Wat is de AVG ("GDPR")? Wat betekent deze nieuwe wet voor jou als individu? En wat betekent het voor jou als organisatie? Het antwoord op deze en meer vragen vind je in onze FAQs. Staat jouw vraag er niet bij? Laat je vraag achter!
De AVG: Alles wat je wilde weten

  • Wat is de AVG?

    De AVG (Algemene verordening gegevensbescherming) is de nieuwe Europese wet voor de bescherming van persoonsgegevens die in werking treedt op 25 mei 2018. De wet wordt ook wel aangeduid met de afkorting GDPR (General Data Protection Regulation).

  • Wat doet de AVG?

    De AVG reguleert hoe persoonsgegevens verwerkt kunnen worden door bedrijven, overheidsinstanties en andere organisaties. (“Verwerken” omvat alles in relatie tot het verzamelen, aggregeren, minen of delen van data.)

    De AVG reguleert ook dat persoonsgegevens veilig opgeslagen en verwerkt dienen te worden.

  • Voor wie is de AVG?

    De AVG is ontworpen om de persoonsgegevens van inwoners van de Europese Unie te beschermen. De AVG zorgt ervoor dat in de gehele EU dezelfde wetgeving geldt voor gegevensbescherming waardoor het eenvoudiger wordt zaken te doen tussen verschillende lidstaten.

  • Wie is verantwoordelijk voor het handhaven van de regels?

    De Europese Unie en haar lidstaten zijn verantwoordelijk voor het handhaven van de AVG. Elk land moet een onafhankelijke, publieke toezichthouder (gegevensbeschermingsautoriteit) oprichten. In Nederland is dit de Autoriteit Persoonsgegevens en in België de Gegevensbeschermingsautoriteit. Deze moet er op toezien dat de AVG wordt toegepast, individuele klachten worden behandeld, waar nodig boetes worden opgelegd, gedragscodes worden goedgekeurd en de kennis onder het publiek wordt vergroot (bv. door middel van educatieve campagnes). Klachten van individuen worden afgehandeld door de toezichthouder en de nationale rechtbanken, waar nodig in samenspraak met het Europees Hof.

  • Wie moet aan de AVG voldoen?

    De AVG zal onmiddellijk en gelijk toegepast worden in alle 28 Europese lidstaten, en gelden voor alle bedrijven, overheidsinstanties en andere organisaties die persoonsgegevens bezitten en verwerken. Deze entiteiten hebben zich sinds 27 april 2016 kunnen voorbereiden op het navolgen van de verordening.

    De AVG is ook van toepassing op organisaties die buiten de EU opereren: als een organisatie persoonsgegevens verwerkt van individuen die binnen de EU wonen, moet deze ook voldoen aan de AVG – ongeacht waar de organisatie zich bevindt.

  • Waar kan ik meer informatie vinden over de AVG?

    • De websites van de Nederlandse en Belgische toezichthouders zullen gedetailleerde informatie, richtlijnen en praktische tips geven.

    • Het kantoor van de Britse Informatiecommissie biedt toegankelijke en uitgebreide informatie in het Engels.

    • De website van de Europese Unie biedt ook meer informatie over de AVG.

    • Burgerrechtenorganisatie Bits of Freedom helpt je met het doen van een inzageverzoek.

  • Zullen er in de nabije toekomst toevoegingen of veranderingen worden gemaakt aan de AVG?

    Het is onwaarschijnlijk dat de AVG in de nabije toekomst wordt aangepast. Wel zal de AVG in de komende jaren verhelderd worden door richtlijnen die ontwikkeld zullen worden door gegevensbeschermingsautoriteiten, rechtsspraak en precedenten.

    De EU werkt momenteel aan een nieuwe ePrivacy-verordening die toeziet op het verwerken van gegevens online. Deze zal complementair zijn aan de AVG.

  • Is de AVG van toepassingen op bedrijven gesitueerd in de Verenigde Staten?

    Ja, zodra een bedrijf het gedrag van internetgebruikers op EU-grondgebied volgt of bekijkt, zal deze wet van toepassing zijn – ongeacht waar het bedrijf zich bevindt.

  • Is de AVG van toepassingen op de gegevens die mijn werkgever over mij heeft?

    Ja. Je werkgever, net als elke andere organisatie die persoonsgegevens verwerkt, moet voldoen aan de AVG. Echter elke EU-lidstaat kan specifiekere regels aannemen aangaande arbeidsrelaties. Als je hier meer over wilt weten, kan je meer informatie vinden op de website van jouw nationale toezichthouder (gegevensbeschermingsautoriteit).

  • Kan ik organisaties aanspreken op hun gebruik van mijn gegevens?

    Absoluut! De AVG vereist dat organisaties reageren op vragen over persoonsgegevens. Dit omvat of ze al dan niet jouw persoonsgegevens verwerken en, zo ja, met welk doel, hoelang ze worden opgeslagen en met wie ze worden gedeeld. Niet alleen nu maar ook in de toekomst. Als je ooit van gedachten verandert over wat je acceptabel vindt, zijn organisaties ook verplicht om het gemakkelijk te maken deze keuze te communiceren, maar ook om ernaar te handelen.

  • Wie hoeft niet te voldoen aan de AVG?

    1. Bepaalde overheidsinstanties, waaronder inlichtingsdiensten, politie en justitie, vallen onder aparte, nationale regels.

    2. Individuen zijn vrijgesteld van de AVG als ze persoonsgegevens verzamelen voor “persoonlijk of huishoudelijk gebruik” – bijvoorbeeld wanneer zij persoonlijke contactgegevens opslaan op hun telefoon.

    3. Kerken mogen hun eigen regels en toezichthoudende instanties blijven gebruiken voor de bescherming van persoonsgegevens, maar hun praktijken moeten nog steeds conform de AVG zijn.

  • Wat is er nieuw?

    De AVG is meer een evolutie dan een revolutie van de bestaande EU-regels. Toch bevat de verordening een aantal grote veranderingen.

    1. Individuen krijgen een aantal nieuwe rechten (bv. het recht om je eigen data van een bedrijf of dienst over te zetten naar een ander bedrijf of andere dienst; het recht om een kopie van jouw gegevens op te vragen); en vereist dat organisaties transparanter zijn (bv. zij moeten je op de hoogte brengen waar de gegevens die zij verwerken vandaan komen en voor welke doeleinden ze verwerkt worden; ze dienen je op de hoogte te stellen als ze je profileren).

    2. Het wordt makkelijker om de wetgeving te handhaven (bv. in het geval van een overtreding kan de toezichthouder organisaties beboeten en kunnen individuen ook rechtstreeks naar de rechtbank stappen).

    3. Aan de wet voldoen wordt eenvoudiger, want dezelfde wetgeving geldt in de gehele EU. Tegelijkertijd is er meer flexibiliteit voor bedrijven om te bepalen hoe ze voldoen de wetgeving.

  • Wat zijn persoonsgegevens eigenlijk?

    De AVG betreft persoonsgegevens, niet alle gegevens die een organisatie heeft.

    Persoonsgegevens zijn in principe alle informatie die gekoppeld kan worden aan een identificeerbaar individu. Aangezien een individu geïdentificeerd kan worden door verschillende stukken informatie bij elkaar te brengen (zelfs zonder gebruik van een naam), is de definitie van wat telt als een persoonsgegeven vrij breed. Zo kan een schoenmaat, een hobby of een foto geclassificeerd worden als persoonsgegeven indien het mogelijk is om een individu met deze informatie te identificeren.

    Belangrijk is dat het niet per se de databeheerder zelf (de organisatie die de persoonsgegevens verwerkt) hoeft te zijn die de identificatie kan maken.

