Algemene Verordening Gegevensbescherming

Sinds 25 mei 2018 moeten onder andere decentrale overheden de regels van de Algemene verordening gegevensbescherming (Verordening 2016/679) toepassen wanneer zij persoonsgegevens verwerken. Deze Europese verordening verving de hiervoor geldende Richtlijn bescherming persoonsgegevens (Richtlijn 95/46/EG).

Bescherming van persoonsgegevens in de EU

De bescherming van persoonsgegevens in de Europese Unie (EU) werd lange tijd gereguleerd door de Richtlijn bescherming persoonsgegevens. Deze werd in 1995 vastgesteld. Tussen 1995 en nu is de samenleving echter gedigitaliseerd: er is een enorme toename in dataverkeer en de technologie ontwikkelt zich steeds sneller. Als gevolg hiervan is er een toename in het verzamelen en delen van gegevens, in de risico’s van cybercrime en in de vraag van de gewone burger wat er met zijn of haar persoonsgegevens wordt gedaan. De wetgeving was volgens de Europese Commissie toe aan vernieuwing, en daarom stelde de Commissie in 2012 de Algemene verordening gegevensbescherming voor (AVG).

Algemene verordening gegevensbescherming

De verordening is op 25 mei 2016 in werking getreden. De lidstaten kregen hierna twee jaar de tijd om aan de nieuwe regels te voldoen. Vanaf 25 mei 2018 dienen ook decentrale overheden die persoonsgegevens verwerken zich daarom aan de regels van de AVG te houden.

In artikel 8 van het Handvest van de grondrechten van de EU is de basis gelegd voor de bescherming van persoonsgegevens. Deze bescherming is uitgewerkt in richtlijnen, kaderbesluiten en verordeningen.

De AVG bouwt voort op dezelfde principes uit het hiervoor geldende gegevensbeschermingsrecht. Er zijn echter strengere eisen gesteld aan sommige voorwaarden, zoals toestemming. Ook krijgt degene die persoonsgegevens verwerkt meer verantwoordelijkheid. Decentrale overheden moeten kunnen laten zien waarom ze persoonsgegevens verwerken en dat zij zich daarbij aan de regels houden.

Uitvoeringswet AVG

Doordat de nieuwe wetgeving een Europese verordening betreft, hebben de regels directe werking. Dit betekent dat de Nederlandse wetgever de AVG niet apart hoeft te implementeren in nationale wetgeving. Bij de Richtlijn bescherming persoonsgegevens was dit wel het geval: deze was in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp).

Decentrale overheden moeten direct voldoen aan de regels in de verordening, en kunnen zich hier ook direct op beroepen. De AVG biedt de lidstaten echter nog wel ruimte om bepaalde keuzes te maken. Nederland heeft deze uitgewerkt in de Uitvoeringswet AVG. In de Uitvoeringswet staat bijvoorbeeld hoe speciale persoonsgegevens zoals het BSN mogen worden verwerkt. Ook wordt via de Uitvoeringswet de Wet bescherming persoonsgegevens ingetrokken.

Regels van de AVG

Welke regels de AVG voor decentrale overheden met zich meebrengt, leest u op de volgende pagina’s: