Privacyrecht en de AVG
De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet die de bescherming van persoonsgegevens regelt. Een verordening heeft een rechtstreekse werking in de hele EU, dus ook in Nederland. Deze verordening is in de plaats gekomen van de Wet bescherming persoonsgegevens (WBP). In de AVG is een beperkte ruimte gelaten om lidstatelijk specifieke bepalingen op te nemen of uitzonderingen te maken. Het gaat hier onder meer om regels inzake de verwerking van bijzondere categorieën van persoonsgegevens en om de invulling van de rechten van betrokkenen. Deze specifieke bepalingen zijn vastgelegd in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) en in enkele sectorale wetten. Voor de toepassing van het privacyrecht betekent dit meestal dat er meerdere wetten geraadpleegd moeten worden.
Het privacyrecht regelt de verwerking van persoonsgegevens
Wanneer je gegevens verwerkt, dan kan de AVG hierop van toepassing zijn. De verordening is van toepassing wanneer er sprake is van een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Daarnaast is de verordening van toepassing op de handmatige verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
De AVG heeft als uitgangspunt dat persoonsgegevens alleen mogen worden verwerkt voor zogenaamde gerechtvaardigde doeleinden. Dit houdt in dat de verwerking van persoonsgegevens noodzakelijk moet zijn voor het bereiken van specifiek in de AVG genoemde doelen. Wanneer het gerechtvaardigd is om persoonsgegevens te verwerken, dient de verwerking ervan correct en op een verantwoord manier te gebeuren. Persoonsgegevens mogen niet langer worden bewaard dan nodig is. Dit dient goed beveiligd te gebeuren zodat de gegevens ook vertrouwelijk blijven.
Binnen de AVG is het de zogenaamde verwerkingsverantwoordelijke die het doel en de middelen bepaalt voor de verwerking. Deze verwerkingsverantwoordelijke is de persoon die de verantwoordelijkheid heeft voor het naleven van de AVG. Vaak wordt een deel van de verwerking uitbesteed aan derden. Denk bijvoorbeeld aan een ICT-aanbieder of een salarisverwerker. Deze verwerker handelt in opdracht van de verwerkingsverantwoordelijke. De verwerker heeft een verplichting om de instructies van de verwerkingsverantwoordelijke op te volgen. Daarnaast zijn er een aantal bepalingen uit de AVG ook direct van toepassing op de verwerker.
Technische en organisatorische maatregelen binnen het privacyrecht
Voor de ICT-praktijk speelt art. 32 AVG een belangrijke rol. Hierin stelt de AVG dat zowel de verwerkingsverantwoordelijke als de verwerker passende technische en organisatorische maatregelen moeten treffen waar het gaat om de beveiliging van persoonsgegevens.
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
- de pseudonimisering en versleuteling van persoonsgegevens;
- het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
- een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
Meer weten over het privacyrecht?
Wil je meer weten over het privacyrecht in het algemeen of over de toepassing van de AVG of UAVG in het bijzonder? Of vragen over arbeidsgerelateerde privacy zaken? In diverse artikelen kun je hierover veel informatie terugvinden. Ook over andere onderwerpen zoals de NIS2 richtlijn. Stuur gerust een mail als je meer wil weten over een specifiek onderwerp binnen het privacyrecht.