgegevens te (laten) wijzigen; 
persoonsgegevens te laten verwijderen;
om gegevens over te dragen.
 

 

Verantwoordingsplicht verwerker


Voor de verwerker van persoonsgegevens geldt een verantwoordingsplicht. U moet op verzoek van de Autoriteit kunnen aantonen dat uw verwerking voldoet aan de AVG. Die verantwoordingsplicht reikt soms ver. Zo kunt u in bepaalde gevallen verplicht zijn om:

een register van verwerkingsactiviteiten aan te houden;
een register van datalekken die zin opgetreden bij te houden;
aan te kunnen tonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking;
een “data protection impact assessment” (DPIA) voor gegevensverwerkingen met een hoog privacy risico (geloof, ras, etc) te doen;
een functionaris persoonsgegevens aan te stellen (en wanneer onduidelijk is of u verplicht bent om een functionaris voor gegevensbescherming aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om deze niet aan te stellen).
 

Boetes


Voldoet u bij onderzoek niet aan de in de AVG eisen, dan kan de Autoriteit boetes opleggen.

 

Meer weten?

Voor rechtstreekse informatie van de Autoriteit Persoonsgegevens verwijzen wij u door naar hun website en een AVG 10 stappenplan.  

Heeft u gerichte vragen? Dan kunt u contact opnemen met mr. Lars van Dijk. 

rechter

Gepubliceerd op

01-05-2018

Rechtsgebieden

Bestuursrecht