Algemeen
(Begrippen en basis beginselen)
De Algemene verordening gegevensbescherming (AVG) schrijft voor op welke wijze persoonsgegevens mogen worden verwerkt. Persoonsgegevens zijn feitelijk alle gegevens waarmee een individu/natuurlijke persoon kan worden geïdentificeerd. Dat daarvoor in bepaalde gevallen aanvullende gegevens nodig zijn, maakt dit niet anders. Een gegeven is daarom al snel een persoonsgegeven. Sommige gegevens, zoals gezondheids- of rasgegevens, worden in de AVG als bijzondere persoonsgegevens aangemerkt. Dergelijke bijzondere persoonsgegevens mogen slechts in een beperkt aantal gevallen en onder strikte voorwaarden worden verwerkt .
Belangrijkste partijen
De regels in de AVG richten zich voornamelijk tot (verwerkings)verantwoordelijken. Een verwerkingsverantwoordelijke (of korter: verantwoordelijke) is de partij die alleen of samen met een andere partij het doel van en de middelen voor de gegevensverwerking vaststelt. Dat betekent kort gezegd dat de verantwoordelijke bepaalt waarvoor de gegevens worden verwerkt en op welke manier.
Een verantwoordelijke kan de gegevensverwerking uitbesteden aan een verwerker. Een verwerker verwerkt persoonsgegevens ten behoeve van en onder de verantwoordelijkheid van de verantwoordelijke. De verwerker moet instructies van de verantwoordelijke opvolgen.
Ook de verwerker heeft verplichtingen onder de AVG, maar deze zijn minder vergaand dan de verplichtingen van de verantwoordelijke.
De persoon van wie persoonsgegevens worden verwerkt is de betrokkene. Een betrokkene heeft verschillende rechten die hier nader zijn uitgewerkt.
Verwerking
De AVG ziet op bepaalde wijzen van verwerking van persoonsgegevens. Een verwerking is feitelijk iedere handeling met betrekking tot persoonsgegevens, zoals het verzamelen of vastleggen van persoonsgegevens, maar ook het wissen en raadplegen van persoonsgegevens is een verwerking. Niet iedere verwerking van persoonsgegevens valt onder de AVG. De AVG is namelijk alleen van toepassing op geheel of gedeeltelijk geautomatiseerde verwerkingen of op niet-geautomatiseerde verwerkingen van persoonsgegevens die in een bestand zijn opgenomen (of waarvan het de bedoeling is dat zij daarin worden opgenomen).
Randvoorwaarden
Om de privacyrisico’s zoveel mogelijk te beperken, is de verwerking van persoonsgegevens alleen onder bepaalde voorwaarden toegestaan. Zo mogen persoonsgegevens alleen worden verwerkt voor vooraf bepaalde specifieke doelen en slechts in een beperkt aantal in de AVG genoemde gevallen. Ook moet de verwerking van persoonsgegevens zo minimaal mogelijk zijn en mogen persoonsgegevens niet langer worden bewaard dan strikt noodzakelijk. De randvoorwaarden die gelden voor het verwerken van persoonsgegevens zijn nader uitgewerkt in Hoofdstuk II van de AVG.
Datalek
In de AVG is opgenomen dat iedere ‘inbreuk in verband met persoonsgegevens’ binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens moet worden gemeld, tenzij het niet aannemelijk is dat deze inbreuk een risico inhoudt voor de betreffende betrokkenen. De inbreuken die moeten worden gemeld, worden in het normaal spraakgebruik ook wel 'datalekken' genoemd. Indien een datalek waarschijnlijk een hoog risico inhoudt voor de betreffende betrokkenen, moet het datalek daarnaast ook aan die betrokkenen worden medegedeeld.
