Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

AVG Deel I: persoonsgegevens en verwerken

19 februari 2018Privacy: gegevensbescherming en de AVG

Met nog minder dan 100 dagen te gaan is het 25 mei 2018 zover. Vanaf die datum dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. In dit eerste deel kijken we naar de basis van de AVG: wanneer krijgen decentrale overheden te maken met de AVG?

Algemene verordening gegevensbescherming

Vanaf 25 mei 2018 dienen onder andere decentrale overheden de AVG toe te passen. De AVG is sinds 2016 in werking en vervangt de Europese richtlijn bescherming persoonsgegevens (85/46/EG). Deze Europese richtlijn is in de Nederlandse Wet bescherming persoonsgegevens (Wbp) geïmplementeerd. Omdat de AVG een verordening betreft, heeft deze rechtstreekse werking in de lidstaten. Bij bepaalde artikelen in de AVG heeft de EU de lidstaten de ruimte gegeven deze zelf in te vullen. Dit wordt geregeld in de Nederlandse  Uitvoeringswet AVG. Deze Uitvoeringswet zal ook de Wbp intrekken. Het conceptvoorstel van deze wet is 13 december 2017 bij de Tweede Kamer ingediend.

Uit het Wetsvoorstel Uitvoeringswet AVG blijkt dat de Uitvoeringswet beleidsneutraal is opgesteld. Dit houdt in dat de regels uit de Wbp – die overeenkomen met de uitzonderingen die zijn opgenomen in de AVG – zoveel mogelijk worden overgenomen.

Verwerken van persoonsgegevens

In de AVG staan persoonsgegevens en de verwerking daarvan centraal. Het is belangrijk om vast te stellen wanneer iets wel of niet kwalificeert als een persoonsgegeven en wanneer sprake is van het verwerken van persoonsgegevens. De verwerking van gegevens anders dan persoonsgegevens valt dus buiten de reikwijdte van de AVG.

Persoonsgegevens

De definitie van persoonsgegevens is terug te vinden in artikel 4 lid 1 AVG. Een persoonsgegeven omvat ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Voorbeelden van persoonsgegevens onder de AVG zijn: de naam en het adres van een persoon, het BSN-nummer, een e-mailadres of een vingerafdruk. Hiernaast bestaan er nog bijzondere persoonsgegevens. Onder bijzondere persoonsgegevens vallen volgens artikel 9 AVG: gegevens die betrekking hebben tot ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond, genen, biometrie (en dan met het oog op de unieke identificatie van een persoon), gezondheid, seksueel gedrag of seksuele gerichtheid.

BSN-nummers zijn voorbeelden van persoonsgegevens die onder de Wbp nog geclassificeerd werden als bijzondere persoonsgegevens, maar onder de AVG niet langer onder deze categorie vallen. Zoals blijkt uit de Uitvoeringswet (artikel 46) blijven de voorwaarden die Nederland aan de verwerking van het BSN-nummer stelt wel hetzelfde. Nationale identificatienummers mogen alleen worden gebruikt voor in de wet voorgeschreven doelen. Ook strafrechtelijke gegevens staan niet meer in de lijst met  persoonsgegevens, maar worden afzonderlijk in artikel 10 AVG behandeld. Genetische en biometrische persoonsgegevens zijn met de komst van de AVG wel in artikel 9 opgenomen als bijzondere persoonsgegevens. Omdat het gaat over bijzondere persoonsgegevens  betekent het dat ze niet verwerkt mogen worden, behoudens in de AVG geregelde uitzonderingen. In de Uitvoeringswet beoogt de Nederlandse wetgever daarnaast een uitzondering op te nemen voor biometrische persoonsgegevens die verwerkt worden met het oog op de unieke identificatie van een persoon.

Verwerken

Volgens artikel 4 lid 2 AVG valt onder verwerken: ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, etc. van gegevens.’ Deze bepaling kan ruim uitgelegd worden. Het enkel inzien van een persoonsgegeven valt ook al onder verwerken.

Met de AVG vervallen een aantal verplichtingen voor organisaties die persoonsgegevens verwerken. Ter voorbereiding op deze overgang heeft de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (AP), alvast verschillende procedures aangepast. Sinds 6 november 2017 hoeven organisaties geen melding meer te doen bij de AP als zij persoonsgegevens verwerken. Daarnaast wordt de procedure voor het aanvragen van een voorafgaand onderzoek voor bepaalde verwerkingen aangepast. Voor bepaalde verwerkingen met een hoog risico moest op basis van artikel 31 Wbp een melding gemaakt worden bij de AP. Deze voerde dan een voorafgaand onderzoek uit. Dit voorafgaand onderzoek vervalt onder de AVG en maakt plaats voor de Data protection impact assessment (DPIA). De DPIA wordt in komende speciale Ster-edities nader toegelicht.

 

Praktijkvraag

Decentrale overheden verwerken verschillende soorten persoonsgegevens. Zowel het begrip ‘persoonsgegeven’ als ‘verwerken’ zijn brede begrippen. In de praktijk kan het nog wel eens lastig zijn om vast te stellen of er echt sprake is van persoonsgegevens, waarbij de decentrale overheid de regels van de AVG moet toepassen. Dit probleem komt ook aan bod in deze praktijkvraag.

Meer weten over dit onderwerp?

Dit artikel is onderdeel van onze AVG-special. Lees ook deel IIdeel IIIdeel IV, deel V, deel VI & deel VII van onze reeks over de AVG. Werkt u voor een decentrale overheid of het Rijk en heeft u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal.

Door:

Matthijs Binnema en Juliëtte Fredriksz, Europa decentraal

Bron:

De Algemene Verordening Gegevensbescherming
Wetsvoorstel Uitvoeringswet AVG, Rijksoverheid
Memorie van toelichting Uitvoeringswet AVG, Rijksoverheid

Meer informatie:

Privacy, themapagina Europa decentraal
Privacy: de Algemene verordening gegevensbescherming, Europa decentraal
Privacy: Kan het publiceren van een bedrijfsnaam in strijd zijn met de AVG?, Praktijkvraag Europa decentraal
Procedures van Autoriteit Persoonsgegevens aangepast, nieuwsbericht Europa decentraal
Nieuw voorstel voor Uitvoeringswet Algemene verordening gegevensbescherming (AVG), nieuwsbericht Europa decentraal

 

X