H2 de AVG in vogelvlucht
2.1 Inleiding
Hoe om te gaan met persoonsgegevens? In Nederland is vanaf 25 mei 2018 de AVG van toepassing
als opvolger van de WBP. Veel begrippen en normen zijn hetzelfde gebleven. De AVG is vastgesteld
o.g.v. 16 lid 2 verdrag betreffende de werking van de EU (hierna: werkingsverdrag). In 16 lid 1
werkingsverdrag staat dat eenieder recht heeft op bescherming van zijn persoonsgegevens. 16 lid 2
bevat een opdracht voor het EU parlement en de raad om voorschriften hierover vast te stellen. In de
preambule van de ABH verwijst de eerste overweging naar 8 lid 1 van het Handvest van de
grondrechten van de EU (hierna: Handvest) bepaalt ook dat eenieder recht heeft op bescherming van
persoonsgegevens.
Het gebruik van de gegevens moet op een zorgvuldige en nette wijze gebeuren. Dit is bevorderlijk
voor het vertrouwen in de digitale economie en daarom ook voor de economische groei.
Een EU verordening heeft ingevolge 288 werkingsverdrag een rechtstreekse werking. Echter, de AVG
bevat veel delegatiebepalingen die uitgewerkt moeten worden door of de lidstaat, of de EU
commissie en soms door de nationale toezichthouder. Om deze reden staan niet alle
verwerkingsregels in de AVG.
Ook de Richtlijn gegevensbescherming en opsporing werd tegelijk met de AVG gepubliceerd. Regels
die zien op de wijze waarop politie en het OM met strafrechtelijke persoonsgegevens omgaan, staan
om deze reden niet in de AVG.
Voor zover de regels nader uitgewerkt moeten worden door de lidstaten, staan zij voor Nederland in
de Uitvoeringswet AVG (hierna: uitvoeringswet)
2.2 Basisbegrippen
AVG onderscheidt vier hoofdrolspelers:
Betrokkene
4 aanhef en onder 1 AVG: een geïdentificeerde of identificeerbare natuurlijke persoon. Twee
belangrijke resultaten van deze bescherming zijn dat de betrokkene bepaalde rechten krijgt en dat de
verwerkingsverantwoordelijke (hierna: verantwoordelijke) bepaalde beginselen in acht moet nemen
en verplichtingen heeft.
Verwerkingsverantwoordelijke
4 aanhef en onder 7 AVG: een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of
een ander orgaan die, alleen/samen met anderen, het doel van en de middelen voor de verwerking
van persoonsgegevens vaststelt. De verantwoordelijke heeft de verantwoordelijkheid over de aan
hem toevertrouwde persoonsgegevens van betrokkene. De definitie geeft ook de mogelijkheid van
gezamenlijke verantwoordelijkheid. Dan zijn twee/meer verantwoordelijken gezamenlijk
verantwoordelijk voor de verwerking. Deze gezamenlijke verantwoordelijkheid is nader uitgewerkt in
26 AVG.
Toezichthoudende autoriteit
Een lidstaat stelt ingevolge 51 AVG een onafhankelijke overheidsinstantie in (4 aanhef en onder 21
AVG). 51 AVG bepaald dat elke lidstaat één of meer overheidsorganen aanwijst als toezichthouder.
In Nederland is in 6 van de uitvoeringswet de Autoriteit Persoonsgegevens (hierna: AP) aangewezen.
De AP moet volgens nationaal recht de benodigde bevoegdheden krijgen om zijn taken goed uit te
kunnen voeren.
Verwerker
,De verwerking kan door de verantwoordelijke of de verwerker gebeuren. De verwerker is een
natuurlijke persoon, rechtspersoon, overheidsinstantie, dienst of ander orgaan die t.b.v. de
verantwoordelijke persoonsgegevens verwerkt (4 aanhef en onder 8 AVG). De verwerker doet dit
dus in opdracht van maar maakt geen deel uit van de organisatie.
4 aanhef en onder 1: persoonsgegeven is alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon. Er is sprake van identificeerbaarheid als de betrokkene direct of
indirect kan worden geïdentificeerd aan de hand van een gegeven.
Directe identificatie: naam, foto, BSN etc.
Indirecte identificatie: gegevens die niet direct naar een persoon te zijn herleiden, maar in
combinatie met andere gegevens dit wel doen
Niet alle persoonsgegevens genieten dezelfde bescherming. Er zijn ook bijzondere persoonsgegevens
die extra bescherming nodig hebben. 9 lid 1 AVG: opsomming van bijzondere persoonsgegevens. Dit
zijn gegevens op grond waarvan mensen gediscrimineerd of achtergesteld kunnen worden. Het
verwerken is in beginsel verboden, en slechte onder strikte voorwaarden toegestaan.
