Samenvatting Grip op de AVG
Auteur: RamonavW
School: Windesheim
Minor: Veiligheid en Recht
Vak: AVG
Auteur: RamonavW 1
,Grip op de AVG Handboek
Hoofdstuk 1 Inleiding
Een hoofddoel van de AVG is de bescherming van persoonsgegevens. Maar de AVG heeft nóg
een hoofddoel en dat is het mogelijk maken van het vrije verkeer van persoonsgegevens binnen
de EU. Een gevolg van deze twee hoofddoelen is dat de bescherming van persoonsgegevens
voortdurend een afweging vraagt tussen de belangen van de personen over wie
persoonsgegevens worden verwerkt en de belangen van degenen die die gegevens verwerken.
1.1 Persoonsgegevens en betrokkene
De AVG definieert persoonsgegevens als alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon (“de betrokkene”). Daarmee is de term betrokkene
gedefinieerd: dat is degene over of van wie persoonsgegevens worden verwerkt.
Identificeerbaar
Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden
geïdentificeerd, met name aan de hand van een identificator zoals een naam, en
identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die
kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele
of sociale identiteit van die natuurlijke persoon. Vooral van belang in deze definitie is dat er al
snel sprake is van identificeerbaarheid.
Alle informatie over
Als de AVG zegt dat persoonsgegevens alle informatie over een persoon zijn, bedoelt ze dan
ook echt alle informatie? Gegevens over overleden personen worden niet beschouwd als
persoonsgegevens. Wel kunnen ze soms ook iets zeggen over nog levende personen en in dat
geval zijn het weer wel persoonsgegevens over hen. Ook gegevens over bedrijven zijn soms
persoonsgegevens, namelijk als het gaat over een eenmanszaak, vof, cv of maatschap.
1.2 Verwerken
De AVG definieert niet het begrip verwerken, wel het begrip verwerking. Dat is ‘een bewerking of
een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van
persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het
verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen,
raadplegen, gebruiken, versterken door middel van doorzending, verspreiden of op andere wijze
ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van
gegevens’. Hier geldt eigenlijk hetzelfde als voor het begrip persoonsgegevens: er is al heel snel
sprake van. Het begrip verwerken dekt de hele levenscyclus van informatie, en alles wat u doet
of zou kunnen doen met persoonsgegevens valt eronder.
Hoofdstuk 2. Heef u te maken met de AVG?
2.1 Waar worden de gegevens verwerkt?
De AVG is weliswaar een verordening van de EU, maar haar tentakels reiken verder dan de
lidstaten. Zij is namelijk ook van toepassing op organisaties die niet in de EU gevestigd zijn, mar
die wel gegevens verwerken gericht op personen in de EU.
Auteur: RamonavW 2
, De verwerking is gericht op personen in de EU
Organisaties van buiten de EU vallen onder de AVG wanneer hun gegevensverwerking gericht
is op personen die zich in de EU bevinden. Concreet:
Als ze hun goederen of diensten aanbieden, al dan niet tegen betaling
Als ze hun gedrag monitoren.
2.3 Rollen
Als een organisate ppr oor haar eigen doeleinden gege ens erwerkt, zodat dat er andere artien ii
etrokken ziin, dan is dpideliik dat zii er zelf erantwoordeliik oor is. Om in ingewikkelde sitpates
dpideliikheid aan te rengen onderscheidt de AVG 2 fpndamentele rollen: de
verwerkingsverantwoordelijke en de verwerker. De erwerkings erantwoordeliike is de aas o er de
erwerking. Als hii wil kan hii daar oor andere artien inschakelen, die we dan erwerkers noemen.
Let op: omdat ‘verwerkingsverantwoordelijke’ zo’n lang woord is, zullen wij het veelal houden bij
eenvoudigweg ‘verantwoordelijke’, de term die nu ook gehanteerd wordt.
In de AVG staat het als volgt:
De verwerkingsverantwoordelijke is degene die “het doel van en de middelen voor de
verwerking vaststelt”;
De verwerker is degene die “ten behoeve van de verwerkingsverantwoordelijke
persoonsgegevens verwerkt”.
Een verwerking van persoonsgegevens die onder de AVG valt, heeft altijd een
verwerkingsverantwoordelijke, zelfs al is die zich daar helemaal niet van bewust. Een verwerking
kan ook meerdere verwerkingsverantwoordelijken hebben, we spreken dan van gezamenlijke
verantwoordelijkheid. Bij lang niet alle verwerkingen is een verwerker betrokken. Tegelijkertijd
kan een verwerking wel meerdere verwerkers hebben.
2.4 Rolverdeling
2.4.3 Meerdere betrokken partiien
Een goede vuistregel is in dit soort gevallen dat u een verantwoordelijke bent zodra u een zo
grote vinger in de pap heeft dat het onredelijk is om u geen verantwoordelijkheden toe te
kennen. Dat is in ieder geval zo wanneer u het doel (waarom?) van de verwerking bepaalt. Als
het gaat over de middelen (wie, waar, wat, hoe, hoe lang?) kan het lastiger zijn om de lijn te
trekken. Wanneer er meerdere partijen bij een gegevensverwerking betrokken zijn, moeten zij
goede afspraken met elkaar maken en die schriftelijk vastleggen.
Gezamenliike verantwoordeliikheid
Gezamenlijke verantwoordelijken moeten op een transparante manier met elkaar afspreken wie
welke rol heeft, hoe ieder van hen zich verhoudt tot de betrokkenen, en waarvoor ieder van hen
verantwoordelijk is.
Verwerkersovereenkomst
Een verantwoordelijke moet ervan uit kunnen gaan dat de verwerker die hij inschakelt behoorlijk
omgaat met de persoonsgegevens. De verantwoordelijke hoort daarom vast te stellen of de
verwerker wel aan de wettelijke eisen voldoet.
Auteur: RamonavW 3