  • Waarom zijn sommige organisaties kritisch over de AVG?

    Veel organisaties zijn het gewend om jouw gegevens te zien als een “gratis goed” – iets wat ze zonder toestemming kunnen nemen en uitbuiten voor eigen financieel gewin; iets wat ze zonder beperkingen kunnen verzamelen en opslaan. De AVG is een krachtig hulpmiddel om organisaties te dwingen risico’s te herevalueren – niet alleen risico's voor de personen van wie zij gegevens verwerken, maar ook de risico's voor zichzelf, in termen van boetes en het verlies van klantvertrouwen. Daarnaast is het een mooi moment voor organisaties om te beginnen met persoonsgegevens met gezond verstand en respect te behandelen - iets wat ze eigenlijk altijd al hadden moeten doen.

  • Wat kan ik doen als een organisatie mijn persoonsgegevens tegen mijn wil gebruikt?

    • Het kan nuttig zijn om eerst zelf contact op te nemen met de organisatie. Daarnaast kan je altijd een klacht indienen bij de toezichthouder in jouw land (in Nederland de Autoriteit Persoonsgegevens; in België de Gegevensbeschermingsautoriteit) – ook als de organisatie geen kantoor heeft in jouw land. Als je ontevreden bent met de beslissing van de toezichthouder kan je naar de rechter stappen.

    • Als je vindt dat je rechten geschonden zijn kan je ook direct naar de rechter stappen, en de toezichthouder overslaan.

    • Als je als gevolg van een overtreding materiële of immateriële schade hebt geleden, kan je een financiële vergoeding vragen.

    • Derden, zoals agentschappen voor consumentenbescherming, digitale rechtenorganisaties of andere belangengroepen, kunnen ook namens jou en anderen procederen.

  • Hoe zullen deze rechten worden toegepast?

    Elk land zal beschikken over een onafhankelijk openbare toezichthouder (de "gegevensbeschermingsautoriteit") die erop toeziet dat organisaties de wet nakomen. Je hebt het recht om een klacht in te dienen bij je toezichthouder (in Nederland de Autoriteit Persoonsgegevens; in de België de Gegevensbeschermingsautoriteit) of om naar een rechtbank te stappen indien je vindt dat je rechten zijn geschonden.

  • Doen we genoeg?

    Als bedrijf/organisatie is het aan jou om dit te evalueren, naargelang de aard van je bedrijfsmodel en de privacyrisico’s die hiermee gepaard gaan. Een goede plek om te beginnen is de website van je nationale toezichthouder: deze bevat waarschijnlijk goede tips en richtlijnen.

  • Kan een organisatie bij een verzoek om gegevens om betaling vragen, of moeten ze de gegevens gratis verstrekken?

    Ze moeten informatie over het verwerken van je persoonsgegevens en de eerste kopie van je gegevens gratis verstrekken. Voor volgende kopieën mag het bedrijf of de organisatie een redelijke vergoeding vragen, gebaseerd op hun administratiekosten (bijvoorbeeld verzendkosten). Het bedrijf mag hier geen winst op maken. Als je de vergoeding te hoog vindt, kun je dat melden bij de Autoriteit Persoonsgegevens.

  • Betekent dit dat ik mijzelf kan “verwijderen”?

    Niet helemaal. Je kan niet wanneer je maar wilt persoonsgegevens laten verwijderen. Je kunt wel in specifieke situaties gegevens laten verwijderen – bijvoorbeeld als een organisatie jouw gegevens niet langer nodig heeft om de dienst te leveren waar je gebruik van maakt, of als je beslist je toestemming in te trekken. Echter, zelfs in deze gevallen, kunnen bedrijven nog steeds goede redenen hebben om je gegevens te bewaren, bijvoorbeeld voor belastingredenen of om henzelf te beschermen tegen toekomstige vorderingen.

  • Moet ik iets te doen?

