12 Vragen en antwoorden over de AVG
Op 25 mei 2018 ging de Algemene Verordening Gegevensbescherming (AVG) in. De AVG heeft gevolgen voor uw organisatie. Hoe gaat u om met persoonsgegevens en wat moet u doen om uw organisatie zo goed mogelijk in te richten op de nieuwe privacyregels? Bekijk de twaalf vragen en antwoorden.
1. Wanneer is de Algemene Verordening Gegevensbescherming (AVG) van toepassing?
De AVG beoogt de grondrechten en fundamentele vrijheden van natuurlijke personen te beschermen en met name hun recht op bescherming van persoonsgegevens (artikel 1, lid 2 AVG). U moet zich houden aan de AVG, en dus ook de Uitvoeringswet AVG, indien u, als verwerkingsverantwoordelijke of verwerker, geheel of gedeeltelijk geautomatiseerde persoonsgegevens verwerkt, of persoonsgegevens die zijn opgenomen in een bestand, of daartoe bestemd zijn (artikel 2 AVG). Artikel 3 regelt voorts de territoriale werking van de AVG.
2. Wat zijn persoonsgegevens?
Artikel 4, lid 1 AVG geeft de volgende definitie van persoonsgegevens:
“alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.
Er is dus snel sprake van een persoonsgegeven. Aan te nemen is dat een natuurlijke persoon identificeerbaar is, zoals bedoeld in de AVG, als zijn/haar identiteit redelijkerwijs, zonder onevenredige inspanning, is vast te stellen. Anonieme gegevens vallen niet onder de reikwijdte van de AVG, pseudonieme gegevens wel.
3. Wanneer moeten wij betrokkenen informeren dat wij hun persoonsgegevens verwerken?
Als verwerkingsverantwoordelijke moet u op grond van artikel 12 AVG passende maatregelen nemen om de betrokkene te informeren over de gegevensverwerking in een ‘beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm’ en ‘in duidelijke en eenvoudige taal’. Aan de informatieplicht moet worden voldaan op het moment dat de persoonsgegevens worden verzameld, in het geval dat de persoonsgegevens rechtstreeks van de betrokkene worden verkregen (artikel 13 AVG). Als de persoonsgegevens niet direct van de betrokkene worden verkregen, moet u de betrokkene binnen een redelijke termijn informeren, in ieder geval niet langer dan na één maand na ontvangst van de persoonsgegevens.
De betrokkene moet onder meer worden geïnformeerd over de identiteit en contactgegevens van u, de contactgegevens van de functionaris voor gegevensbescherming, de grondslag waarop de gegevensverwerking is gebaseerd, aan wie de persoonsgegevens worden verstrekt, de bewaartermijn van de persoonsgegevens, dan wel de criteria aan de hand waarvan de bewaartermijn wordt bepaald en de rechten die hij/zij heeft. Het moet, kort gezegd, voor betrokkenen helder zijn dat hun persoonsgegevens worden verwerkt, om welke redenen, door wie, hoe lang en welke mogelijkheden zij in dit kader hebben.
Informeren hoeft volgens de AVG niet (meer), indien de betrokkene al is geïnformeerd, het onmogelijk is of onevenredig veel inspanning zou vergen om de informatie te verstrekken, als informeren de doeleinden van de verwerking nagenoeg onmogelijk maakt, of als de verstrekking van de persoonsgegevens wettelijk is voorgeschreven.
De Werkgroep van de Europese privacytoezichthouders (de artikel 29-werkgroep, ook wel WP29) heeft enkele ‘guidelines’, oftewel richtsnoeren en richtlijnen vastgesteld. In de guidelines over transparantie verduidelijkt de WP29 onder andere de plicht om betrokkenen te informeren en de uitzonderingen hierop.
4. Waarom moeten wij, als overheid, een functionaris voor de gegevensbescherming aanwijzen?
Overheidsinstanties en overheidsorganen zijn op grond van de AVG verplicht om een functionaris voor de gegevensbescherming aan te wijzen (artikel 37 AVG). De AVG vermeldt overigens niet wanneer sprake is van een ‘overheidsinstantie of overheidsorgaan’. In de guidelines over de functionaris voor de gegevensbescherming (FG), van de WP29, is vermeld dat de nationale wetgeving moet bepalen wat de definitie is van een overheidsinstantie of overheidsorgaan. Aan te nemen is dus dat bij publiekrecht ingestelde organen van rechtspersonen, alsmede andere personen en colleges met openbaar gezag bekleed, zoals bedoeld in artikel 1:1 Algemene wet bestuursrecht, er in ieder geval onder vallen.