Verwerken: is een bewerking of een geheel van bewerkingen m.b.t. persoonsgegevens of een geheel
van persoonsgegevens, die al dan niet uitgevoerd worden via geautomatiseerde procedés (4 aanhef
en onder 2).
2.3 Het toepassingsbereik van de AVG
2 lid 1 AVG: AVG ziet op de geheel/gedeeltelijk geautomatiseerde verwerking, alsmede op de
verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin
te worden opgenomen.
4 aanheft en onder 6: een bestand is een gestructureerd geheel van persoonsgegevens die volgens
bepaalde criteria toegankelijk zijn.
Dexia-arrest: HR bepaalt dat analoge banden met geluidsopnamen, die bewaard worden met het
oog op de procespositie van de verwerkingsverantwoordelijke, bedoeld zijn om in een bestand te zijn
opgenomen.
2 lid 2 AVG: uitzonderingen op de regel. De verordening is niet van toepassing op de verwerking van
persoonsgegevens in het kader staan van activiteiten die buiten de werkingssfeer van het Unierecht
vallen. Deze uitzondering moet heel beperkt worden geïnterpreteerd.
Uitzondering onderdeel C: een verwerking door een natuurlijke persoon bij de uitoefening van een
zuiver persoonlijk of huishoudelijke activiteit wordt uitgezonderd.
Lindqvist-arrest: HvJ oordeelde dat er sprake is van een zuiver persoonlijke of huishoudelijke
activiteit wanneer de verwerking uitsluitend betrekking heeft op activiteiten zonder sterk sociale
inslag die tot het persoonlijke of gezinsleven van particulieren behoren. Dit is niet zo (net als in dit
arrest) als persoonsgegevens op het internet openbaar worden gemaakt. De gegevens zijn daardoor
voor een onbepaald aantal personen toegankelijk.
AVG heeft een ruim territoriaal toepassingsbereik.
3 lid 1 AVG: de verordening is van toepassing op de verwerking van persoonsgegevens in het kader
van activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de
Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.
Google-Spain-arrest: het maken van lokale reclame door de lokale vestiging van Google in Spanje
dient als onlosmakelijk verbonden te worden beschouw met verwerkingsactiviteiten van Google.
,Hamvraag: wat nu als een verantwoordelijke, zoals Google, persoonsgegevens van Spanjaarden
verwerkt zonder een lokale vestiging in Spanje te hebben? Het internet maakt het mogelijk
territoriale grenzen te verwaarlozen en op afstand gegevens te verwerken. 3 lid 2 AVG is hier van
groot belang. De AVG is ook van toepassing als de verantwoordelijke of de verwerker niet in de Unie
gevestigd is, en de verwerking verband houdt met het aanbieden van goederen of diensten aan
betrokkenen in de Unie of voor het monitoren van hun gedrag dat plaatsvindt in de Unie.
Dan kan de vraag worden gesteld of de AVG dan ook van toepassing is op elke webwinkel waarmee
goederen of diensten worden aangeboden? Vanuit de EU kan bij elke webwinkel waar dan ook,
besteld worden. Dat is niet het geval. Een eigenaar, die informatie in X taal heeft geschreven, die zich
alleen op X markt richt, zal bij de verwerking van de persoonsgegevens zich niet hoeven houden aan
de Unieregels. De website is namelijk niet gericht op het aanbieden van goeden en diensten in de
Unie. Voor het monitoren van burgers in de Unie gelden altijd wel de EU-regels omtrent
gegevensbescherming.
2.4 De basisbeginselen bij het verwerken van persoonsgegevens
5 AVG: bevat de basisbeginselen
5 lid 2 AVG: verantwoordelijke is verantwoordelijk voor de naleving van de basisbeginselen die
gelden bij het verwerken van persoonsgegevens. Verantwoordelijke is tevens verplicht deze
verantwoordelijkheid aan te tonen.
74 preambule: de verantwoordelijke moet passende en effectieve maatregelen uitvoeren en kunnen
aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt.
5 lid 1 aanhef en onder a: de verwerking van persoonsgegevens moet rechtmatig, behoorlijk en
transparant zijn. Het moet dus voor natuurlijke personen duidelijk zijn dat hun gegevens verwerkt
worden, door wie, voor welk doel en wat hun rechten zijn. Communicatie hierover moet in duidelijke
en eenvoudige taal plaatsvinden.
Doelbindingsbeginsel: persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven
en gerechtvaardigde doeleinden worden verzameld. Deze staan limitatief opgesomd in 6 AVG.
