De nieuwe privacywet: de Algemene Verordening Gegevensbescherming

Per 25 mei 2018 moeten onder andere decentrale overheden de regels van de Algemene verordening gegevensbescherming (AVG) toepassen. Deze is in 2016 in werking getreden, de verordening vervangt de richtlijn bescherming persoonsgegevens (95/46/EG). Deze richtlijn is momenteel geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp), die ook komt te vervallen.

Algemene Verordening Gegevensbescherming vervangt Richtlijn bescherming persoonsgegevens

De richtlijn bescherming persoonsgegevens regelt momenteel de bescherming van persoonsgegevens in de EU. Tussen 1995 en nu is de samenleving echter gedigitaliseerd, er is een enorme toename in dataverkeer en de technologie ontwikkelt zich steeds sneller. Als gevolg hiervan is er een toename in het verzamelen en delen van gegevens, in de risico’s van cybercrime en in de vraag van de gewone burger wat er met zijn of haar persoonsgegevens wordt gedaan. De wetgeving was volgens de Europese Commissie toe aan vernieuwing, en daarom stelde de Commissie in 2012 de Algemene Verordening Gegevensbescherming voor.

Algemene Verordening Gegevensbescherming

Nadat zowel het Europees Parlement als de Raad van de EU amendementen op de verordening hadden gemaakt, kwamen zij in december 2015 uiteindelijk tot overeenstemming over de Algemene Verordening Gegevensbescherming. In april 2016 is de definitieve versie van de AVG goedgekeurd in de eerste lezing door het Europees Parlement. Hier leest u de motivering en het standpunt van de Raad in de eerste lezing met betrekking tot de AVG. Ook de Raad van de EU heeft de AVG in tweede lezing goedgekeurd, op 25 mei 2016 is deze in werking getreden.

Algemene Verordening Gegevensbescherming, veranderingen

De veranderingen die de Algemene Verordening Gegevensbescherming voor decentrale overheden met zich mee brengt, leest u onder de subonderwerpen:

Directe werking Algemene Verordening Gegevensbescherming

Doordat de nieuwe wetgeving een verordening betreft, hebben de regels directe werking. Dit betekent dat de Nederlandse wetgever de Algemene Verordening Gegevensbescherming niet apart hoeft te implementeren in nationale wetgeving. Decentrale overheden moeten direct voldoen aan de regels in de Verordening, en kunnen zich hier ook direct op beroepen. Enkele regels ter uitvoering van de AVG 2018 staan in de uitvoeringswet AVG. Met deze wet komt de Wet bescherming persoonsgegevens (Wbp) te vervallen. Hier vindt u een voorlopige versie van deze uitvoeringswet.

AVG in 2018 van toepassing

Decentrale overheden hadden na inwerkingtreding van de AVG twee jaar om zich aan de regels te houden (art. 99 AVG).  De datum van toepassing van de AVG en intrekken van de richtlijn is 25 mei 2018. Momenteel moeten de decentrale overheden zich nog houden aan de regels in de Wbp.

MEER WETEN OVER De AVG?

Kijk ook op onze themapagina  of  Stel direct uw vraag


Nieuws De nieuwe privacywet: de Algemene Verordening Gegevensbescherming

Gemeenten en burgemeesters pleiten voor uitbreiding van de openbare-ordetaak

Eind maart heeft de Raad van State (RvS) een negatief advies gegeven over het uitbreiden van de openbare-ordetaak van de burgemeester (Gemeentewet). Daarmee zou een stevigere grondslag worden gecreëerd om persoonsgegevens uit te wisselen in het kader van ondermijning. Gemeenten en burgemeesters stellen in een brief aan de Tweede Kamer dat het advies voorbijgaat aan de problemen die gemeenten nu ervaren.

Lees het volledige bericht

Gemeenten kunnen profiteren van standaard verwerkersovereenkomst

De leden van de Vereniging Nederlandse Gemeenten (VNG) hebben op hun ALV van 5 juni ingestemd met het standaard verklaren van een gemeentelijke verwerkersovereenkomst. Deze overeenkomst biedt een eenduidig pakket aan afspraken, zodat gemeenten niet bij elke verwerkersovereenkomst met hun toeleveranciers opnieuw het wiel hoeven uit te vinden. De standaardovereenkomst is in Nederland de eerste in zijn soort. Lees het volledige bericht

Een jaar AVG: Commissie brengt bewustwording in kaart

Ruim een jaar na het van toepassing worden van de Algemene verordening gegevensbescherming (AVG) blijken Europese burgers relatief goed op de hoogte te zijn van hun rechten met betrekking tot de bescherming van hun persoonsgegevens. Dat blijkt uit een onderzoek van de Europese Commissie. Ook in Nederland wisten burgers in 2018 de Autoriteit Persoonsgegevens te vinden wanneer ze klachten hadden over privacy, schrijft minister Dekker van Rechtsbescherming aan de Tweede Kamer. Lees het volledige bericht

