De Algemene verordening gegevensbescherming (AVG) regelt in de hele  Europese Unie (EU) de privacyrechten van mensen. Deze wet – ook wel bekend als GDPR (General Data Protection Regulation) – heeft in Nederland per 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangen. 

In de Algemene verordening gegevensbescherming (AVG) staat wat de verantwoordelijkheden van organisaties zijn met betrekking tot de verwerking van persoonsgegevens. Ook bepaalt de AVG wat werkgevers wel en niet mogen doen met personeelsgegevens. Daarnaast staan de rechten van werknemers erin beschreven.

Op deze pagina

wat zijn persoonsgegevens?

De Autoriteit Persoonsgegevens (AP) is in Nederland de toezichthouder op naleving van de wettelijke regels voor bescherming van persoonsgegevens. Volgens de AP is een persoonsgegeven elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.

soorten persoonsgegevens

Er zijn verschillende soorten persoonsgegevens. Voor de hand liggende ‘gewone’ gegevens zijn iemands naam, adres, woonplaats en telefoonnummer(s). 

Bijzondere persoonsgegevens zijn gegevens over geloofsovertuiging, ras, seksuele geaardheid, gezondheid, lidmaatschap van een vakvereniging of gegevens over iemands fysiologie of gezondheid. 

verwerken persoonsgegevens

Organisaties verwerken persoonsgegevens. Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens. Hieronder onder vallen de volgende handelingen: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

Niet iedere organisatie mag zomaar persoonsgegevens verwerken. Daarvoor moet een wettelijke grondslag bestaan. Als een organisatie zich niet kan beroepen op minimaal een van de zes wettelijke grondslagen mag deze organisatie geen persoonsgegevens verwerken. 

wat regelt de avg?

De AVG heeft per 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangen. Daarmee:

  • zijn de privacyrechten van mensen versterkt en uitgebreid
  • hebben organisaties meer verantwoordelijkheden gekregen (zoals de verantwoordingsplicht)
  • hebben alle Europese privacytoezichthouders dezelfde bevoegdheden gekregen.

versterking en uitbreiding van privacyrechten

Mensen hebben meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Zo moeten organisaties kunnen bewijzen dat zij een geldige grondslag hebben om hun persoonsgegevens te verwerken. Het moet ook voor iedereen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Met de inwerkingtreding van de AVG kunnen mensen voortaan ook eisen dat derden – namelijk alle andere organisaties die gegevens van een organisatie hebben gekregen – te vragen hun persoonsgegevens te verwijderen.

meer verantwoordelijkheden voor organisaties

Organisaties die persoonsgegevens verwerken hebben een verantwoordingsplicht gekregen. Dit houdt in dat zij, met documenten, moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Daarnaast is er onder meer het volgende voor organisaties veranderd:

europese privacytoezichthouders

Alle Europese privacytoezichthouders hebben dezelfde bevoegdheden, ook om boetes op te leggen. In Nederland is dat de Autoriteit Persoonsgegevens (AP).

boetes

Boetes voor het overtreden van de AVG kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

dossier avg

Meer informatie over de Algemene verordening gegevensbescherming (AVG) vind je in het Dossier AVG op AutoriteitPersoonsgegevens.nl.