    Nee, het is aan organisaties om zich ervan te verzekeren dat je persoonsgegevens veilig zijn. Er zijn, echter, wel keuzes die je kan maken.

    • Voor nieuwe diensten: Weet je zeker dat je data wilt delen met de organisatie die erom vraagt? (Als de dienst enkel noodzakelijke data verwerkt, dienen ze je te informeren maar hoeven ze geen toestemming te vragen. Ze moeten wel uitdrukkelijke toestemming vragen wanneer ze gegevens willen die niet noodzakelijk zijn.)

    • Voor diensten waar je momenteel gebruik van maakt: Ben je het nog steeds eens met de manier waarop de organisatie persoonsgegevens verzamelt, analyseert en deelt? Als je het hier niet meer mee eens bent, kan je weigeren.

    • Tot slot: als je denkt dat je rechten niet worden gerespecteerd, kan je ervoor kiezen dit te rapporteren aan de toezichthouder in jouw land, of zelf de desbetreffende organisatie voor de rechtbank dagen.

  • Wat zijn mijn rechten onder de AVG?

    1.Je hebt het recht op informatie.
    • Organisaties zijn verplicht in simpele en toegankelijke taal te communiceren welke persoonsgegevens zij verwerken en hoe ze deze gebruiken. (“Verwerken” omvat alles in relatie tot het verzamelen, het aggregeren, het minen van, of het delen van data.)
    • Als een organisatie een profiel van je opbouwt (bv. door data van verscheidene bronnen samen te brengen), heb je het recht te weten wat er zich in dit profiel bevindt.

    2. Je hebt het recht op veilige behandeling (van je data).

    De AVG reguleert dat persoonsgegevens veilig opgeslagen en verwerkt dienen te worden.

    3. Je hebt het recht op toegang tot de persoonsgegevens die een organisatie van je bezit.

    • Als de data niet juist is, kan je deze aanpassen of vervolledigen.
    • Als de data niet langer nodig is, kan je de organisatie vragen om deze te vernietigen.
    • Als je op een eerder moment de organisatie meer data hebt verschaft dan nodig is voor het verkrijgen van hun dienst (bv. voor marketingdoeleinden), maar niet langer wilt dat ze deze data hebben, kan je hen vragen om deze te vernietigen.

    4. Je hebt het recht om diensten te gebruiken zonder niet-noodzakelijke gegevens af te staan.

    Als een organisatie meer persoonsgegevens wil verwerken dan strikt noodzakelijk is voor het aanbieden van een bepaalde dienst (bv. een transportapplicatie die toegang wil tot de contactlijst van je telefoon), moeten zij jouw uitdrukkelijke toestemming vragen om die gegevens te mogen verwerken. (Let erop dat zelfs als een bedrijf van mening is dat het verwerken van bepaalde gegevens in hun belang is, dit niet altijd betekent dat dit ook noodzakelijk is.) Als je al hebt ingestemd met de verwerking van aanvullende gegevens, mag je deze toestemming altijd intrekken.

    5. Als er sprake is van geautomatiseerde besluiten, heb je recht op uitleg en menselijke interventie. Als er een geautomatiseerd besluit over jou is genomen, heb je het recht om:

    • te weten hoe het besluit is genomen (met andere woorden, je hebt recht op uitleg van de werking van het gebruikte mechanisme);
    • bezwaar te maken tegen het resultaat van het besluit (bijvoorbeeld tegen het besluit je geen krediet te verlenen vanwege een foutieve score);
    • menselijke interventie te eisen (bijvoorbeeld een persoon met wie je kunt praten, die controleert hoe het besluit is genomen en of het resultaat eerlijk is).

  • Hoe weet ik dat privacy by design toegepast wordt?

