SAMENVATTINGEN RECHT EN DIGITALISERING
Hoofdstuk 2
In Nederland is vanaf 25 mei 2018 de Algemene verordening gegevensbescherming Avg van
toepassing als de opvolger van de Wet bescherming persoonsgegevens. De Avg is vastgesteld op
grond van art. 16 lid 2 VWEU. De Avg bevat voor een groot aantal delegatiebepalingen die nader
uitgewerkt moeten worden door ofwel de lidstaat of door de Europese Commissie. Niet alle regels
over het verwerken van persoonsgegevens staan daarom in de Avg. Voor zover de regels nader
uitgewerkt moeten worden door de lidstaten, staan zij voor Nederland in de Uitvoeringswet Avg.
De Avg onderscheidt vier hoofdrolspelers:
1. De betrokkene
2. De verwerkingsverantwoordelijke
3. De toezichthoudende autoriteit
4. De verwerker
Naast deze vier hoofdrolspelers is het belangrijk om goed te weten wat een persoonsgegeven is en
wat bedoeld wordt met het begrip verwerken.
De betrokkene is altijd een natuurlijke persoon. Uit art. 1 Avg volgt dat de Avg zich ten doel stelt
natuurlijke personen te beschermen in verband met de verwerking van persoonsgegevens. De
bescherming van de Avg strekt zich dus niet uit tot rechtspersonen of tot overledenen. Twee
belangrijke resultaten van deze bescherming zijn dat de betrokkene bepaalde rechten krijgt en dat de
verwerkingsverantwoordelijke bepaalde beginselen in acht moet nemen en verplichtingen heeft.
De verwerkingsverantwoordelijke is de directe tegenspeler van de betrokkene. De
verwerkingsverantwoordelijke is in art. 4 Avg gedefinieerd als een natuurlijke persoon of
rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met
anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Elke
entiteit die besluit om persoonsgegevens te verwerken kan verwerkingsverantwoordelijke zijn. De
verwerkingsverantwoordelijke heeft de verantwoordelijkheid over de aan hem toevertrouwde
persoonsgegevens van de betrokkene. Het is de relatie tussen de betrokkene en de
verwerkingsverantwoordelijke die de Avg voornamelijk probeert te regelen.
De toezichthoudende autoriteit is een door een lidstaat ingevolge art. 51 Avg ingestelde
onafhankelijke overheidsinstantie. Vervolgens is bepaald dat elke lidstaat een of meer
overheidsorganen aanwijst als toezichthouder. De toezichthoudende autoriteit moet volgens
nationaal recht de benodigde bevoegdheden krijgen om zijn taken goed te kunnen uitvoeren.
De verwerker is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een
ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens
verwerkt. De verwerker handelt dus in opdracht van de verwerkingsverantwoordelijke, maar maakt
geen deel uit van zijn organisatie.
Een persoonsgegeven wordt in art. 4 Avg gedefinieerd als alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon. Er is sprake van identificeerbaarheid wanneer de betrokkene
direct of indirect kan worden geïdentificeerd aan de hand van een gegeven. Bij de toepassing van dit
begrip dient rekening te worden gehouden met alle middelen waarvan redelijkerwijs valt te
verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere
persoon.
Directe identificatie: naam, foto, bsn-nummer, vingerafdruk, e-mailadres
,Indirecte identificatie: gegevens die niet direct naar de persoon te leiden zijn, maar in combinaties
met andere gegevens dit wel doen.
Een jongen die op 2 februari in de kroeg van Klaas zit, die net via Facebook zijn relatie heeft
verbroken en een half uurtje hondenvoer gaat halen is een voorbeeld van indirecte identificatie.
