Wat houdt de AVG in?

Vorig jaar op 25 mei is de nieuwe wetgeving rondom privacy van kracht gegaan. Deze wet heet in Nederland Algemene Verordening Gegevensbescherming (AVG) en in Europa General Data Protection Regulation (GDPR). Voor veel mensen is dit ingewikkelde materie, vaak uitgebreid omschreven met ingewikkelde termen. Wat houdt deze wet nou eigenlijk in? Wij leggen het je behapbaar en begrijpelijk uit.

Liever de vlog kijken over GDPR/AVG? Klik op deze zin!

Download hier de AVG checklist en ga gestructuteerd aan de slag met de AVG in jouw organisatie:

New call-to-action

De kernbegrippen van de AVG

De AVG draait om privacy. Privacy is de persoonlijke leefsfeer die ons handelen, onze eigenschappen en onze informatie omvatten wat ons onderscheidt van anderen. Dit is in Nederland een beschermd goed. Sterker nog, deze bescherming is een grondrecht: een recht dat een burger heeft tegenover de staat. Om deze grondwet beter te beschermen heeft de overheid (op Europees niveau) bepaald dat organisaties die in Europa opereren hun privacybeleid in overeenstemming met de AVG moeten hanteren. Dit is ook wel de verantwoordingsplicht van organisaties. In deze verantwoordingsplicht komen een aantal rollen naar voren:

Persoonsgegevens

Gegevens van een persoon die online verzameld worden. Deze persoon moet zich binnen de grenzen van de Europese Unie bevinden, wil de wet van kracht zijn. Let op! Het gaat om de fysieke locatie van de persoon waarvan gegevens verzameld worden, niet om de nationaliteit.

Verwerkingsverantwoordelijke

Een verwerkingsverantwoordelijke bepaalt het doel en de middelen van het verwerken van de persoonsgegevens. De verwerkingsverantwoordelijke is verantwoordelijk voor een correct doel en de juiste middelen (lees: systemen).

Verwerker

Een verwerker verwerkt persoonsgegevens voor de verwerkingsverantwoordelijke. De verwerker moet ervoor zorgen dat de verwerkingsverantwoordelijke aan zijn/haar verplichtingen van de AVG kan voldoen.

Verwerkingsverantwoordelijke en verwerker zijn beiden verantwoordelijk voor het nakomen van de AVG. Lees hier meer over de rollen. 

Verschillende manieren van verzamelen van persoonsegevens

De AVG gaat dus over het verzamelen van persoonsgegevens. Je kunt op verschillende manieren persoonsgegevens verzamelen. De wet schrijft 3 niveaus voor:

  • Direct: wanneer een persoon zijn of haar gegevens achterlaat via bijvoorbeeld jouw website.
  • Partnerschappen: wanneer jij gegevens ontvangt van een partner waarmee je samenwerkt.
  • Commercieel: wanneer je persoonsgegevens koopt van een derde partij.

Naast deze 3 manieren kun je ook via cookies data verzamelen. Cookies komen voor in 2 categorieën:

  • Geanonimiseerd: dan zie je de data alleen in de vorm van cijfers. Denk aan weergaves, bouncepercentages, klikken, etc.
  • Gepseudonimiseerd: dan kun je zien dat iemand meerdere keren actie heeft ondernomen. Denk aan bereik, wanneer één persoon meerdere weergaven heeft. Je kunt een persoon niet identificeren met deze cijfers.

Bij de meeste cookies kan iemands identiteit niet achterhaald worden, maar het is wel verplicht om toestemming te vragen door middel van een melding onderaan de website. Let op! Een cookiewall mag niet, mensen moeten te alle tijde toegang hebben tot je website.

Zijn er schema’s om de AVG goed te begrijpen/na te komen binnen mijn organisatie?

Ja, die zijn er! Rijksoverheid heeft een document opgesteld met schema’s om te checken of jij als organisatie de AVG goed toepast en begrijpt. Vind hier de originele schema’s vanuit de Rijksoverheid.