    Privacy by design is niet altijd zichtbaar voor eindgebruikers. Dit principe omvat privacybeschermende maatregelen die uiteenlopen van gebruikersinstellingen tot handelspraktijken en netwerkinfrastructuren. Je kunt wel bepaalde functionaliteit aantreffen die respect voor je privacy toont: een toegankelijke interface om je gegevens in te zien en te beheren (privacydashboard), end-to-end-encryptie in je chatapp of e-mail, of verplichte authenticatie (bij voorkeur in twee stappen) om gegevens beter te beveiligen.

  • Hoe moeten we reageren in geval van een datalek?

    Onder de AVG, moet je elke datalek binnen 72 uur na ontdekking melden bij de lokale toezichthouder (in Nederland Autoriteit Persoonsgegevens, in België de Gegevensbeschermingsautoriteit). In het geval dat het datalek een negatieve impact zal hebben op de betrokkenen (individuen wiens persoonsgegevens zijn gelekt), bijvoorbeeld als er financiële informatie gelekt is of als niet-bevoegde personen potentieel toegang hebben tot hun medische informatie, moet je hen ook op de hoogte stellen.

  • Hoe kunnen we ervan verzekerd zijn dat de data die wij verwerken veilig is?

    Het beleid van jouw organisaties aangaande het beschermen van gegevens hangt af van een groot aantal factoren: bijvoorbeeld het type gegevens die je opslaat, de gevoeligheid hiervan, hoeveel je er van hebt, hoe complex jouw digitale infrastructuur is, en of je de kennis over digitale veiligheid in huis hebt of er voor kiest deze uit te besteden. Op zijn minst moet je de volgende stappen ondernemen:

    • Maak een overzicht van de persoonlijke gegevens die je hebt en breng in kaart waar je deze opslaat.

    • Doe een risicobepaling, wijs nauwkeurig de meest voor de hand liggende plaatsen voor lekken/ongeautoriseerde toegang.

    • Implementeer een actieplan voor gegevensbescherming dat bouwt op je risicobepaling, en dat het volgende bevat: data-minimalisatie (verzamel, verwerk en sla enkel gegevens op die je absoluut nodig hebt); toegangscontrole (limiteer wie toegang heeft tot persoonsgegevens); opslagbeveiliging (waar sla je (bijzondere) persoonsgegevens op? Wordt deze apart opgeslagen van andere soorten gegevens? Wordt deze gecodeerd?); digitale hygiëne voor personeel; en een gegevensretentie-, archiverings- en vernietigingsbeleid.

    • Test de beveiligingssystemen die persoonsgegevens bevatten (servers, email, archieven, enz).

    • Schrijf alle acties op die je hebt ondernomen om de persoonsgegevens in je bezit te beschermen.

    • Stel een actieplan samen en voer een test uit in geval van een datalek. Het actieplan omschrijft welke rollen en verantwoordelijkheden er zijn, hoe je rapporteert aan de toezichthouder, en zo voort.

    • Stel een plan samen om regelmatig deze stappen te herzien.

    Moet je HTTPS gebruiken om te voldoen aan de AVG? Nee, het is niet verplicht om HTTPS te gebruiken op je website, maar het is wel een goede praktijk, die wordt aanbevolen door toezichthouders. Bezoek voor meer informatie over HTTPS Let's Encrypt.

  • Welk risico lopen we als we de AVG niet correct invoeren?

    Je loopt het risico beboet te worden door de Autoriteit Persoonsgegevens; je loopt ook het risico vervolgd te worden door een individu als je de rechten van deze persoon schendt. Echter het grootste risico ligt in het verliezen van het vertrouwen van je klanten. Enquêtes tonen aan [https://ec.europa.eu/digital-single-market/en/news/attitudes-towards-impact-digitisation-and-automation-daily-life] dat de meeste mensen ervan verzekerd willen zijn dat hun data niet misbruikt wordt en in toenemende mate bezorgd zijn over de bescherming van hun privacy.

  • Is er een minimumbenadering?