De WP29 vermeldt overigens in de guidelines dat overheidstaken ook uitgevoerd mogen worden door private rechtspersonen. In het geval dat privaatrechtelijke organisaties overheidstaken verrichten of openbaar gezag uitoefenen, raadt de WP29 het als ‘good practice’ aan om tevens een FG aan te wijzen.
5. Moeten wij met elke leverancier en/of samenwerkingspartner een verwerkersovereenkomst sluiten?
Nee, want niet elke leverancier en/of samenwerkingspartner zal kunnen worden gekwalificeerd als ‘verwerker’ in de zin van de AVG. Op grond van artikel 4, lid 8 AVG is een verwerker ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt’.
De AVG verplicht de verwerkersverantwoordelijke om met elke verwerker een verwerkersovereenkomst te sluiten. De essentiële vraag is dus steeds of de betreffende leverancier en/of samenwerkingspartner ten aanzien van de concrete gegevensverwerking is aan te merken als een verwerker ten opzichte van de verwerkingsverantwoordelijke. Als dat het geval is, dan is een verwerkersovereenkomst, of andere rechtshandeling, aan de orde, om deze relatie te regelen. De overeenkomst, of andere rechtshandeling, kan schriftelijk of elektronisch worden aangegaan.
De WP29 heeft enkele jaren geleden een advies geschreven over de begrippen verwerkingsverantwoordelijke (‘voor de verwerking verantwoordelijke’) en de verwerker, die nog steeds relevant is te achten. De WP29 erkent echter ook dat de praktijk (soms) weerbarstig is.
6. Wat moeten wij regelen in een verwerkersovereenkomst?
Op grond van (artikel 28 van de) AVG moeten in de verwerkersovereenkomst, of andere rechtshandeling, in ieder geval de volgende onderwerpen worden geregeld:
- Onderwerp, duur, aard en doel verwerking, soort persoonsgegevens, categorieën betrokkenen en rechten en plichten verwerkingsverantwoordelijke
- Uitsluitend verwerken o.b.v. schriftelijke instructies
- Geheimhouding
- Passende beveiligingsmaatregelen
- Toestemming in geval van sub-verwerker
- Bijstand verlenen bij de genoemde verplichtingen van de verwerkingsverantwoordelijke
- Bijstand verlenen inzake verzoeken gebaseerd op de rechten van betrokkenen
- Afspraken over einde verwerking
- Audits mogelijk maken
- Meewerken aan/bij PIA
- Afspraken over datalekken
7. Hoe lang mogen wij persoonsgegeven bewaren?
Persoonsgegevens mogen worden bewaard, zolang dit noodzakelijk is, gezien het doel waarvoor de persoonsgegevens (moeten) worden verwerkt. De AVG zelf geeft geen harde of altijd geldende termijnen. Sommige bewaartermijnen volgen uit de (overige) wet en regelgeving die van toepassing is, denk aan fiscale termijnen.
Uit de AVG vloeit voort dat ervoor moet worden gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of het periodiek toetsen ervan.
Het verwerkingenregister ingevolge artikel 30 AVG moet, zo mogelijk, ook de bewaartermijnen bevatten. De AVG bepaalt namelijk dat, indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist moeten zijn vermeld (zie artikel 30, lid 1, aanhef en onder f AVG).
8. Moeten wij van elke betrokkene van wie wij persoonsgegevens verwerken toestemming gaan vragen?
Nee, toestemming is niet altijd nodig voor het verwerken van persoonsgegevens. Wat belangrijk is, is dat de verwerking van persoonsgegevens steeds rechtmatig, behoorlijk en transparant gebeurt. Dit betekent onder andere dat er een grondslag moet zijn om persoonsgegevens te verwerken (artikel 6 AVG). Eén van de grondslagen volgens de AVG om persoonsgegevens te mogen verwerken, is toestemming van de betrokkene. Andere grondslagen zijn bijvoorbeeld het voldoen aan een wettelijke verplichting, een publiekrechtelijke taak of de uitvoering van een overeenkomst.