Niet alle persoonsgegevens genieten dezelfde bescherming. Er bestaan ook bijzondere
persoonsgegevens die extra beschermd worden. Deze staan opgesomd in art. 9 lid 1 Avg. Het gaat
dan bijvoorbeeld om persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen of
religie blijkt, biometrische gegevens of gegevens over gezondheid of met betrekking tot iemands
seksueel gedrag of seksuele gerichtheid. Veelal zijn dit gegevens op grond waarvan mensen
gediscrimineerd kunnen worden. Het verwerken van deze gegevens is in beginsel verboden en
slechts onder strikte voorwaarden toegestaan. Met verwerken wordt gedoeld op een bewerking of
een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van
persoonsgegevens. Het komt erop neer dat elke mogelijke handeling met een gegeven als
verwerking wordt gezien.
De Avg ziet op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking
van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden
opgenomen. Dit betekent dat de Avg van toepassing is op zo goed als alles wat op geautomatiseerde
wijze met een persoonsgegeven gebeurt. Als een verwerking niet geautomatiseerd plaatsvindt, dan is
de Avg toch van toepassing wanneer het persoonsgegevens betreft die in een bestand zijn
opgenomen of bestemd zijn om daarin te worden opgenomen. Het filmen met een analoge camera is
geen geautomatiseerde verwerking. In het Dexia-arrest bepaalde de Hoge Raad dat analoge banden
met geluidsopnamen, die bewaard worden met het oog op de procespositie van de
verwerkingsverantwoordelijke, bedoeld zijn om in een bestand te zijn opgenomen. In lid 2 staat een
aantal uitzonderingen op deze regel. Zo is de verordening niet van toepassing op de verwerking van
persoonsgegevens die in het kader staan van activiteiten die buiten de werkingssfeer van het
Unierecht vallen. Een andere uitzondering is waar een verwerking door een natuurlijke persoon bij
de uitoefening van een zuiver persoonlijk of huishoudelijke activiteit wordt uitgezonderd.
De Avg heeft een ruim territoriaal toepassingsbereik. Art. 3 lid 1 Avg bepaalt dat de verordening van
toepassing is op de verwerking van persoonsgegevens in het kader van de activiteiten van een
vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie. Wanneer de
verwerkingsverantwoordelijke een activiteit uitoefent door middel van stable arraangements in het
gebied van een lidstaat is er sprake van een vestiging als bedoeld in art. 3 Avg.
De basisbeginselen vinden we in art. 5 lid 2 Avg. Er staat dat de verwerkingsverantwoordelijke
verantwoordelijk is voor de naleving van de basisbeginselen die gelden bij het verwerken van
persoonsgegevens. De verwerkingsverantwoordelijke is daarmee de normadressaat van de Avg.
Verder staat er bepaald dat de verwerkingsverantwoordelijke niet alleen verantwoordelijk is voor de
naleving van de beginselen inzake verwerking van persoonsgegevens maar ook in staat dient te zijn
deze verantwoordelijkheid aan te tonen. De verwerking van persoonsgegevens moet rechtmatig,
behoorlijk en transparant zijn. Het gebruik vaan open normen betekent dat de begrippen worden
ingevuld door de meer specifieke bepalingen uit de Avg, maar dat de wetgever nadrukkelijk de
ruimte openlaat dat zich ook nog andere behoorlijkheids-, rechtmatigheids- of transparantie-eisen
kunnen voordoen waaraan de verwerking van persoonsgegevens moet voldoen. Het moet voor
natuurlijke personen duidelijk zijn dat hun gegevens verwerkt worden, door wie, voor welk doel en
wat hun rechten zijn. De communicatie hierover moet in duidelijke en eenvoudige taal plaatsvinden.
Op grond van het doelbindingsbeginsel mogen persoonsgegevens alleen voor welbepaalde,
uitdrukkelijk omgeschreven en gerechtvaardigde doeleinden worden verzameld. De doeleinden
waarom dit gaat, staan limitatief opgesomd in art. 6 Avg.