    De AVG gaat uit van een risicobeoordeling die iedere organisatie voor zichzelf uitvoert, en kent geen “one-size-fits-all” oplossing. Een startpunt is het belang begrijpen van het recht van individuen om controle te hebben over gegevens die hen aangaan en jouw verantwoordelijkheid om er zeker van te zijn dat wanneer mensen je diensten gebruiken dit recht gehandhaafd wordt. Richtlijnen uitgegeven door de Artikel 29 werkgroep bieden voorbeelden van goede en slechte praktijken. Handige richtlijnen zou je moeten vinden op de website van je nationale toezichthouder.

  • Kan ik beboet worden en hoe zullen boetes toegepast worden?

    Als je niet voldoet aan de AVG zal de toezichthouder in jouw land je beboeten. Dit kan het resultaat zijn van ofwel een ingediende klacht door een individu of een controle uitgevoerd door de toezichthouder zelf.

    De toezichthouder moet er zeker van zijn dat de boete in elk individueel geval effectief, proportioneel en ontradend is. De toezichthouder zal, onder andere, de volgende factoren in beraad nemen: de aard en ernst van de inbreuk; de graad van nalatigheid; of je acties hebt ondernomen om de schade te beperken; en het budget van je organisatie.

    Boetes kunnen oplopen tot maximaal 4% van de jaarlijkse omzet van een organisatie of tot 20 miljoen EUR – afhankelijk van welke groter is.

  • Hoe weten we of we er klaar voor zijn?

    Je zou minstens op de volgende vragen JA moeten kunnen antwoorden:

    • Hebben we in kaart gebracht welke persoonlijke gegevens we verwerken en voor welke doeleinden?

    • Kunnen we het verwerken van elke categorie van gegevens rechtvaardigen (dat wil zeggen: kunnen we de wettelijke basis noemen dat ons recht ondersteunt om dit te doen)?

    • Voorzien we informatie aan onze klanten/gebruikers over hoe we persoonlijke gegevens verwerken?

    • Zijn we ervan verzekerd dat de opgeslagen gegevens veilig zijn en niet toegankelijk voor onbevoegden?

    • Hebben we procedures om gegevens die we niet meer nodig hebben te vernietigen?

    • Weten we wat te doen als een individu beslist om zijn of haar rechten onder de AVG uit te oefenen, zoals het recht om een kopie van zijn of haar gegevens te krijgen?

    • Hebben we het niveau en de bron van risico in kaart gebracht aangaande hoe we gegevens verwerken? Hebben we stappen ondernomen om deze risico’s te beperken?

    • Zijn we ervan verzekerd dat iedereen in het bedrijf/organisatie weet wat de correcte procedure is voor het verwerken en beveiligen van persoonlijke gegevens?

    • Hebben we plannen gemaakt om regelmatig evaluaties uit te voeren van onze gegevensverwerking?

  • Moesten we ons ergens registreren?

    Nee. In tegenstelling met de oude wet uit 1995, vereist de AVG niet dat je je database registreert met je lokale privacytoezichthouder. Echter als je een functionaris voor de gegevensbescherming binnen je bedrijf aanduidt, zou je de contactgegevens van deze persoon moeten doorgeven aan je lokale toezichthouder.

    Onder de AVG moet je een functionaris voor de gegevensbescherming aanwijzen als je persoonlijke gegevens verwerkt en:

    • Als je een openbare instelling bent (bv. ministerie, school, openbaar ziekenhuis);

    • Je bedrijf regelmatig en systematisch op grote schaal persoonlijke gegevens monitort (bv. grote technologiebedrijven, of kredietwaardigheid- of videosurveillance bedrijven); of

    • Je op grote schaal bijzondere persoonsgegevens verwerkt (bv. ziekenhuizen).

  • Is er een officiele methode voor het implementeren van de AVG

    Er komt veel bij kijken wanneer een bedrijf of organisatie persoonlijke data verwerkt. Daarom is de AVG niet een “one-size-fits-all” checklist van implementatie-maatregelen.