Raad van State: verruiming bevoegdheden burgemeester geen oplossing voor ondermijning

Op verzoek van minister Grapperhaus van Justitie heeft de Raad van State een advies gepubliceerd met betrekking tot ondermijning. Het verzoek van de minister volgde op een oproep van burgemeesters om binnen hun functie meer bevoegdheden te krijgen om ondermijning van het openbaar bestuur tegen te gaan. Met name de privacywetgeving zou een effectieve aanpak nu nog in de weg staan. De Raad van State stelt dat de verruiming van de bevoegdheden van de burgemeester geen passend antwoord is op dit vraagstuk. Wel zouden er andere oplossingen zijn.

Lees het volledige bericht

Autoriteit persoonsgegevens: nieuwe boetebeleidsregels en tips register van datalekken

De Autoriteit Persoonsgegevens (AP) heeft de boetebeleidsregels aangepast. Deze regels maken inzichtelijk hoe de AP de hoogte van een boete berekent. De AP kan onder andere boetes opleggen bij overtredingen van de AVG en de bijbehorende Uitvoeringswet AVG, maar ook voor de andere wetten waarop zij toezicht houdt zoals de Telecommunicatiewet en de eIDAS-verordening. De vorige boetebeleidsregels hadden nog betrekking op privacywetgeving die sinds de komst van de Algemene verordening gegevensbescherming (AVG) verouderd is.

Lees het volledige bericht

Voorstel wetswijziging om privacybezwaren bij vroegsignalering weg te nemen

Het Ministerie van Sociale Zaken en Werkgelegenheid heeft op 20 februari 2019 een conceptvoorstel gepubliceerd voor een wijziging van de Wet gemeentelijke schuldhulpverlening. De wetswijziging breidt de mogelijkheden voor het verwerken van persoonsgegevens uit, wat vroegsignalering eenvoudiger maakt. Deze wijziging zal effect hebben op de werkzaamheden en het beleid van gemeenten rondom schuldhulpverlening. Gemeenten en andere belanghebbenden worden dan ook opgeroepen om via een consultatie te reageren op de voorgestelde wijzigingen. Lees het volledige bericht

Evaluatie EU-US Privacy Shield: wat betekent dit voor het doorgeven van persoonsgegevens aan de VS?

In december 2018 heeft de Europese Commissie bekeken of het EU-US Privacy Shield nog het vereiste niveau van gegevensbescherming geeft. Uit de evaluatie blijkt dat de bescherming van persoonsgegevens in de Verenigde Staten het afgelopen jaar is verbeterd. Wel eist de Europese Commissie dat de Amerikaanse regering uiterlijk 28 februari 2019 een permanente Ombudsman voor privacy aanstelt. Het voortbestaan van het Privacy Shield is belangrijk voor decentrale overheden die persoonsgegevens doorsturen naar organisaties die in de VS gevestigd zijn.

Lees het volledige bericht

Europese toezichthouders publiceren nieuwe AVG-richtlijnen

Eind 2018 heeft de European Data Protection Board (EDPB) twee nieuwe richtlijnen ter consultatie gepubliceerd. Een van deze richtlijnen gaat in op de territoriale reikwijdte van de Algemene verordening gegevensbescherming. In de andere richtlijn bespreekt de EDPB het aanstellen van organen die een AVG-keurmerk of certificaat kunnen uitgeven. Belanghebbenden en andere geïnteresseerden kunnen nog enkele weken via de website van de EDPB op de voorstellen reageren. Lees het volledige bericht

Kunnen decentrale overheden beboet worden voor een onvolledige privacyverklaring op de website?

Een recent verschenen artikel van Binnenlands Bestuur stelt dat veel gemeentelijke websites niet voldoen aan de Algemene verordening gegevensbescherming. Het artikel wijst op een onderzoek van het bedrijf Leadsupply dat 30% van de gemeentelijke websites onderzocht. Het onderzoek concludeert dat op 40% van deze onderzochte websites een privacyverklaring ontbreekt of dat deze onvolledig is. Waarom zou een decentrale overheid een dergelijke verklaring moeten hebben? En kan het zijn dat de Autoriteit Persoonsgegevens straks boetes gaat uitdelen voor ontbrekende of onvolledige privacyverklaringen?

Lees het volledige bericht

Praktijkvragen De nieuwe privacywet: de Algemene Verordening Gegevensbescherming

Wanneer is een organisatie een ‘overheidsinstantie’ en moet deze een Functionaris voor de Gegevensbescherming aanstellen?

