De Algemene Verordening Gegevensbescherming (AVG) regelt de bescherming van persoonsgegevens binnen de Europese Unie (EU). Door de digitaliserende samenleving wordt er steeds meer data, waaronder persoonsgegevens, geproduceerd en gedeeld. Persoonsgegevens zijn alle data aan de hand waarvan een natuurlijk persoon geïdentificeerd kan worden. De AVG ziet toe op de bescherming van deze gegevens door beperkingen te zetten op wanneer zij verwerkt mogen worden. Verwerking omvat zowel het gebruiken, opslaan als inzien van persoonsgegeven.
Rechtmatige verwerking
In principe oogt de AVG op het zo weinig mogelijk verwerken van persoonsgegevens. Het is echter onmogelijk om nooit persoonsgegevens te verwerken. Het was dus van belang om dit toch op een legitieme manier mogelijk te maken. De AVG definieert zes beginselen voor rechtmatige verwerking:
- Rechtmatigheid, behoorlijkheid en transparantie; Dit houdt in dat verwerkingsverantwoordelijken zich houden aan de wettelijke eisen voor verwerking en dat betrokkenen op een duidelijke manier geïnformeerd worden over deze verwerking.
- Doelbinding; Dit betekent dat verwerking alleen mag plaatsvinden als er voor de verwerking plaatsvind een duidelijk en gerechtvaardigd doel is gedefinieerd.
- Datamininimalisatie; Verwerkingsverantwoordelijken zijn verplicht om niet meer persoonsgegevens te verwerken dan nodig is om het geformuleerde doel te behalen.
- Juistheid; De persoonsgegevens moeten correct en actueel zijn. Indien zij dit niet zijn, moeten de gegevens verwijderd of gerectificeerd worden.
- Opslagbeperking; Persoonsgegevens mogen niet langer bewaard blijven dan nodig, wat betekent dat zij verwijdert moeten worden nadat het oorspronkelijke doel is behaald.
- Vertrouwelijkheid en integriteit; Organisaties moeten op een verantwoordelijke manier omgaan met persoonsgegevens en hun actief inzetten om zich aan de AVG te houden.
Verantwoordelijkheden voor decentrale overheden
Bij iedere verwerking van persoonsgegevens hoort een verwerkingsverantwoordelijke die de doelen en middelen van de verwerking bepaalt. De verwerkingsverantwoordelijke is op grond van artikel 4 lid 7 AVG verantwoordelijk voor alle verwerkingen van persoonsgegevens. Decentrale overheden worden gezien als een verwerkingsverantwoordelijke. De organisatie moet kunnen laten zien dat hun verwerkingen aan de regels van de AVG voldoen. Dit is de verantwoordingsplicht. Een decentrale overheid moet bijvoorbeeld aantonen dat de verwerkingen rechtmatig zijn en voldoen aan de verwerkingsbeginselen. Ook moet zij laten zien dat ze de juiste technische en organisatorische maatregelen heeft genomen. De AVG stelt een aantal verplichte maatregelen waarmee een organisatie aan de verantwoordingsplicht voldoet.
De verantwoordelijkheden zien toe op de correcte verwerking van persoonsgegevens, het uitvoeren van verzoeken vanuit de desbetreffende personen met betrekking tot deze persoonsgegevens en de verantwoordingsplicht die decentrale overheden dragen. Deze verantwoordelijkheid omvat bijvoorbeeld het bijhouden van een verwerkingsregister en een datalekregister. Ook moeten decentrale overheden een effectenbeoordeling met betrekking tot de gegevensbescherming uitvoeren, ook wel DPIA (Data Protection Impact Assessment) genoemd. Tevens benoemt de verordening de mogelijke verplichting tot het aanstellen van een Functionaris Gegevensbescherming.
Ontwikkeling
In werking treden
De AVG is op 25 mei 2016 in werking getreden. Twee jaar later, op 25 mei 2018, werd de Verordening van toepassing. Nederland heeft de inhoud van de verordening uitgewerkt in de Uitvoeringswet Algemene verordening gegevensbescherming, welke op 25 mei 2018 in werking trad.
Evaluaties
Om de effectiviteit van de AVG te waarborgen, is de Commissie vanaf 2020 verplicht elke vier jaar een evaluatie uit te voeren.
Eerste evaluatie
Het eerste evaluatierapport van 24 juni 2020 concludeerde de Commissie dat de meeste doelen van de AVG zijn behaald. Zo beschermt de AVG de privacy en persoonsgegevens van burgers en de AVG heeft een nieuw Europees systeem van bestuur en handhaving opgezet. Bovendien bleek naar aanleiding van de coronacrisis dat de AVG flexibel en veerkrachtig is in tijden van crisis.
Desalniettemin ziet de Commissie ook verbeteringspunten zoals het harmoniseren van de uitvoering van de AVG door lidstaten en meer toezicht houden op de implementatie van de AVG. Organisaties hebben vrij weinig moeite met de AVG op zich, maar worstelen met de uiteenlopende procedure regels waar de lidstaten zeggenschap hebben.
Aansluitend op het eerste evaluatierapport heeft de Commissie heeft op 4 juli 2023 een wetsvoorstel ingediend voor een verordening die duidelijkheid en harmonisatie moet brengen voor procedurele regels met betrekking tot de AVG. Vooral de samenwerking tussen gegevensbeschermingsautoriteiten (GBA’s) in gevallen van grensoverschrijdende zaken moet doeltreffender.
Tweede evaluatie
Op 25 juli 2024 heeft de Europese Commissie haar tweede evaluatierapport over de AVG gepubliceerd. De Commissie omschrijft daarin de AVG als ‘’een essentieel onderdeel van de manier waarop de EU de digitale transformatie aanpakt.’’
Verder wordt de AVG aangemerkt als een ‘’hoeksteen’’ van de Europese digitale strategie. Daarom zijn een doeltreffende toepassing en duidelijke regels van groot belang voor de werking van de AVG. Aangezien dit verbeterpunt ook al naar voren kwam uit de voorgaande evaluatie, dringt de Commissie er bij het Parlement en de Raad op aan om het bovengenoemde wetsvoorstel zo snel mogelijk aan te nemen.
Over het wetsvoorstel
Het voorstel voor een Verordening ter aanvulling van procedurele regels voor de handhaving van de AVG heeft voornamelijk betrekking op de geschillenbeslechting bij grensoverschrijdende gegevensverwerking. Het gaat bijvoorbeeld over het gebruiken van een gestandaardiseerd formulier voor het indienen van klachten met betrekking tot grensoverschrijdende verwerking. Verder kent het voorstel het recht toe om gehoord te worden tegenover het Europees Comité voor gegevensbescherming bij geschillenbeslechting. Tot slot biedt het voorstel middelen om gemakkelijker consensus te bereiken bij een meningsverschil tussen GBA’s.
Als het wetsvoorstel wordt aangenomen en in werking treedt, zal er weinig veranderen voor de rol en taken van decentrale overheden. Het wetsvoorstel houdt zich voornamelijk bezig met procedurele regels voor nationale gegevensbeschermingsautoriteiten, in het geval van Nederland gaat het om de Autoriteit Persoonsgegevens.