    In algemene termen biedt de AVG individuen (of "datasubjecten") bepaalde rechten, en je moet er zeker van zijn dat je aan deze rechten tegemoet kan komen. Op het basisniveau moet je het reilen en zeilen kennen van de persoonsgegevens die je verwerkt en weten hoe je het verwerkt, en beoordelen welke risico’s dit heeft voor datasubjecten. Algemeen gezien geldt dat hoe hoger het risico, hoe meer je dient te investeren in gegevensbescherming; als je bijzondere persoonsgegevens (gerelateerd aan gezondheid, geaardheid, enz.) of betalingsdetails bewaart, heb je een grotere verantwoordelijkheid om deze te beschermen dan wanneer je gegevens bezit over schoenmaten.

    Om er zeker van te zijn dat je organisatie voldoet aan de AVG, moet je starten met het beoordelen van je huidige datapraktijken en procedures (breng je datastroom in kaart), evalueer ze en pas deze aan als nodig om te voldoen aan de AVG. Documenteer je redeneringen en acties, en controleer en herzie je beleid regelmatig

  • Privacy by design & default: hoe zit dat?

    Privacy by design betekent dat bedrijven en organisaties privacy moeten meenemen bij het ontwerpen, implementeren en toepassen van technologie die persoonsgegevens verwerkt. Voor de komst van de AVG was het aan de gebruiker om privacybeschermende maatregelen te treffen bij het gebruik van een product of dienst, bijvoorbeeld door de standaardinstellingen te veranderen, te kiezen voor opt-out, of een applicatie geen toegang te geven tot locatiegegevens. Het AVG-principe 'privacy by design & default' vereist dat privacystandaarden in technologie gebouwd worden, en dat ze standaard als keuze aan de gebruiker worden aangeboden. De AVG verschuift de last van het toepassen van privacybeschermende maatregelen, van de gebruiker naar het bedrijf of de organisatie.

  • Hoe blijven vrijheid van meningsuiting en persvrijheid gewaarborgd onder de AVG?

    De AVG bevat elementen die het recht op privacy in balans brengen met de vrijheid van meningsuiting en persvrijheid. Artikel 85 is daarvoor het belangrijkste. Daarin worden verwerkingen voor “journalistieke doeleinden of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen” vrijgesteld van bepaalde verplichtingen. Artikel 17.3a bevat een uitzondering op het “recht om vergeten te worden”, als verwerking van persoonsgegevens noodzakelijk is voor het uitoefenen van de vrijheid van meningsuiting en informatie. Onthoud goed:
    • De AVG geeft lidstaten de ruimte om artikel 85 op hun eigen manier te interpreteren en zo een evenwicht te vinden tussen bescherming van persoonsgegevens en vrijheid van meningsuiting in nationale wetgeving. Omdat het bereik van artikel 85 per lidstaat verschillend geïnterpreteerd kan worden, kun je voor individuele gevallen het beste nationale wetgeving raadplegen.
    • Artikel 85 laat de andere AVG-verplichtingen voor de bescherming van persoonsgegevens gewoon in stand. De media zijn bijvoorbeeld niet uitgezonderd van de eis passende beveiligingsmaatregelen te treffen om datalekken te voorkomen.

  • Hoe kan ik mijn gegevens bij een bedrijf opvragen?

    Bedrijven en organisaties moeten een heldere procedure inrichten waarmee je toegang kunt krijgen tot je gegevens. De AVG specificeert niet in welk formaat deze gegevens toegankelijk gemaakt moeten worden, maar hij vereist wel dat dit formaat “gangbaar” en “machineleesbaar” is. Als je gegevens opvraagt om je recht op overdraagbaarheid van gegevens uit te oefenen, is dit alleen van toepassing op gegevens die je hebt verstrekt aan een bedrijf of organisatie (op grond van de uitoefening van een overeenkomst of je eigen toestemming). Je kunt geen overdraagbaarheid van gegevens vragen van een derde partij. Je kunt bijvoorbeeld niet je gegevens opvragen die zijn verzameld door third party trackers (andere bedrijven die je gedrag volgen met cookies en andere scripts) op een website.

