Privacy: de Algemene Verordening Gegevensbescherming

Sinds 25 mei 2018 moeten onder andere decentrale overheden de regels van de Algemene verordening gegevensbescherming (verordening 2016/679) toepassen wanneer zij persoonsgegevens verwerken. Deze Europese verordening vervangt de hiervoor geldende richtlijn bescherming persoonsgegevens (richtlijn 95/46/EG).

bescherming van persoonsgegevens in de eu

De bescherming van persoonsgegevens in de EU werd lange tijd gereguleerd door de richtlijn bescherming persoonsgegevens. Deze werd in 1995 vastgesteld. Tussen 1995 en nu is de samenleving echter gedigitaliseerd, er is een enorme toename in dataverkeer en de technologie ontwikkelt zich steeds sneller. Als gevolg hiervan is er een toename in het verzamelen en delen van gegevens, in de risico’s van cybercrime en in de vraag van de gewone burger wat er met zijn of haar persoonsgegevens wordt gedaan. De wetgeving was volgens de Europese Commissie toe aan vernieuwing, en daarom stelde de Commissie in 2012 de Algemene verordening gegevensbescherming voor (AVG).

Algemene Verordening Gegevensbescherming

De verordening is op 25 mei 2016 in werking getreden. De lidstaten kregen hierna twee jaar de tijd om aan de nieuwe regels te voldoen. Vanaf 25 mei 2018 dienen ook decentrale overheden die persoonsgegevens verwerken zich daarom aan de regels van de AVG te houden.

De AVG bouwt voort op dezelfde principes uit het hiervoor geldende gegevensbeschermingsrecht. Er zijn echter strengere eisen gesteld aan sommige voorwaarden zoals toestemming. Ook krijgt degene die persoonsgegevens verwerkt meer verantwoordelijkheid. Decentrale overheden moeten kunnen laten zien waarom ze persoonsgegevens verwerken en dat zij zich daarbij aan de regels houden.

uitvoeringswet avg

Doordat de nieuwe wetgeving een Europese verordening betreft, hebben de regels directe werking. Dit betekent dat de Nederlandse wetgever de AVG niet apart hoeft te implementeren in nationale wetgeving. Bij de richtlijn was dit wel het geval: deze was in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp).

Decentrale overheden moeten direct voldoen aan de regels in de verordening, en kunnen zich hier ook direct op beroepen. De AVG biedt de lidstaten echter nog wel ruimte om bepaalde keuzes te maken. Nederland heeft deze uitgewerkt in de Uitvoeringswet AVG. In de Uitvoeringswet staat bijvoorbeeld hoe speciale persoonsgegevens zoals het BSN mogen worden verwerkt. Ook wordt via de Uitvoeringswet de Wet bescherming persoonsgegevens ingetrokken.

regels van de avg

Welke regels de Algemene verordening gegevensbescherming voor decentrale overheden met zich mee brengt, leest u in de volgende sub-onderwerpen:

Heeft u een vraag over de AVG?

Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.

Stel direct uw vraag


Nieuws Privacy: de Algemene Verordening Gegevensbescherming

AVG deel VII: Functionaris voor de gegevensbescherming

Vanaf 25 mei dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. Met nog anderhalve maand te gaan tot de regels van de AVG van toepassing worden, kijken we in dit zevende deel naar de rol van de Functionaris Gegevensbescherming (FG) binnen een organisatie.

Lees het volledige bericht

FG Jolanda Aalten over de AVG: ‘Vind het wiel niet alleen uit, werk samen met anderen’

Wat voor gegevens verwerken we? Hoe lang mogen we deze bewaren? Hoe zorgen we ervoor dat we de privacy van onze werknemers goed in acht nemen? Uit de AVG vloeien soms lastige vragen voort die momenteel bij alle (decentrale) overheden de revue passeren. Functionaris Gegevensbescherming Jolanda Aalten adviseert dan ook: doe het niet alleen, maar werk samen met anderen en wissel kennis uit. Sinds januari dit jaar is zij werkzaam voor de provincie Utrecht. Zijn ze al klaar voor 25 mei?

Lees het volledige bericht

AVG – Deel V: De rechten van betrokkenen

Vanaf 25 mei 2018 dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. Met nog iets meer dan twee maanden te gaan tot de regels van de AVG van toepassing worden, kijken we in dit vijfde deel naar de rechten van betrokkenen in de AVG.

Lees het volledige bericht

Tweede Kamer neemt Uitvoeringswet AVG aan

Eind februari 2018 presenteerde de Europese Commissie de stand van zaken omtrent de implementatie van de Algemene Verordening Gegevensbescherming in de lidstaten. Hieruit bleek onder andere dat in nog maar twee lidstaten de relevante nationale wetgeving was aangenomen. Dit nationaal wettelijk kader moet in orde zijn voor de regels van de AVG op 25 mei 2018 van toepassing worden. Het wetsvoorstel voor de Nederlandse Uitvoeringswet AVG is in december 2017 bij de Tweede Kamer ingediend. Vandaag stemde de Tweede Kamer over het wetsvoorstel en de ingediende amendementen en moties. Het wetsvoorstel van de Uitvoeringswet is met 130 stemmen voor en 20 stemmen tegen (PVV) aangenomen.

Lees het volledige bericht

AVG Deel III: Verwerker, verwerkingsverantwoordelijke en verwerkersovereenkomst

Vanaf 25 mei dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Algemene Verordening Gegevensbescherming (AVG). In deze speciale AVG-reeks lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. In dit derde deel kijken we wat de termen ‘verwerkingsverantwoordelijke’, ‘verwerker’ en ‘verwerkersovereenkomst’ inhouden.

Lees het volledige bericht

AVG Deel IV – De verplichtingen van de verwerkingsverantwoordelijke

Nog 80 dagen te gaan tot 25 mei. Vanaf deze datum dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. In deel III van de AVG-special is te lezen wanneer een organisatie verwerkingsverantwoordelijke is, en wat wordt bedoeld met de verantwoordingsplicht. In dit vierde deel wordt verder ingegaan op de specifieke verplichtingen van de verwerkingsverantwoordelijke.

Lees het volledige bericht

De AVG: privacymanagement en -bewustwording binnen gemeentes – Interview Marjolein Hoff (VNG)

(Decentrale) overheden moeten – net als alle andere organisaties – binnenkort voldoen aan de regels van de Algemene Verordening Gegevensbescherming (AVG). Hoe gaat het met de implementatie van deze wetgeving in de praktijk? Marjolein Hoff – Privacyjurist en Senior Beleidsmedewerker Privacy bij de VNG – vertelt welke impact dit heeft op gemeenten.

Lees het volledige bericht

AVG Deel II: Wanneer mogen persoonsgegevens verwerkt worden? Verwerkingsbeginselen en grondslagen voor verwerking

Met nog minder dan 100 dagen te gaan is het 25 mei zover. Dan dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. In dit tweede deel van deze AVG-special wordt verder ingegaan op de verwerkingsbeginselen in de AVG en de grondslagen voor verwerking.

Lees het volledige bericht

Procedures van Autoriteit Persoonsgegevens aangepast

Op 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de huidige Wet bescherming persoonsgegevens (Wpb). Daarmee veranderen verschillende verplichtingen voor organisaties, waaronder ook voor decentrale overheden. In de voorbereiding op deze overgang van Wbp naar AVG past de Autoriteit Persoonsgegevens (de nationale toezichthouder) een aantal van haar procedures aan. Eind 2017 liet de nationale toezichthouder al weten dat organisaties geen melding meer hoeven te doen als zij persoonsgegevens verwerken. Vanaf 27 april 2018 neemt de Autoriteit Persoonsgegevens geen verzoeken voor voorafgaand onderzoek bij risicovolle verwerkingen meer in behandeling.

Lees het volledige bericht

Privacy en de AVG: nieuwe mededeling Europese Commissie en handleiding Ministerie van Justitie en Veiligheid

De dag waarop organisaties moeten voldoen aan de regels van de Algemene Verordening Gegevensbescherming nadert snel. Recentelijk publiceerde de Europese Commissie een nieuwe mededeling omtrent de AVG. Hierin wordt de voortgang van de implementatie van de wet in Europa besproken en geeft de Commissie aan waar organisaties en overheden volgens haar nog aandacht aan moeten besteden. Daarnaast lanceerde de Commissie een online tool waarmee burgers, ondernemers en andere organisaties zich wegwijs kunnen maken in de AVG. Ook publiceerde het ministerie van Justitie & Veiligheid een Handleiding AVG en de Uitvoeringswet AVG.

Lees het volledige bericht

Praktijkvragen Privacy: de Algemene Verordening Gegevensbescherming

Wanneer is een organisatie een ‘overheidsinstantie’ en moet deze een Functionaris voor de Gegevensbescherming aanstellen?

Onze stichting voert het grootste gedeelte van onze werkzaamheden uit voor overheden. Daarvoor krijgen wij subsidie van verschillende gemeenten. Daarnaast voeren we betaalde opdrachten uit voor (andere) private partijen. Bij deze werkzaamheden verwerken we verschillende persoonsgegevens. Naar aanleiding van de uitgevoerde controles van de Autoriteit Persoonsgegevens (AP) op de aanwezigheid van een Functionaris Gegevensbescherming (FG) vragen we ons af in hoeverre wij ook verplicht zijn om een FG aan te stellen? Wanneer valt een organisatie onder de definitie ‘overheidsorganisatie’ in de zin van artikel 37 AVG?

Bekijk het antwoord

Met welke partijen moet een gemeente die deelneemt in een gemeenschappelijke regeling een verwerkersovereenkomst sluiten?

Als gemeente werken wij samen met andere gemeenten in een gemeenschappelijke regeling. Voor het uitvoeren van bepaalde diensten, zoals de personeelsadministratie, schakelen wij een externe partij in. Volgens de AVG dienen wij een verwerkersovereenkomst af te sluiten met deze partij indien deze persoonsgegevens verwerkt ten behoeve van ons als gemeenten. De externe partij is in dat geval de verwerker. Wij hebben hierover twee vragen. Allereerst: moeten we ook met de andere gemeenten in de gemeenschappelijke regeling een verwerkersovereenkomst sluiten? En ten tweede: moeten wij als gemeenten allemaal apart een verwerkersovereenkomst sluiten met de verwerker, of kunnen wij deze ook voor de gemeenschappelijke regeling gezamenlijk afsluiten?

Bekijk het antwoord

Dataopslag in het Verenigd Koninkrijk, hoe zit dat met de AVG na de Brexit?

Onze gemeente heeft delen van haar administratie, waarin ook persoonsgegevens zijn verwerkt, ondergebracht bij een databedrijf dat is gevestigd in het VK. Het databedrijf geeft aan dat het per 25 mei 2018 zal voldoen aan de voorwaarden van de Algemene Verordening Gegevensbescherming (AVG). Ook heeft het bedrijf de intentie om aan de AVG te blijven te voldoen na de Brexit. Kan de gemeente er vanuit blijven gaan dat het verwerken van persoonsgegevens bij het databedrijf in het VK ‘AVG-proof’ zal blijven ondanks de Brexit?

Bekijk het antwoord

(Hoe) moeten wij als gemeente de DPIA uitvoeren? (update)

Ik heb vernomen dat de nieuwe Europese Algemene verordening gegevensbescherming verplicht tot het uitvoeren van een zogeheten Privacy Impact Assessment (PIA). Binnen onze gemeente overwegen wij om een nieuwe technologie te gebruiken om persoonsgegevens te verwerken. Moeten wij als gemeente daarbij ingevolge de nieuwe AVG verplicht een PIA uitvoeren en zo ja, hoe moeten wij deze PIA uitvoeren?

Bekijk het antwoord

Privacy: Kan het publiceren van een bedrijfsnaam in strijd zijn met de AVG?

Als gemeente verlenen wij verschillende vergunningen aan burgers en bedrijven. De besluiten die wij omtrent het verlenen van deze vergunningen nemen, dienen wij op grond van wettelijke verplichtingen te publiceren. Wij hebben begrepen dat de Algemene Verordening Gegevensbescherming (AVG) de persoonsgegevens van natuurlijke personen beoogt te beschermen. Het publiceren van een bedrijfsnaam lijkt ons dan in principe toegestaan onder de AVG, aangezien het hier geen natuurlijk persoon betreft. Maar hoe zit het als een bedrijf bijvoorbeeld in het Handelsregister van de KvK is ingeschreven op naam van een natuurlijk persoon? Valt de bedrijfsnaam in dat geval wel te beschouwen als een persoonsgegeven in de zin van de AVG, en heeft dit gevolgen voor de manier waarop wij vergunningenbesluiten moeten publiceren?

Bekijk het antwoord

Privacy: wanneer moet er een verwerkersovereenkomst afgesloten worden?

Onze gemeente besteedt verschillende taken uit, waardoor persoonsgegevens door een derde partij verwerkt worden. Een verwerkersovereenkomst moet afgesloten worden tussen een verwerker en een verwerkingsverantwoordelijke, maar het is vaak lastig om te bepalen wie welke rol aanneemt. Daardoor weten we niet of we een verwerkersovereenkomst in de zin van de Algemene verordening gegevensbescherming (AVG) moeten afsluiten? We werken bijvoorbeeld met een clouddienst, moet met de partij die de clouddienst aanbiedt een verwerkersovereenkomst afgesloten worden?

Bekijk het antwoord

Privacy: Wat is de verhouding tussen maatregel informatiebeveiliging en mogelijkheid monitoren internetverkeer medewerker?

