PRIVACY- EN GEGEVENSBESCHERMING TIU MASTER
RECHTSGELEERDHEID
B. VAN DER SLOOT, ‘DE ALGEMENE VERORDENING GEGEVENSBESCHERMING IN
GEWONEMENSENTAAL’, AMSTERDAM UNIVERSITY PRESS, AMSTERDAM, 2E
EDITIE, 2019.
HOOFDSTUK 1
Wat is de AVG? In de AVG staan regels over wanneer jij of de organisatie waarbinnen je werkt
gegevens over personen mag verzamelen, opslaan, analyseren of gebruiken. De AVG is op iedereen
van toepassing. Vrijwel altijd is een deel van de gegevens die je verwerkt een ‘persoonsgegeven’ en is
de AVG van toepassing. In de AVG staan sanctiemogelijkheden opgenomen, voor als je niet voldoet
aan de regels daarin. Een opgelegde boete kan oplopen tot 20 miljoen euro, of, voor ondernemingen,
tot 4 procent van de totale wereldwijde jaaromzet in het voorafgaande boekjaar indien dat meer is dan
die 20 miljoen. Daarnaast kan één van de sancties zijn aansprakelijkheid voor een overtreding, dat
kan leiden tot reputatieschade of weglopende klanten.
De AVG is in werking sinds 25 mei 2018. Het bouwt voort op de Richtlijn bescherming
persoonsgegevens 1995, die in Nederland was geïmplementeerd in de Wet bescherming
persoonsgegevens.
Primair dien je te kijken naar de AVG. Pas als er daarin staat dat landen op een bepaald punt zelf hun
eigen interpretatie van de regels kunnen kijken, heeft het zin om naar de Uitvoeringswet AVG te
kijken.
Verschil richtlijn en verordening: een richtlijn is een document dat is aangenomen door de EU, maar
dat landen vervolgens in nationale wetten moeten overnemen (implementeren). De richtlijn
bescherming persoonsgegevens moet dus in Nederland worden geïmplementeerd en dat is gebeurd
in de Wet bescherming persoonsgegevens. Er is daarbij speelruimte voor eigen interpretatie van
regels. Een verordening heeft in tegenstelling tot een richtlijn direct effect en dat betekent dus dat
burgers zich daarop rechtstreeks kunnen beroepen. De regels daaruit hoeven niet eerst
geïmplementeerd te worden.
Pagina 1 van 12
, HOOFDSTUK 2
Om na te gaan of de AVG van toepassing is, kun je vijf stappen doorlopen. Aan alle punten moet zijn
voldaan om te spreken van het feit dat de AVG van toepassing is. Het is belangrijk om aan de veilige
kant te zitten. Als een project eenmaal loopt kost het vaak meer om alles te reorganiseren – als blijkt
dat er toch persoonsgegevens worden verwerkt – dan wanneer projecten van meet af aan hierop
worden ingericht. De vijf stappen zijn:
1. Als er persoonsgegevens,
2. Worden verwerkt,
3. Door of in opdracht van een verantwoordelijke
4. Het EU-recht is van toepassing
5. Er is geen uitzondering van toepassing
Persoonsgegeven(s)
Bij de vraag of je te maken hebt met persoonsgegevens is het antwoord eigenlijk altijd ja. Het gaat er
dan ook niet zozeer om óf je persoonsgegevens hebt maar wélke, waarom je ze verwerkt en hoe de
organisatorische of technische randvoorwaarden zijn geregeld.
Een persoonsgegeven is een gegeven waarmee je iemand kunt identificeren.
Het kan zijn een direct of indirect persoonsgegeven. Een direct persoonsgegeven is
bijvoorbeeld iemands naam. Een indirect persoonsgegeven is bijvoorbeeld een kenmerk van
iemand, bijvoorbeeld wat iemand draagt.
Het gaat om zowel privé- als publieke gegevens.
Het gaat om gevoelige informatie, als algemene informatie.
Het gaat om identificerende gegevens, als om identificeerbare gegevens.
Het kan ook gaan om individualiseerbaarheid: stel je hebt een profiel van iemand gemaakt
door het verzamelen van cookies, maar je weet niet wie het is, maar je kan diegene toch
tracken, dan vallen de gegevens ook onder persoonsgegevens.
Je hebt dus eigenlijk altijd persoonsgegevens in je bezit. Het moet echter wel gaan om een mens dat
nog leeft. Toch kunnen ook gegevens over een bedrijf of een overleden persoon als
persoonsgegevens worden aangemerkt. Denk aan het voorbeeld van een eenmanszaak, dat gaat
natuurlijk over één persoon en dus persoonsgegevens. Of over gegevens van een overleden oma die
indirect betrekking hebben op haar kleindochter, die wel nog leeft. Persoonsgegevens dus.
Pagina 2 van 12