De Algemene Verordening Gegevensbescherming samenvatting

Bent u al voorbereid op de nieuwe privacywetgeving? De Algemene Verordening Gegevensbescherming (AVG) treedt op 25 mei in werking. In dit artikel leest u de algemene verordening gegevensbescherming samenvatting.

Naast het lezen van de AVG samenvatting bieden wij een aantal handige checklisten aan, zodat u weet welke stappen u moet ondernemen: 

Hieronder treft u de samenvatting, opgesteld aan de hand van de meest gestelde vragen met daaronder een korte toelichting. Na het lezen van onderstaande vragen en antwoorden, weet u binnen 10 minuten wat de AVG voor u betekent.

Voor wie geldt de AVG?

In het kort: de AVG geldt voor zakelijke activiteiten.

De AVG is van toepassing op zakelijke verwerking van persoonsgegevens. De AVG geldt dus niet voor adresbestanden, sociaal netwerken of online-activiteiten in de privé-sfeer. De AVG geldt wel voor bedrijven die deze ‘privé’ gegevens verwerken.

Waarvoor geldt de AVG?

In het kort: de AVG geldt voor verwerking van persoonsgegevens via (computer)netwerken of in gestructureerde gegevensbestanden.

De AVG is van toepassing op geautomatiseerde verwerking van persoonsgegevens. Met andere woorden: het verwerken van persoonsgegevens via computers of computernetwerken. De AVG is ook van toepassing op de verwerking van persoonsgegevens die in een bestand zijn of worden opgenomen. Bijvoorbeeld: een dossier of ordner die volgens een bepaald criterium is gestructureerd, zoals visitekaartjes in een opbergsysteem via een alfabetische volgorde. Wat losse geprinte emails of papieren met persoonsgegevens op een bureau vormen geen bestand en ook geen verwerking van persoonsgegevens.

Wat is verwerking precies?

In het kort: de AVG geldt voor vrijwel iedere handeling met persoonsgegevens.

Maar wat is verwerking nu precies? De AVG beschrijft dat heel ruim en noemt de volgende voorbeelden: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, afschermen, wissen en vernietigen. Puur mondelinge overdracht van gegevens is geen verwerking en valt dus niet onder de AVG.

Wie is verantwoordelijke voor de verwerking?

In het kort: de verantwoordelijke is degene die het doel en de middelen van de verwerking van persoonsgegevens vaststelt.

Bent u diegene die bepaalt welke persoonsgegevens er worden verzameld, voor welk doel dit gebeurt en bepaalt u met welke middelen dit gebeurt? In dat geval bent u verwerkingsverantwoordelijke. Wanneer u dit samen met anderen doet, dan bent u gezamenlijk verantwoordelijk en dienen er duidelijke afspraken te zijn tussen u beiden.

Wat is een verwerker?

In het kort: de verwerker is degene die ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aanwezigheid van een gezagsverhouding.

Een verwerker is daarmee iemand of een onderneming die ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder dat sprake is van een gezagsverhouding. Personeel dat u in dienst heeft, of personeel dat bij u gedetacheerd is en werkt volgens uw instructies zijn geen verwerkers. Er is immers een gezagsverhouding. Externe bedrijven die u inschakelt, bijvoorbeeld zoals een clouddienst, of een archiefvernietiger zijn wel verwerkers.

Waarvoor dient een verwerkersovereenkomst?

In het kort: De AVG verplicht een verwerkersovereenkomst alleen met personen/bedrijven waarmee geen gezagsrelatie bestaat.

Dat betekent dat met personeel geen verwerkersovereenkomst hoeft te worden afgesloten. Wanneer er tussen een verwerker en een verwerkingsverantwoordelijke geen gezagsverhouding bestaat en om grip te houden op persoonsgegevens, verplicht de AVG om een gezagsverhouding te creëren via een verwerkersovereenkomst.

Vragen over het opstellen van de verwerkersovereenkomst? Of uw verwerkersovereenkomst laten checken? Neem contact op met mr. A Heijink.

Is een functionaris gegevensbescherming verplicht?

In het kort: de functionaris gegevensbescherming is een interne toezichthouder voor verwerking van persoonsgegevens en extern contactpersoon. De aanstelling is in sommige gevallen verplicht.

Een functionaris gegevensbescherming is een intern toezichthouder voor verwerking van persoonsgegevens en adviseert over de toepassing en naleving van de AVG in de organisatie. Ook is de functionaris persoonsgegevens het aanspreekpunt voor betrokkenen en personen van wie persoonsgegevens verwerkt worden.

De aanstelling van een functionaris gegevensbescherming is in een aantal gevallen verplicht, namelijk als u een overheidsorgaan bent. Ook is de aanstelling verplicht indien u stelselmatig en op grote schaal persoonsgegevens verwerkt uit hoofde van observatie, of als het om verwerking van bijzondere persoonsgegevens gaat.

U kunt een functionaris gegevensbescherming ook vrijwillig aanstellen. Bedenk wel dat deze dezelfde verantwoordelijkheden en bevoegdheden heeft. Kortom, op vrijwillige aanstelling volgen dezelfde verantwoordelijkheden en verplichtingen.

Wanneer moet ik een gegevensbeschermingseffectbeoordeling (Privacy Impact Assessment) uitvoeren?

In het kort: Een gegevensbeschermingseffectbeoordeling is nodig bij verwerkingen met een hoog risico voor personen. In bepaalde gevallen dient ook eerst de Autoriteit Persoonsgegevens te worden geraadpleegd.

U dient een gegevensbeschermingseffectbeoordeling uit te voeren voor verwerkingen met een hoog risico voor natuurlijke personen (de betrokkenen). Er is sprake van een hoog risico wanneer de verwerking aan twee of meer van de onderstaande negen criteria voldoet:

  1. De verwerking houdt evaluatie van personen of toekenning van scores in;
  2. De verwerking houdt geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg in;
  3. Er is sprake van stelselmatige monitoring;
  4. De verwerking bevat gevoelige gegevens of gegevens van zeer persoonlijke aard;
  5. Er is sprake van op grote schaal verwerkte gegevens;
  6. Er is sprake van matching of samenvoeging van datasets;
  7. Er is sprake van gegevens met betrekking tot kwetsbare betrokkenen;
  8. De verwerking houdt innovatieve toepassing van nieuwe technologische of organisatorische oplossing in
  9. De verwerking kan blokkering van een recht, dienst of contract tot gevolg hebben.

Blijkt uit de gegevensbeschermingseffectbeoordeling dat het hoge risico niet kan worden weggenomen door allerlei voorzorgsmaatregelen, dan is raadpleging van de Autoriteit Persoonsgegevens nodig, voordat de verwerking plaats vindt.

Vragen over de algemene verordening gegevensbescherming samenvatting of heeft u bepaalde documenten nodig? Wilt u een geheimhoudingsverklaring of privacystatement opstellen of een verwerkersovereenkomst laten checken? Neem contact op met onze Privacy advocaat mr. A. Heijink.

Naast het lezen van deze algemene verordening gegevensbescherming samenvatting bieden wij een aantal handige checklisten: