AVG - Europese privacywetgeving

Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG) in de hele Europese Unie. Deze privacywet zorgt ervoor dat alle organisaties dezelfde regels volgen bij het vastleggen en verwerken van persoonsgegevens.

Met de AVG komen er extra verantwoordelijkheden bij. Zo moet je kunnen aantonen dat jouw organisatie aan de privacyregels voldoet, ook wel de verantwoordingsplicht genoemd. Dit betekent dat je moet kunnen laten zien dat de juiste organisatorische en technische maatregelen zijn genomen om aan de AVG te voldoen.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) is de toezichthouder voor de privacywet. Op hun website vindt je de laatste updates en een overzicht van de rechten en plichten onder de AVG. Voor advies over de uitvoering kunt u ook uw juridisch adviseur inschakelen.

Voor alle organisaties

De nieuwe Europese privacywet geldt voor alle organisaties die persoonsgegevens verwerken. Je mag dus niet zomaar gegevens verwerken; hiervoor heb je een wettelijke basis nodig.

De AVG biedt 6 mogelijke grondslagen:

  1. Toestemming van de betrokken persoon - De persoon heeft expliciet toestemming gegeven voor de verwerking van zijn gegevens.
  2. Uitvoering van een overeenkomst - De gegevensverwerking is noodzakelijk om een overeenkomst uit te voeren, bijvoorbeeld bij een aankoop.
  3. Nakomen van een wettelijke verplichting - Er is een wet die voorschrijft dat je de gegevens moet verwerken, zoals voor belastingdoeleinden.
  4. Bescherming van vitale belangen - De verwerking is nodig om iemands leven of gezondheid te beschermen, bijvoorbeeld bij medische noodsituaties.
  5. uitoefening van openbaar gezag - De verwerking is nodig om een taak van algemeen belang of openbaar gezag uit te voeren, zoals bij overheidsinstanties.
  6. Behartiging van gerechtvaardige belangen - Er is een gerechtvaardigd belang voor de organisatie of een derde partij, zolang dit belang niet zwaarder weegt dan de privacyrechten van de betrokkenen.

 

Bron: Regelhulp Algemene verordening gegevensbescherming

Persoonsgegevens

Onder de wet Bescherming Persoonsgegevens valt alles wat naar een persoon te herleiden is, zoals telefoonnummers of combinaties van postcode en huisnummer. Specifieke, gevoelige gegevens zoals etniciteit, gezondheid en religie vallen onder *bijzondere persoonsgegevens* en krijgen extra bescherming.

De wet geldt alleen voor mensen die in leven zijn. Dit betekent dat gegevens van overleden personen en organisaties niet onder deze wet vallen.

Wat houdt het verwerken van persoonsgegevens in?

Het verwerken van persoonsgegevens omvat elke handeling die een organisatie met deze gegevens uitvoert, van verzamelen tot vernietigen.

Jouw verantwoordelijkheid

Jij bent verantwoordelijk voor de verwerking van persoonsgegevens binnen jouw organisatie. Dit betekent dat je  moet kunnen aantonen:

  • Wat er met de persoonsgegevens gebeurt,
  • Welke persoonsgegevens je vastlegt,
  • Waarom je dit doet,
  • En hoe je dit uitvoert.

 

Deze verantwoordelijkheid brengt een *verantwoordingsplicht* met zich mee; je moet kunnen verantwoorden hoe je omgaat met persoonsgegevens.

Speciale regels voor politie en justitie

Voor opsporingsdiensten zoals de politie gelden aparte regels, omdat zij verantwoordelijk zijn voor de veiligheid en het opsporen van strafbare feiten. Hiervoor hebben ze speciale bevoegdheden nodig.

Daarom is het extra belangrijk dat deze diensten zorgvuldig omgaan met de grondrechten van burgers, zoals privacy. Ze moeten er ook voor zorgen dat alle gegevens die ze verwerken goed beveiligd zijn.

Identiteitsbewijs bij inkoop en belening

Bij het inkopen en belenen van tweedehands goederen en sieraden is het nodig om de identiteit van de klant vast te stellen. Daarom moeten bepaalde gegevens van het identiteitsbewijs worden genoteerd.

Identiteitscontrole en financiële wetgeving

Sinds 2015 vallen pandhuizen onder de Wet ter voorkoming van witwassen en financiering van terrorisme (WWFT). Deze wet verplicht je om zelf in te schatten hoe risicovol een transactie is. Hoe groter het risico, hoe meer je moet controleren.

Hoger risico: Bij risicovolle transacties mag je een kopie van het identiteitsbewijs bewaren, maar alleen tot vijf jaar na de transactie.

Lager risico: Voor transacties met een lager risico mag je geen kopie bewaren, tenzij je echt kunt aantonen dat dit noodzakelijk is. In die gevallen noteer je alleen de essentiële gegevens van het identiteitsbewijs, zoals:- Type document- Documentnummer- Plaats van afgifte- Datum van afgifte

Recht op informatie

De betrokkene, waarvan je de persoonsgegevens gebruikt, heeft recht op informatie. Dat houdt in dat je moet laten weten dat je persoonsgegevens verstrekt aan andere organisaties, bijvoorbeeld de politie.

Dit moet je laten weten vóórdat je de gegevens gaat vastleggen.

Het is verstandig om deze informatie ook op te nemen in het contract dat de betrokkene ondertekent. Dat voorkomt onduidelijkheid achteraf.

Recht op inzage

De wet op de privacy geeft mensen meer zeggenschap over hun persoonsgegevens. Ze hebben het recht om te vragen welke gegevens je van hen hebt. Ze mogen ook vragen om deze gegegevens in te zien.

Je moet laten weten:

  • Waarom je de persoonsgegevens verwerkt
  • Welke persoonsgegevens je verzamelt
  • Aan welke organisaties je persoonsgegevens doorgeeft
  • Hoe lang je persoonsgegevens bewaart, of welke criteria je gebruikt om de bewaartermijn te bepalen
  • Welke rechten de persoon heeft

 

Recht op verwijdering / vergetelheid

Dit houdt in dat je in een aantal gevallen de gegevens van de betrokkene moet wissen als die daarom vraagt.

Dit recht geldt in de volgende situaties:

  • Als de persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor de organisatie ze heeft verzameld
  • De betrokkene trekt de toestemming voor het gebruik van zijn gegevens in.
  • Recht op vergetelheid geldt niet in het geval:
  • Er een wettelijke verplichting is, om de persoonsgegevens te verwerken
  • De gegevens noodzakelijk zijn voor een rechtsvordering