Dit document is alleen niet geschreven in Jip en Janneke taal. Wij kunnen ons daarom voorstellen dat dit document te ingewikkeld is voor mensen zonder juridische achtergrond.

Is de wet nou wel of niet van toepassing op jouw organisatie?

Wij vonden één schema uit het document erg handig. Namelijk, wanneer is de wet op jouw organisatie van toepassing?

Schema 1:  is de Verordening op jouw organisatie van toepassing?

Dit schema bevat hier en daar wat onduidelijkheden en moeilijke termen zonder toelichting. Wat zijn ‘gegevens’ en wat bedoelen ze met ‘territoriale toepassingsbereik van de Verordening?’ We leggen je elke stap uit:

  1. Wat zijn gegevens? De Van Dale definieert het als volgt: “bekend feit waaruit je gevolgtrekkingen kunt maken”. Vrij vaag nog. Wij omschrijven het als informatie waaruit je conclusies kunt trekken. Is het informatie waaruit je conclusies kan trekken, ga door naar ‘ja’, zo niet ga door naar ‘nee’. 
  2. Wanneer worden gegevens persoonsgegevens? De Van Dale geeft hier wel duidelijke opheldering over: “waarmee iemands identiteit kan worden vastgesteld”. Dus gegevens waarmee je iemands identiteit kan vaststellen. Kun je met de gegevens iemands identiteit vaststellen, ga door naar ‘ja’, zo niet naar ‘nee’. 
  3. Wanneer is iets geautomatiseerd? Wij omschrijven het als: wanneer computers de verwerking overnemen zonder menselijk handelen. Worden gegevens verwerkt door (onder andere) computers, ga door naar ‘ja’, is er sprake van totale menselijke verwerking naar ‘nee’.
  4. Dit vinden wij een zeer vage stap… Wat is de andere optie dan het niet op te nemen in een bestand? Wij denken dat de Rijksoverheid hier doelt op gegevens opslaan of verwijderen. Sla je de gegevens op, ga door met ‘ja’ en wanneer je ze direct verwijdert, ga door naar ‘nee’.
  5. Wat betekent ‘materiële toepassingsbereik’? Het materiële toepassingsbereik betreft de vraag waarop de Verordening van toepassing is. Wat zijn de uitzonderingen op het materiële toepassingsbereik van de Verordening? Een uitzondering voor verwerkingen is voor puur huishoudelijke doeleinden (lees: privédoeleinden). Daarnaast is op bepaalde activiteiten niet de Verordening, maar een andere wet van toepassing. Het verwerken van persoonsgegevens door de politie bij het opsporen van strafbare feiten is bijvoorbeeld uitgezonderd van de Verordening. Hierop is de Wet politiegegevens van toepassing. Dus, gebruik je de persoonsgegevens voor privédoeleinden of heb je de persoonsgegevens van een persoon die een strafbaar feit heeft gepleegd, ga door naar ‘ja’ zo niet, ga door naar ‘nee’.
  6. Wat betekent ‘territoriale toepassingsbereik’ van de Verordening? Het territoriale toepassingsbereik betreft de vraag waar de Verordening van toepassing is. De wet geldt binnen het grondgebied van de Europese Unie en in bepaalde situaties daarbuiten. Dit zijn de verwerkingen door lidstaten in het kader van het gemeenschappelijk buitenlands- en veiligheidsbeleid. Dan kunnen lidstaten persoonsgegevens uitwisselen met landen buiten de Europese Unie, om de veiligheid te waarborgen (denk aan terrorisme). Dit is voor organisaties niet van toepassing (het zijn namelijk geen lidstaten). Kortom, zijn de gegevens op bodem van de Europese Unie verzameld, ga dan door naar ‘ja’ of daar buiten, ga dan door naar ‘nee’.
  7.  Deze stap houdt in dat de wet van kracht is, maar dat er rekening gehouden moet worden in bepaalde situaties met de uitzonderingen van de Verordening (zie bij toepassingsbereik hierboven) en wetgeving van landen buiten de Europese Unie.
Bekijk hier vlog over GDPR/AVG:
Petra de Niet

No Comments

Post a Comment