Onze stichting voert het grootste gedeelte van onze werkzaamheden uit voor overheden. Daarvoor krijgen wij subsidie van verschillende gemeenten. Daarnaast voeren we betaalde opdrachten uit voor (andere) private partijen. Bij deze werkzaamheden verwerken we verschillende persoonsgegevens. Naar aanleiding van de uitgevoerde controles van de Autoriteit Persoonsgegevens (AP) op de aanwezigheid van een Functionaris Gegevensbescherming (FG) vragen we ons af in hoeverre wij ook verplicht zijn om een FG aan te stellen? Wanneer valt een organisatie onder de definitie ‘overheidsorganisatie’ in de zin van artikel 37 AVG?

Bekijk het antwoord

Met welke partijen moet een gemeente die deelneemt in een gemeenschappelijke regeling een verwerkersovereenkomst sluiten?

Als gemeente werken wij samen met andere gemeenten in een gemeenschappelijke regeling. Voor het uitvoeren van bepaalde diensten, zoals de personeelsadministratie, schakelen wij een externe partij in. Volgens de AVG dienen wij een verwerkersovereenkomst af te sluiten met deze partij indien deze persoonsgegevens verwerkt ten behoeve van ons als gemeenten. De externe partij is in dat geval de verwerker. Wij hebben hierover twee vragen. Allereerst: moeten we ook met de andere gemeenten in de gemeenschappelijke regeling een verwerkersovereenkomst sluiten? En ten tweede: moeten wij als gemeenten allemaal apart een verwerkersovereenkomst sluiten met de verwerker, of kunnen wij deze ook voor de gemeenschappelijke regeling gezamenlijk afsluiten?

Bekijk het antwoord

Dataopslag in het Verenigd Koninkrijk, hoe zit dat met de AVG na de Brexit?

Onze gemeente heeft delen van haar administratie, waarin ook persoonsgegevens zijn verwerkt, ondergebracht bij een databedrijf dat is gevestigd in het VK. Het databedrijf geeft aan dat het per 25 mei 2018 zal voldoen aan de voorwaarden van de Algemene Verordening Gegevensbescherming (AVG). Ook heeft het bedrijf de intentie om aan de AVG te blijven te voldoen na de Brexit. Kan de gemeente er vanuit blijven gaan dat het verwerken van persoonsgegevens bij het databedrijf in het VK ‘AVG-proof’ zal blijven ondanks de Brexit?

Bekijk het antwoord

(Hoe) moeten wij als gemeente de DPIA uitvoeren? (update)

Ik heb vernomen dat de nieuwe Europese Algemene verordening gegevensbescherming verplicht tot het uitvoeren van een zogeheten Privacy Impact Assessment (PIA). Binnen onze gemeente overwegen wij om een nieuwe technologie te gebruiken om persoonsgegevens te verwerken. Moeten wij als gemeente daarbij ingevolge de nieuwe AVG verplicht een PIA uitvoeren en zo ja, hoe moeten wij deze PIA uitvoeren?

Bekijk het antwoord

Privacy: Kan het publiceren van een bedrijfsnaam in strijd zijn met de AVG?

Als gemeente verlenen wij verschillende vergunningen aan burgers en bedrijven. De besluiten die wij omtrent het verlenen van deze vergunningen nemen, dienen wij op grond van wettelijke verplichtingen te publiceren. Wij hebben begrepen dat de Algemene Verordening Gegevensbescherming (AVG) de persoonsgegevens van natuurlijke personen beoogt te beschermen. Het publiceren van een bedrijfsnaam lijkt ons dan in principe toegestaan onder de AVG, aangezien het hier geen natuurlijk persoon betreft. Maar hoe zit het als een bedrijf bijvoorbeeld in het Handelsregister van de KvK is ingeschreven op naam van een natuurlijk persoon? Valt de bedrijfsnaam in dat geval wel te beschouwen als een persoonsgegeven in de zin van de AVG, en heeft dit gevolgen voor de manier waarop wij vergunningenbesluiten moeten publiceren?

Bekijk het antwoord

Privacy: wanneer moet er een verwerkersovereenkomst afgesloten worden?

Onze gemeente besteedt verschillende taken uit, waardoor persoonsgegevens door een derde partij verwerkt worden. Een verwerkersovereenkomst moet afgesloten worden tussen een verwerker en een verwerkingsverantwoordelijke, maar het is vaak lastig om te bepalen wie welke rol aanneemt. Daardoor weten we niet of we een verwerkersovereenkomst in de zin van de Algemene verordening gegevensbescherming (AVG) moeten afsluiten? We werken bijvoorbeeld met een clouddienst, moet met de partij die de clouddienst aanbiedt een verwerkersovereenkomst afgesloten worden?

Bekijk het antwoord

Privacy: Wat is de verhouding tussen maatregel informatiebeveiliging en mogelijkheid monitoren internetverkeer medewerker?