In sommige situaties kan het zelfs de vraag zijn, of toestemming wel een grondslag kan vormen voor gegevensverwerking. Gewezen wordt bijvoorbeeld op de ‘Beleidsregels verwerking persoonsgegevens gezondheid zieke werknemers’ uit 2016, waarin de Autoriteit Persoonsgegevens het volgende vermeldt:
“Met het gebruik van toestemming als grondslag voor gegevensverwerking dient in een arbeidsrelatie bijzonder terughoudend te worden omgegaan. Gelet op de gezagsverhouding valt niet uit te sluiten dat een werknemer onder druk van de relatie waarin hij staat tot de werkgever zich gedwongen voelt toestemming te verlenen, zodat geen sprake is van een vrije wilsuiting. Er zal daarom in de relatie werkgever-werknemer niet snel sprake zijn van een toestemming die in vrijheid is geuit.”
De WP29 heeft in de guidelines over toestemming nader uiteen gezet wanneer en hoe de toestemming rechtsgeldig kan worden verkregen. Uit deze guidelines volgt eveneens dat, heel kort gezegd, in de arbeidsrelatie voorzichtigheid geboden is ten aanzien van de toestemming als grondslag voor de gegevensverwerking. Ditzelfde geldt volgens de WP29 als de verwerkingsverantwoordelijke een overheidsinstantie of overheidsorgaan is, vanwege de ‘imbalance of power’.
9. Is een verwerkingenregister altijd verplicht?
Volgens de AVG niet. Ondernemingen of organisaties die minder dan 250 personen in dienst hebben zijn vrijgesteld van deze verplichting, tenzij het waarschijnlijk is dat de verwerkingen die zij verrichten een risico inhouden voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens of strafrechtelijke gegevens betreft. De verantwoordelijke Minister legt de Europese regelgeving zo uit dat ‘zolang en zodra er sprake is van systematische gegevensverwerking’ dit goed geregistreerd moet worden, ook beneden de 250 medewerkers.
10. Moeten wij onze personeelsdossiers opschonen?
Het is aan te raden om de verwerkingen van persoonsgegevens in kaart te brengen en te hebben. Als een verwerkingenregister verplicht is, is dat sowieso te verwachten. Hier hoort ook bij het controleren of de verwerkingen in de praktijk voldoen aan de AVG. Zo niet, is het nodig om aanpassingen te maken en dossiers op te schonen, ook personeelsdossiers, om te voldoen aan de AVG. De AVG bedoelt, kort gezegd, een maximale privacybescherming te realiseren.
11. Waarom is er een Uitvoeringswet AVG en wat regelt deze wet?
De AVG geeft op sommige onderdelen de ruimte, of verplichting, om dit nationaal te regelen. Daar is de Uitvoeringswet AVG voor bedoeld. Deze is op 15 mei 2018 aangenomen door de Eerste Kamer. De wetgever heeft ervoor gekozen om, waar ruimte is voor nationale invulling, het voorheen geldende wettelijke kader (de Wet bescherming persoonsgegevens) zoveel als mogelijk integraal over te nemen. De Uitvoeringswet AVG regelt onder meer de oprichting en inrichting van de Autoriteit Persoonsgegevens, de taken en bevoegdheden van de Autoriteit Persoonsgegevens, het toepassingsbereik van de AVG, de uitzonderingen op de rechten van betrokkenen (denk aan de uitzonderingen inzake de archivering in algemeen belang) en het gebruik van bijzondere categorieën van persoonsgegevens (denk aan het verwerken van het nationaal identificatienummer).
12. Hoe kan Capra ons helpen?
Capra adviseert al jaren over allerlei privacy vraagstukken en staat klanten hierin bij, denk aan de rol van de OR bij bijvoorbeeld regelingen over personeelsvolgsystemen of andere privacyrechtelijke besluiten, gegevensuitwisselingen in samenwerkingsverbanden, waaronder bijvoorbeeld de overdracht van (personeels)dossiers, het controleren en redigeren van verwerkersovereenkomsten, adviseren over/bij het controleren of opschonen van (personeels)dossiers – al dan niet in combinatie met de check op personeelsdossiers in verband met de Wnra –, adviseren inzake beslissingen op verzoeken van betrokkenen et cetera. Daarnaast verzorgt Capra regelmatig workshops en cursussen over de AVG, ook incompany, denk aan de Masterclass AVG. Als u vragen heeft, of bijstand en advies wenst, neemt u vooral contact met ons op.
