Met de Algemene Verordening Gegevensbescherming wordt de verwerking van persoonsgegevens binnen de EU beschermd. Het moet gaan om een rechtmatige verwerking, de persoonsgegevens moeten op de juiste manier worden verwerkt en hier moet transparantie over zijn. Dit brengt voor decentrale overheden diverse verplichtingen met zich mee.
Op 4 oktober 2024 deed het Hof van Justitie van de Europese Unie uitspraak gedaan over het beginsel van minimale gegevensverwerking en de verwerking van bijzondere categorieën van persoonsgegevens.
Op grond van artikel 37 AVG moet de verwerkingsverantwoordelijke in een aantal situaties verplicht een Functionaris voor gegevensbescherming aannemen. Decentrale overheidsorganisaties die persoonsgegevens verwerken zijn bijvoorbeeld verplicht om een FG aan te stellen. Een FG adviseert over de toepassing van de AVG en staat de verwerker en verwerkingsverantwoordelijke bij met het intern toezicht op de naleving van de AVG.
Volgens artikel 35 van de AVG moet een verwerkingsverantwoordelijke in sommige gevallen een gegevensbeschermingseffectbeoordeling uitvoeren wanneer hij een verwerking van persoonsgegevens met een hoog risico uitvoert. Deze term is ook bekend als de data protection impact assessment (DPIA). Met een DPIA maakt een verwerkingsverantwoordelijke voorafgaand aan de verwerking een inschatting van de gevolgen voor de persoonlijke levenssfeer van de betrokkene en welke passende maatregelen hij kan nemen om de AVG na te leven. De betrokkene is degene van wie de persoonsgegevens worden verwerkt. Lees op onderstaande pagina meer over de DPIA.
De verwerkingsverantwoordelijke moet op grond van artikel 32 van de AVG de verwerking van persoonsgegevens passend beveiligen. Het kan echter voorkomen dat persoonsgegevens toegankelijk worden gemaakt voor personen die daar geen toegang tot moeten hebben. Dit is een datalek. Een datalek moet in bepaalde gevallen gemeld worden aan de Autoriteit Persoonsgegevens. Wanneer dat is en welke verplichtingen dit nog meer met zich meebrengt voor decentrale overheden kunt u lezen op deze pagina.
Volgens de AVG moeten decentrale overheden als verwerkingsverantwoordelijke werken volgens de principes van privacy by design en privacy by default. Wat betekent dit precies? Dat leest u op onderstaande pagina.
De AVG stelt dat een decentrale overheid verwerkingsverantwoordelijke is als zij de doelen en middelen bepaalt van iedere verwerking van persoonsgegevens. Indien de decentrale overheid verwerkingsverantwoordelijke is, heeft zij op grond van de AVG verschillende verplichtingen.
Decentrale overheden mogen alleen persoonsgegevens verwerken wanneer zij hier een rechtsgrondslag voor hebben. Dat betekent dat zij een goede reden moeten hebben om persoonsgegevens te verwerken. De AVG stelt zes grondslagen voor het verwerken van persoonsgegevens. Met name de eerste grondslag toestemming dient aan strenge voorwaarden te voldoen. Op deze pagina vindt u meer informatie over de zes grondslagen.
Volgens de AVG zijn gegevensverwerkers verplicht om een eerste kopie van verwerkte persoonsgegevens te verschaffen als daarom wordt gevraagd. Maar moet dit kosteloos gebeuren? En wat als het nationale recht anders bepaalt? Het Hof van Justitie gaat hier in deze zaak op in.
Volgens de AVG moeten de verwerkingsverantwoordelijke en de verwerker van persoonsgegevens een register van de verwerkingsactiviteiten bijhouden. Eerder moest een verwerking van persoonsgegevens nog worden gemeld bij de Autoriteit Persoonsgegevens. Met de AVG is deze meldplicht verdwenen en ligt er meer verantwoordelijkheid bij de organisatie zelf. Wanneer de AP er om vraagt, moeten de verwerkingsverantwoordelijke en verwerker het register ter beschikking stellen.
De Commissie heeft een adequaatheidsbesluit genomen over de gegevensstromen tussen de EU en de VS. Met een adequaatheidsbesluit geeft de Commissie aan dat er volgens de AVG een passend beschermingsniveau van persoonsgegevens wordt geboden. Hierdoor kunnen persoonsgegevens vanuit de EU nu veilig worden doorgegeven aan Amerikaanse bedrijven die aan het EU-VS-kader deelnemen, zonder dat er aanvullende waarborgen nodig zijn.
De Algemene Verordening Persoonsgegevens is dit jaar vijf jaar van kracht. Daarom helderen we in dit artikel de basisbeginselen van de AVG kort op. Ook bespreken we een aantal relevante ontwikkelingen, zoals de doorgifte van persoonsgegevens naar derde landen.
Het Ministerie van Sociale Zaken en Werkgelegenheid heeft op 20 februari 2019 een conceptvoorstel gepubliceerd voor een wijziging van de Wet gemeentelijke schuldhulpverlening. De wetswijziging breidt de mogelijkheden voor het verwerken van persoonsgegevens uit, wat vroegsignalering eenvoudiger maakt.