Als gemeente verwerken wij grote hoeveelheden data, waaronder persoonsgegevens. Met het oog op de Algemene verordening gegevensbescherming (AVG), wil de gemeente zorgen voor een betere bescherming van deze gegevens. De gemeente is van plan om onder meer een nieuwe firewall te installeren. Dit zal resulteren in de betere bescherming van de persoonsgegevens die wij, als gemeente, verwerken. Echter, zal het installeren van de firewall ook mogelijkheid bieden tot het inzien van het internetverkeer van onze medewerkers. Biedt de Europese wet- en regelgeving omtrent bescherming van persoonsgegevens hiervoor een oplossing?

Bekijk het antwoord

Slimme energiemeters: welke Europese regels zijn van toepassing?

Steeds meer woningen in onze gemeente krijgen slimme energiemeters. Hierdoor kan efficiënter met energie omgegaan worden. Kent het Europese recht ook voorschriften over slimme energiemeters waar de gemeente rekening mee dient te houden? Hoe zit het met de  bescherming van gegevens van burgers uit onze gemeente? Bijvoorbeeld wanneer de gemeente de data die deze slimme meters creëren zou willen gebruiken  om te sturen op efficiënter met energie om gaan?

Bekijk het antwoord

Privacy: is zorgvuldig omgaan met persoonsgegevens voldoende?

Ook onze gemeente verzamelt diverse persoonsgegevens. Een voorbeeld van gegevens die worden verzameld betreft gegevens op genodigdenlijsten van bijeenkomsten die door de gemeente worden georganiseerd. De gemeente wil dergelijke lijsten graag ook voor andere zaken gebruiken, bijvoorbeeld om de genodigden later nog eens uit te nodigen of om hen te informeren over andere nuttige onderwerpen. Vanzelfsprekend gaat de gemeente erg zorgvuldig om met persoonsgegevens. Is het in acht nemen van het zorgvuldigheidsbeginsel afdoende, of moet de gemeente bij verder gebruik van de genodigdenlijst ook andere Europeesrechtelijke vereisten in acht nemen?

Bekijk het antwoord

Kopiëren van ID – wanneer wel én wanneer niet?

Het is binnen de werkwijze van onze gemeente gebruikelijk om regelmatig een kopie van een identificatiemiddel op te slaan in een dossier. Bijvoorbeeld een kopie van rijbewijs of paspoort van nieuwe werknemers of gedetacheerde krachten. Er staan echter ook persoonsgegevens op een identificatiemiddel. Moet er bij het kopiëren van een identificatiemiddel ook rekening worden gehouden met de (nieuwe) Europese privacyregelgeving?

Bekijk het antwoord

Is er een verschil tussen de Europese e-privacyrichtlijn en de Europese Algemene verordening gegevensbescherming?

Er bestaan verschillende Europese regels met betrekking tot privacy waar ook decentrale overheden rekening mee moeten houden. Is er een groot verschil tussen de Europese e-privacyrichtlijn en de Europese Algemene Verordening Gegevensbescherming? Wanneer moet de e-privacyrichtlijn toegepast worden? Kunt u al meer zeggen over de nieuwe e-privacyrichtlijn?

Bekijk het antwoord

Wet- en regelgeving De nieuwe privacywet: de Algemene Verordening Gegevensbescherming

Gegevensbescherming en de AVG

In art. 8 Handvest van de grondrechten van de EU is de basis gelegd voor de bescherming van persoonsgegevens. Deze bescherming is uitgewerkt in richtlijnen, kaderbesluiten en verordeningen.

VERORDENING BESCHERMING PERSOONSGEGEVENS

U kunt hier de laatste versie van de Algemene Verordening Gegevensbescherming vinden, die door de Raad is goedgekeurd op 8 april 2016.

Richtlijn 95/46/EG
U kunt hier de (oude) richtlijn 95/46/EG betreffende de bescherming van persoonsgegevens vinden. Deze richtlijn zal vervangen worden door de AVG.

Wet bescherming persoonsgegevens
De richtlijn 95/46/EG is geïmplementeerd in de Wet bescherming persoonsgegevens. De richtlijn wordt twee jaar na inwerkingtreding van de Algemene Verordening Gegevensbescherming ingetrokken.

In de Wet bescherming persoonsgegevens is ook de meldplicht datalekken opgenomen. U kunt hier meer over deze meldplicht in de AVG lezen. De plicht gold voorheen al voor telecombedrijven op basis van het Europese Telecompakket en voor internet service providers op basis van de e-Privacy richtlijn.

BESCHERMING PERSOONSGEGEVENS IN STRAFZAKEN

Ook is er een nieuwe richtlijn bescherming persoonsgegevens in strafzaken. Hiermee vervalt het kaderbesluit over de bescherming van persoonsgegevens in strafzaken.

X