Met de Algemene Verordening Gegevensbescherming wordt de verwerking van persoonsgegevens binnen de EU beschermd. Het moet gaan om een rechtmatige verwerking, de persoonsgegevens moeten op de juiste manier worden verwerkt en hier moet transparantie over zijn. Dit brengt voor decentrale overheden diverse verplichtingen met zich mee.
Sinds 25 mei 2018 moeten onder andere decentrale overheden de regels van de Algemene Verordening Vegevensbescherming toepassen wanneer zij persoonsgegevens verwerken. Deze Europese verordening verving de hiervoor geldende Richtlijn bescherming persoonsgegevens.
Volgens de AVG zijn gegevensverwerkers verplicht om een eerste kopie van verwerkte persoonsgegevens te verschaffen als daarom wordt gevraagd. Maar moet dit kosteloos gebeuren? En wat als het nationale recht anders bepaalt? Het Hof van Justitie gaat hier in deze zaak op in.
Het verwerken van persoonsgegevens is alleen toegestaan wanneer dit voldoet aan de verwerkingsbeginselen uit de AVG: rechtmatigheid, behoorlijkheid en transparantie; doelbinding; dataminimalisatie; juistheid; opslagbeperking; vertrouwelijkheid en integriteit. Het is belangrijk dat een decentrale overheid die verwerkingsverantwoordelijke is zich goed aan deze beginselen houdt om aan de privacywetgeving te voldoen.
Volgens de AVG moeten decentrale overheden als verwerkingsverantwoordelijke werken volgens de principes van privacy by design en privacy by default. Wat betekent dit precies? Dat leest u op onderstaande pagina.
Decentrale overheden mogen alleen persoonsgegevens verwerken wanneer zij hier een rechtsgrondslag voor hebben. Dat betekent dat zij een goede reden moeten hebben om persoonsgegevens te verwerken. De AVG stelt zes grondslagen voor het verwerken van persoonsgegevens. Met name de eerste grondslag toestemming dient aan strenge voorwaarden te voldoen. Op deze pagina vindt u meer informatie over de zes grondslagen.
De Commissie heeft een adequaatheidsbesluit genomen over de gegevensstromen tussen de EU en de VS. Met een adequaatheidsbesluit geeft de Commissie aan dat er volgens de AVG een passend beschermingsniveau van persoonsgegevens wordt geboden. Hierdoor kunnen persoonsgegevens vanuit de EU nu veilig worden doorgegeven aan Amerikaanse bedrijven die aan het EU-VS-kader deelnemen, zonder dat er aanvullende waarborgen nodig zijn.
De Algemene Verordening Persoonsgegevens is dit jaar vijf jaar van kracht. Daarom helderen we in dit artikel de basisbeginselen van de AVG kort op. Ook bespreken we een aantal relevante ontwikkelingen, zoals de doorgifte van persoonsgegevens naar derde landen.
Op grond van artikel 37 AVG moet de verwerkingsverantwoordelijke in een aantal situaties verplicht een Functionaris voor gegevensbescherming aannemen. Decentrale overheidsorganisaties die persoonsgegevens verwerken zijn bijvoorbeeld verplicht om een FG aan te stellen. Een FG adviseert over de toepassing van de AVG en staat de verwerker en verwerkingsverantwoordelijke bij met het intern toezicht op de naleving van de AVG.
Het Ministerie van Sociale Zaken en Werkgelegenheid heeft op 20 februari 2019 een conceptvoorstel gepubliceerd voor een wijziging van de Wet gemeentelijke schuldhulpverlening. De wetswijziging breidt de mogelijkheden voor het verwerken van persoonsgegevens uit, wat vroegsignalering eenvoudiger maakt.
De leden van de Vereniging Nederlandse Gemeenten (VNG) hebben op hun ALV van 5 juni ingestemd met het standaard verklaren van een gemeentelijke verwerkersovereenkomst. Deze overeenkomst biedt een eenduidig pakket aan afspraken…
Eind maart heeft de Raad van State (RvS) een negatief advies gegeven over het uitbreiden van de openbare-ordetaak van de burgemeester (Gemeentewet). Daarmee zou een stevigere grondslag worden gecreëerd om persoonsgegevens uit te wisselen in het kader van ondermijning.
Volgens de AVG moeten de verwerkingsverantwoordelijke en de verwerker van persoonsgegevens een register van de verwerkingsactiviteiten bijhouden. Eerder moest een verwerking van persoonsgegevens nog worden gemeld bij de Autoriteit Persoonsgegevens. Met de AVG is deze meldplicht verdwenen en ligt er meer verantwoordelijkheid bij de organisatie zelf. Wanneer de AP er om vraagt, moeten de verwerkingsverantwoordelijke en verwerker het register ter beschikking stellen.