, Het gebruik van het woord noodzakelijk in deze bepalingen betekent dat er bij het bepalen van de
noodzaak tot een verwerking van persoonsgegevens altijd een belangenafweging moet worden
gemaakt aan de hand van de beginselen van proportionaliteit en subsidiariteit. Het kunnen
benoemen van een gerechtvaardigd doel is daarom niet voldoende. De
verwerkingsverantwoordelijke moet ook kunnen aantonen dat de inbreuk op de belangen van
betrokkene niet onevenredig is in verhouding tot het met de verwerking te dienen doel en dat dit
doel in redelijkheid niet op een andere wijze kan worden verwerkelijkt. Een uitzondering op het
doelbindingsbeginsel is de uitzondering van verenigbaar gebruik.
Het beginsel van gegevensminimalisatie betekent dat een verwerkingsverantwoordelijke niet meer
gegevens mag verwerken dan wat strikt noodzakelijk is om het doel waarvoor de gegevens verwerkt
worden te bereiken en het beginsel van juistheid dat de verantwoordelijke ervoor moet zorgen dat
de gegevens juist en actueel zijn. Het beginsel van opslagbeperking houdt in dat de gegevens niet
langer bewaard mogen worden dan nodig en als laatste wordt in art. 5 lid 1 genoemd het beginsel
van integriteit en vertrouwelijkheid. Dit betekent dat de verwerkingsverantwoordelijke dusdanige
passende technische en organisatorische maatregelen moet nemen die de beveiliging van de
gegevens waarborgen.
In art. 7 Avg staan de voorwaarden waaraan toestemming moet voldoen om rechtsgeldig te zijn. Uit
de definitie volgt dat toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig gegeven moet
zijn. Met vrije toestemming wordt bedoeld dat de betrokkene een reële keuze heeft gehad, zich niet
verplicht heeft gevoeld om toe te stemmen en geen negatieve consequenties ondervindt bij het niet
toestemmen. Ook wanneer het voor de betrokkene niet mogelijk is zijn toestemming weer in te
trekken zonder daaraan negatieve gevolgen te ondervinden kan er niet worden gesproken van vrije
toestemming. Wil er sprake zijn van een voldoende specifieke toestemming, dan moet de
verwerkingsverantwoordelijke aan een drietal eisen voldoen. Allereerst dient deze de doelen van de
verwerking voldoende te hebben gespecificeerd, ten tweede moet de verwerkingsverantwoordelijke
de betrokkene de mogelijkheid geven per doel toestemming te geven en ten slotte moet de
informatie duidelijk worden onderscheiden van andere informatie. Het vereiste van
geïnformeerdheid ziet erop dat de verwerkingsverantwoordelijke voldoende informatie aan de
betrokkene heeft verstrekt alvorens de betrokkene toestemming geeft. Ook moet de betrokkene
weten dat hij de toestemming weer in kan trekken. Het vierde criterium is dat van ondubbelzinnige
toestemming. Dit betekent dat de betrokkene een welbewuste, duidelijke en actieve handeling moet
hebben verricht. Dit kan een schriftelijke of mondelinge verklaring zijn, maar ook het aanvinken van
een hokje of swipen op een beeldscherm.
In het kader van de verwerking van bijzondere persoonsgegevens is een ander soort toestemming
vereist. Het gaat hier om uitdrukkelijke toestemming. De betrokkene moet een uitdrukkelijke
verklaring afleggen waarin hij toestemming geeft voor het verwerken van deze bijzondere
persoonsgegevens. Een manier om dit te doen is het zetten van een handtekening onder een
geschreven verklaring.
Een andere verwerkingsgrondslag is de verwerking die nodig is voor de vervulling van een taak van
algemeen belang of voor openbaar gezag. Deze grondslag richt zich vooral op de
verwerkingsverantwoordelijke die ook een overheidsorgaan is. Voor de grondslag voor een
verwerking moeten we kijken naar de speciale wettelijke taak die aan een bestuursorgaan is
opgedragen. Vervolgens moet beoordeeld worden of het noodzakelijk is voor de uitvoering van deze
taak persoonsgegevens te verwerken.