Contact over dit onderwerp
Gerelateerd
- Alle
- Zorg Arbeidsverhoudingen Privacy
- Onderwijs Arbeidsverhoudingen Privacy
- Overheid Arbeidsverhoudingen Privacy
Aangifte doen als zorgverlener: denk aan het medisch beroepsgeheim!
Artikel
lees meerJurisprudentie selectie Onderwijs – september 2024
Artikel
lees meerMeebetalen aan WW-uitkering bij afwijzing contractverlening?
Artikel
lees meerArbeidsrecht en de Onderwijssector, over ongeschiktheid anders dan
Artikel
lees meerGeheime camera’s in de zorg
Artikel
lees meerJurisprudentie selectie Onderwijs – mei 2024
Artikel
lees meerHet uitsluiten van bewijs als gevolg van een privacyschending
Artikel
lees meerAVG en Personeelszaken; een verstandshuwelijk?
Artikel
lees meerWoo-verzoek en de Archiefwet: Procesbelang bij afwezigheid van informatie?
Artikel
lees meerJurisprudentie selectie Onderwijs – april 2024
Artikel
lees meerJurisprudentie selectie Onderwijs – december 2023
Artikel
lees meerDe bedrijfsarts als getuige: verschoningsrecht bepaald niet absoluut
Artikel
lees meerJurisprudentie selectie Onderwijs – augustus 2023
Artikel
lees meerMijn zorgmedewerker wordt tuchtrechtelijk aangeklaagd. Mag mijn zorgmedewerker medische gegevens gebruiken om zich te verweren?
Artikel
lees meerSchending privacy: werkgever moet betalen
Artikel
lees meerDe Wet open overheid in de zorgsector
Artikel
lees meerSchending van privacy – reden voor ontslag?
Artikel
lees meerJurisprudentie selectie Onderwijs – augustus 2023
Artikel
lees meerPrivacy-perikelen rondom thuiswerken
Artikel
lees meerVertrouwen is goed, controleren is beter?
Artikel
lees meerExperiment zorg en onderwijs: maatwerk in het (voortgezet) speciaal onderwijs
Artikel
lees meer(Criteria) aanvraag toelaatbaarheidsverklaring speciaal voortgezet onderwijs
Artikel
lees meer5 jaar AVG
Artikel
lees meerJurisprudentie selectie Onderwijs – mei 2023
Artikel
lees meerJurisprudentie selectie Onderwijs – maart 2023
Artikel
lees meerNiet toegelaten tot MBO-opleiding – nu een klacht, straks bezwaar
Artikel
lees meerJurisprudentie Zorg – selectie jaaroverzicht 2022
Artikel
lees meerJurisprudentie selectie Onderwijs – januari 2023
Artikel
lees meerJurisprudentie Onderwijs – selectie jaaroverzicht 2022
Artikel
lees meerJurisprudentie selectie Onderwijs – december 2022
Artikel
lees meerOntvlechting Reinier Haga Groep, het enquêterecht in de zorg
Artikel
lees meerHarmoniseren van arbeidsvoorwaarden: een mysterie ontrafeld
Artikel
lees meerPersoonlijke beleidsopvattingen onder de Woo
Artikel
lees meerJurisprudentie selectie Onderwijs – november 2022
Artikel
lees meerAanpak Ministerie van OC&W tegen discriminatie en racisme
Artikel
lees meerOntslag werkneemster ROC na publicatie kritisch boek
Artikel
lees meerJurisprudentie selectie Onderwijs – september 2022
Artikel
lees meerControleren en respecteren: monitoren als werkgever versus het privacyrecht van de werknemer
Artikel
lees meerJurisprudentie selectie Onderwijs – juli 2022
Artikel
lees meerGrensoverschrijdend gedrag en ernstige verwijtbaarheid
Artikel
lees meerLunchwebinars: ongewenste omgangsvormen in het onderwijs
Drie korte webinars van 15 minuten over het onderwerp ‘ongewenste omgangsvormen in het onderwijs
lees meerJurisprudentie selectie Onderwijs – mei 2022
Artikel
lees meerStiekem opnemen van gesprekken leidt tot einde arbeidsovereenkomst
Artikel
lees meerJurisprudentie selectie Onderwijs – maart 2022
Artikel
lees meerHet beroepsgeheim van de bedrijfsarts volgens de tuchtrechter
Artikel
lees meerPrivacy in het onderwijs aan de hand van enkele uitspraken
Artikel
lees meerJurisprudentie selectie Onderwijs – december 2021
Artikel
lees meerZorgvuldig onderzoek en adequate belangenafweging bij ontslag op staande voet leraar
Artikel
lees meerWet open overheid: doel en reikwijdte
Artikel
lees meerJurisprudentie selectie Onderwijs – september 2021
Artikel
lees meerZeg werknemer, ben jij gevaccineerd?
