Hoofdstukken 01 In werking: 25 mei 2018

AVG

Algemene Verordening Gegevensbescherming

Overzicht

De Algemene Verordening Gegevensbescherming (AVG) is de hoeksteen van de EU-wetgeving voor gegevensbescherming. Het verving de Richtlijn gegevensbescherming 95/46/EG en versterkte aanzienlijk de rechten van individuen over hun persoonsgegevens, terwijl het uitgebreide verplichtingen oplegde aan verwerkingsverantwoordelijken en verwerkers.[1]

De AVG is van toepassing op elke organisatie die persoonsgegevens van individuen in de EU verwerkt, ongeacht waar de organisatie is gevestigd. Deze extraterritoriale reikwijdte heeft van de AVG een de facto wereldwijde standaard voor gegevensbescherming gemaakt.[2]

Wie Moet Voldoen

  • Verwerkingsverantwoordelijken: Organisaties die de doeleinden en middelen van de verwerking van persoonsgegevens bepalen
  • Verwerkers: Organisaties die persoonsgegevens verwerken namens verwerkingsverantwoordelijken
  • Niet-EU entiteiten: Elke organisatie die goederen/diensten aanbiedt aan EU-inwoners of hun gedrag monitort
  • Alle sectoren: Van toepassing in alle industrieën met beperkte uitzonderingen voor wetshandhaving en nationale veiligheid

Belangrijke Vereisten voor Ontwikkelaars

Rechtsgrond voor Verwerking

Elke verwerkingshandeling moet een geldige rechtsgrond hebben volgens Artikel 6:[3]

  1. Toestemming: Vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig
  2. Contract: Noodzakelijk voor de uitvoering van een contract met de betrokkene
  3. Wettelijke verplichting: Vereist door EU- of lidstatelijke wetgeving
  4. Vitale belangen: Bescherming van het leven van de betrokkene of een ander persoon
  5. Publiek belang: Noodzakelijk voor een taak van algemeen belang of uitoefening van openbaar gezag
  6. Gerechtvaardigde belangen: Afgewogen tegen de rechten van de betrokkene (niet beschikbaar voor overheidsinstanties)

Technische Vereisten

  • Dataminimalisatie: Alleen verzamelen wat noodzakelijk is voor het gespecificeerde doel
  • Bewaarbeperking: Persoonsgegevens alleen bewaren zolang als nodig is
  • Integriteit en vertrouwelijkheid: Passende beveiligingsmaatregelen implementeren
  • Privacy by design en by default: Gegevensbescherming vanaf het begin in systemen inbouwen (Artikel 25)[4]

Rechten van Betrokkenen

Applicaties moeten de volgende rechten ondersteunen:

RechtBeschrijvingReactietijd
Toegang (Art. 15)Kopie van persoonsgegevens en verwerkingsinformatie verstrekken1 maand
Rectificatie (Art. 16)Onjuiste persoonsgegevens corrigerenZonder onredelijke vertraging
Wissing (Art. 17)Gegevens verwijderen wanneer niet langer nodigZonder onredelijke vertraging
Beperking (Art. 18)Verwerking beperken in specifieke omstandighedenZonder onredelijke vertraging
Overdraagbaarheid (Art. 20)Gegevens in een machineleesbaar formaat verstrekken1 maand
Bezwaar (Art. 21)Bezwaar maken tegen verwerking op basis van gerechtvaardigde belangenZonder onredelijke vertraging

Meldplicht datalekken

  • Aan toezichthoudende autoriteit: Binnen 72 uur na kennisname (Artikel 33)[5]
  • Aan betrokkenen: Zonder onredelijke vertraging bij hoog risico voor rechten en vrijheden (Artikel 34)
  • Documentatie: Houdt een register bij van alle datalekken, ongeacht meldplicht

Sancties

De AVG kent een gelaagde sanctiestructuur:

  • Lager niveau: Tot €10 miljoen of 2% van de jaarlijkse wereldwijde omzet, afhankelijk van wat hoger is
  • Hoger niveau: Tot €20 miljoen of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van wat hoger is[6]

Belangrijke opgelegde boetes zijn onder andere:

  • Amazon (Luxemburg, 2021): €746 miljoen
  • Meta/Facebook (Ierland, 2023): €1,2 miljard
  • Google (Frankrijk, 2022): €90 miljoen

Implementatiechecklist

  • Identificeer alle verwerkingsactiviteiten van persoonsgegevens
  • Stel een rechtsgrond vast voor elke verwerkingshandeling
  • Implementeer toestemmingsbeheer waar van toepassing
  • Maak privacyverklaringen die voldoen aan transparantievereisten
  • Bouw mechanismen voor het afhandelen van verzoeken van betrokkenen
  • Implementeer passende beveiligingsmaatregelen
  • Stel procedures op voor detectie en melding van datalekken
  • Voer gegevensbeschermingseffectbeoordelingen uit voor verwerkingen met hoog risico
  • Stel een functionaris voor gegevensbescherming aan indien vereist
  • Houd een register van verwerkingsactiviteiten (RoPA) bij

Bronnen & Referenties

[1]
Verordening (EU) 2016/679 van het Europees Parlement en de Raad. EUR-Lex: Officiële tekst AVG
[2]
Territoriale reikwijdte van de AVG, Artikel 3. GDPR.eu: Territoriale reikwijdte
[3]
Rechtmatigheid van verwerking, Artikel 6. GDPR-Info: Artikel 6
[4]
Gegevensbescherming door ontwerp en standaardinstellingen, Artikel 25. GDPR-Info: Artikel 25
[5]
Melding van een inbreuk in verband met persoonsgegevens, Artikel 33. GDPR-Info: Artikel 33
[6]
Administratieve boetes, Artikel 83. GDPR-Info: Artikel 83