Bij de verwerking van persoonsgegevens moet altijd een belangenafweging worden gemaakt aan de
hand van de beginselen van proportionaliteit en subsidiariteit. De verantwoordelijke moet ook
kunnen aantonen dat de inbreuk op de belangen van betrokkene niet onevenredig is in verhouding
tot het met de verwerking te dienen doel en dat dit doel in redelijkheid niet op een andere , voor de
betrokkene minder nadelige wijze kan worden verwerkelijkt.
Uitzondering doelbindingsbeginsel: verenigbaar gebruik.
89 lid 1 AVG: gegevens kunnen ook gebruikt worden voor archivering in het algemeen belang, voor
wetenschap of historisch onderzoek of voor statistische doeleinden.
Beginsel van gegevensminimalisatie: de verantwoordelijke mag niet meer gegevens verwerken dan
strikt noodzakelijk is om het doel waarvoor de gegevens worden te bereiken
Beginsel van juistheid: de verantwoordelijke moet ervoor zorgen dat de gegevens juist en actueel zijn
Beginsel van opslagbeperking: gegevens mogen niet langer bewaard worden dan nodig
5 lid 1 AVG: beginsel van integriteit en vertrouwelijkheid. De verantwoordelijke moet dusdanige
passende technische en organisatorische maatregelen nemen die de beveiliging van de gegevens
waarborgen
, 2.5 de verwerkingsgrondslag en toestemming
Verwerkingsgrondslag: toestemming
7 AVG: voorwaarden waaraan toestemming moet voldoen om rechtsgeldig te zijn
4 aanhef en onder 11 AVG: definitie van begrip toestemming. Hieruit volgt dat de toestemming:
Vrij;
Betrokkene heeft een reële keuze gehad, zich niet verplicht heeft gevoeld om toe te stemmen en
geen negatieve consequenties ondervindt bij het niet toestemmen
Specifiek; moet aan een drietal eisen worden voldaan:
o De doelen van de verwerking moeten voldoende zijn gespecificeerd;
o De verwerkingsverantwoordelijke moet de betrokkene de mogelijkheid geven per
doel toestemming te geven als de persoonsgegevens verzameld worden voor
meerdere doeleinden;
o De informatie aangaande de toestemming moet duidelijk worden onderscheiden van
andere informatie.
Geïnformeerd;
Verwerkingsverantwoordelijke moet voldoende informatie aan de betrokkene hebben verstrekt
alvorens de toestemming. Betrokkene moet dus ook weten dat hij de toestemming weer in kan
trekken.
Ondubbelzinnig moet zijn.
De betrokkene moet een welbewuste, duidelijke en actieve handeling hebben verricht. Dit kan zowel
schriftelijk als mondeling (internet, schrift of audio).
9 lid 2 sub a AVG: verwerking bijzondere persoonsgegevens
Voor dit soort gegevens is een ander soort toestemming vereist. Het gaat niet om ondubbelzinnig
maar op uitdrukkelijke toestemming. Het gaat hier dus om een verklaring in bijvoorbeeld de vorm
van een handtekening onder een geschreven verklaring.
6 sub e AVG: verwerkingsgrondslag > verwerking is nodig voor de vervulling van een taak van
algemeen belang of voor openbaar gezag. Deze grondslag richt zich vooral op de
verwerkingsverantwoordelijke die ook overheidsorgaan is.
6 lid 3 AVG: de taak van algemeen belang, of het openbaar gezag, moet worden vastgesteld of bij
Unierecht, of bij lidstatelijk recht dat op het overheidsorgaan van toepassing is. Voor NL geldt: voor
de grondslag voor een verwerking moeten we kijken naar de speciale wettelijke taak die aan een
bestuursorgaan is opgedragen. Bestuursorganen krijgen namelijk doelgebonden, specifieke
bevoegdheden om een speciaal algemeen belang te behartigen. Er moet beoordeeld worden of het
noodzakelijk is voor de uitvoering van deze taak persoonsgegevens te verwerken.
6 sub f AVG: verwerkingsgrondslag restgrond. Deze grond heeft een brede formulering waardoor hij
gebruikt kan worden voor veel verschillende doeleinden. Verwerkingsverantwoordelijke moet een
afweging maken: het gerechtvaardigde belang van de verwerking tegen het belang van de
betrokkene. Hierbij spelen de grondrechten van de betrokkene een rol. Als de betrokkene een kind is,
weegt dit extra zwaar. Overheidsinstanties mogen deze grond niet gebruiken bij de uitoefening van
hun taken, zij moeten daarvoor de gronden uit c of e gebruiken.
2.6 plichten verwerkingsverantwoordelijken en verwerkers
Zowel verwerkingsverantwoordelijke als verwerkers moeten voldoen aan verplichtingen. Een aantal
zijn administratief van aard en een aantal biedt rechten aan betrokkenen.