Als gemeente verwerken wij grote hoeveelheden data, waaronder persoonsgegevens. Met het oog op de Algemene verordening gegevensbescherming (AVG), wil de gemeente zorgen voor een betere bescherming van deze gegevens. De gemeente is van plan om onder meer een nieuwe firewall te installeren. Dit zal resulteren in de betere bescherming van de persoonsgegevens die wij, als gemeente, verwerken. Echter, zal het installeren van de firewall ook mogelijkheid bieden tot het inzien van het internetverkeer van onze medewerkers. Biedt de Europese wet- en regelgeving omtrent bescherming van persoonsgegevens hiervoor een oplossing?

Bekijk het antwoord

Slimme energiemeters: welke Europese regels zijn van toepassing?

Steeds meer woningen in onze gemeente krijgen slimme energiemeters. Hierdoor kan efficiënter met energie omgegaan worden. Kent het Europese recht ook voorschriften over slimme energiemeters waar de gemeente rekening mee dient te houden? Hoe zit het met de  bescherming van gegevens van burgers uit onze gemeente? Bijvoorbeeld wanneer de gemeente de data die deze slimme meters creëren zou willen gebruiken  om te sturen op efficiënter met energie om gaan?

Bekijk het antwoord

Privacy: is zorgvuldig omgaan met persoonsgegevens voldoende?

Ook onze gemeente verzamelt diverse persoonsgegevens. Een voorbeeld van gegevens die worden verzameld betreft gegevens op genodigdenlijsten van bijeenkomsten die door de gemeente worden georganiseerd. De gemeente wil dergelijke lijsten graag ook voor andere zaken gebruiken, bijvoorbeeld om de genodigden later nog eens uit te nodigen of om hen te informeren over andere nuttige onderwerpen. Vanzelfsprekend gaat de gemeente erg zorgvuldig om met persoonsgegevens. Is het in acht nemen van het zorgvuldigheidsbeginsel afdoende, of moet de gemeente bij verder gebruik van de genodigdenlijst ook andere Europeesrechtelijke vereisten in acht nemen?

Bekijk het antwoord

Kopiëren van ID – wanneer wel én wanneer niet?

Het is binnen de werkwijze van onze gemeente gebruikelijk om regelmatig een kopie van een identificatiemiddel op te slaan in een dossier. Bijvoorbeeld een kopie van rijbewijs of paspoort van nieuwe werknemers of gedetacheerde krachten. Er staan echter ook persoonsgegevens op een identificatiemiddel. Moet er bij het kopiëren van een identificatiemiddel ook rekening worden gehouden met de (nieuwe) Europese privacyregelgeving?

Bekijk het antwoord

Is er een verschil tussen de Europese e-privacyrichtlijn en de Europese Algemene verordening gegevensbescherming?

Er bestaan verschillende Europese regels met betrekking tot privacy waar ook decentrale overheden rekening mee moeten houden. Is er een groot verschil tussen de Europese e-privacyrichtlijn en de Europese Algemene Verordening Gegevensbescherming? Wanneer moet de e-privacyrichtlijn toegepast worden? Kunt u al meer zeggen over de nieuwe e-privacyrichtlijn?

Bekijk het antwoord

Wet- en regelgeving Privacy: de Algemene Verordening Gegevensbescherming

Gegevensbescherming en de AVG

In art. 8 Handvest van de grondrechten van de EU is de basis gelegd voor de bescherming van persoonsgegevens. Deze bescherming is uitgewerkt in richtlijnen, kaderbesluiten en verordeningen.

VERORDENING BESCHERMING PERSOONSGEGEVENS

U kunt hier de laatste versie van de Algemene Verordening Gegevensbescherming vinden, die door de Raad is goedgekeurd op 8 april 2016.

Richtlijn 95/46/EG
U kunt hier de (oude) richtlijn 95/46/EG betreffende de bescherming van persoonsgegevens vinden. Deze richtlijn zal vervangen worden door de AVG.

Wet bescherming persoonsgegevens
De richtlijn 95/46/EG is geïmplementeerd in de Wet bescherming persoonsgegevens. De richtlijn wordt twee jaar na inwerkingtreding van de Algemene Verordening Gegevensbescherming ingetrokken.

In de Wet bescherming persoonsgegevens is ook de meldplicht datalekken opgenomen. U kunt hier meer over deze meldplicht in de AVG lezen. De plicht gold voorheen al voor telecombedrijven op basis van het Europese Telecompakket en voor internet service providers op basis van de e-Privacy richtlijn.

BESCHERMING PERSOONSGEGEVENS IN STRAFZAKEN

Ook is er een nieuwe richtlijn bescherming persoonsgegevens in strafzaken. Hiermee vervalt het kaderbesluit over de bescherming van persoonsgegevens in strafzaken.