Artikel
lees meerOnderwijsinstellingen besteden weinig aandacht aan integer gedrag
Artikel
lees meerHet coronavirus en privacyrechtelijke vragen
Artikel
lees meerDoorzoeken van de mailbox van de werknemer
Artikel
lees meerTerugblik kennisbijeenkomst 27 mei 2021: Actualiteiten openbaarheid van bestuur
Artikel
lees meerEen terugblik op de online Privacy Pauze van 25 mei 2021
Artikel
lees meerEen nieuw model van de verwerkersovereenkomst
Artikel
lees meerJurisprudentie selectie Onderwijs – juni 2021
Artikel
lees meerDiefstal en mishandeling ≠ diefstal en/of mishandeling
Artikel
lees meerBesluit tot opschorting reiskostenvergoeding niet instemmingsplichtig
Artikel
lees meerStructuurwijziging van de ambtelijke top van de gemeente
Artikel
lees meerWet Woo: gevolgen voor de onderwijssector
Artikel
lees meerHet OR-privacyboekje
Artikel
lees meerToegangstesten en testbewijzen in het onderwijs (mbo en ho)
Artikel
lees meerJurisprudentie selectie Onderwijs – maart en april 2021
Artikel
lees meerOnrechtmatig inzien patiëntendossier? Rechter matigt boete tot € 350.000
Artikel
lees meerCorona & Privacy: een korte terugblik op de online Privacy Pauze van 20 april 2021
Artikel
lees meerEen eerste blik op de Wet open overheid
Artikel
lees meerDatalekken: een korte terugblik op de online Privacy Pauze van 30 maart 2021
Artikel
lees meerGrensoverschrijdend gedrag in het onderwijs
Artikel
lees meerOnline Privacy Pauze
U verzorgt uw kopje koffie, wij bespreken met u het laatste privacy-nieuws in het publieke domein.
lees meerEen jaar later en 100 adviezen van het OMT verder: Covid-19
Artikel
lees meerMag ik een ongevaccineerde medewerker de toegang tot de werkplek weigeren? Of ontslaan?
Artikel
lees meerJurisprudentie selectie Onderwijs – januari en februari 2021
Artikel
lees meerDatalek: voorkomen is beter dan genezen
Artikel
lees meerVerplicht vaccineren, ja of nee?
Artikel
lees meerRecht op informatievrijheid weegt zwaarder dan recht op privacy
Artikel
lees meerVirtuele Privacy Pauze
U verzorgt uw kopje koffie, wij bespreken met u het laatste privacy-nieuws in het publieke domein.
lees meerNiet ieder informatieverzoek is een Wob-verzoek!
Artikel
lees meerPrivacy: enkele hoogtepunten van de afgelopen maand
Artikel
lees meer€ 725.000,00 boete voor werkgever wegens toegangscontrole met vingerafdrukken
Artikel
lees meerUpdate Alcohol- en drugstesten: maak werk van ADM-beleid
Artikel
lees meerAutoriteit Persoonsgegevens over privacy en corona
Artikel
lees meerFocus op privacy
Artikel
lees meerSelectie Jurisprudentie Onderwijs 2e kwartaal 2019
Artikel
lees meerSelectie Jurisprudentie Onderwijs 4e kwartaal 2018
Artikel
lees meerSelectie Jurisprudentie Onderwijs 3e kwartaal 2018
Artikel
lees meerSelectie Jurisprudentie Zorg 2e kwartaal 2018
Artikel
lees meerSelectie Jurisprudentie Onderwijs 2e kwartaal 2018
Artikel
lees meerSelectie Jurisprudentie Onderwijs 1e kwartaal 2018
Artikel
lees meerSelectie Jurisprudentie Onderwijs 4e kwartaal 2017
Artikel
lees meerSelectie Jurisprudentie Onderwijs 3e kwartaal 2017
Artikel
lees meerWachtgeldgegevens en de Wob
Artikel
lees meer