  • Ik krijg e-mails van een bedrijf waar ik nooit klant ben geweest. Wat moet ik doen? Ze aangeven bij de toezichthouder? Vragen of ze mijn gegevens willen verwijderen?

    Je kunt een paar dingen proberen:
    • Vraag hen eerst om een kopie van je gegevens, om na te gaan wat voor gegevens ze “over je” hebben. Volgens de AVG zijn ze verplicht je te vertellen waar ze deze gegevens vandaan hebben, welke grondslag ze hanteren voor het verwerken en het doel van de verwerking.
    • Als je nog niet overtuigd bent (je denkt nog steeds dat het illegaal is wat ze doen, of je vindt het gewoon onprettig), kun je een verwijderverzoek sturen. Onthoud wel dat als je in het verleden een overeenkomst had met dit bedrijf, ze verplicht kunnen zijn je gegevens een tijd te bewaren.
    • Tot slot: als je denkt dat wat ze doen illegaal is, kun je dat melden bij je toezichthouder.

  • Is het toegestaan om het instemmen met een vernieuwd privacybeleid samen te voegen met een verandering van de algemene voorwaarden, en toegang tot de dienst te weigeren wanneer iemand niet akkoord gaat?

    Volgens de AVG moet toestemming een “vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting” van de betrokkene zijn. Het moet een ondubbelzinnige actieve handeling zijn waarin je instemt met de manier waarop het bedrijf of de organisatie je persoonsgegevens verwerkt. Je kunt toestemming geven door een vakje op een website aan te kruisen, of een andere verklaring of gedraging, zo lang het duidelijk je intentie aangeeft om “ja, ik ga akkoord” te zeggen. Toestemming kan niet worden afgeleid uit inactiviteit of een willekeurige handeling. Het feit dat je een dienst blijft gebruiken of het feit dat je de popup met informatie over de AVG hebt gesloten, betekent niet dat je toestemming hebt gegeven. Alleen “ondubbelzinnige actieve handelingen” mogen worden geïnterpreteerd als toestemming. Het feit dat je je e-mailadres hebt ingevuld in een formulier voor het aanvragen van een nieuwsbrief, mag bijvoorbeeld worden geïnterpreteerd als toestemming voor het verwerken van gegevens voor dit doel. Toestemming mag op geen enkele manier worden afgedwongen (bijvoorbeeld door te zeggen dat je een bepaalde dienst niet kunt gebruiken als je geen toestemming geeft). Het mag ook niet 'verborgen' worden in de algemene voorwaarden. Het is niet mogelijk om met één klik zowel akkoord te gaan met de algemene voorwaarden als toestemming te geven voor specifieke verwerkingen van persoonsgegevens. Onthoud wel:
    1. Bedrijven hoeven vaak je toestemming niet te vragen, omdat ze een andere grondslag hebben voor het verwerken van je gegevens (zoals gegevens die noodzakelijk zijn voor het aanbieden van de gevraagde dienst, of gegevens voor het behartigen van hun gerechtvaardigde belang).
    2. Het is oké om te vereisen dat je akkoord gaat met algemene voorwaarden van een dienst, zo lang er maar geen verborgen 'toestemmingsclausule' in staat. Hoe zou je de dienst anders immers kunnen gebruiken? Privacybeleid (of vergelijkbare, niet-onderhandelbare documenten) kunnen alleen verwijzen naar gegevens die noodzakelijk zijn als je de dienst wilt gebruiken.

  • Mag een stichting, ngo of vrijwilligersnetwerk eerder verzamelde e-mailadressen blijven gebruiken om nieuwsbrieven en updates te versturen?

    Het korte antwoord is: dat hangt ervan af!
    • Als je mensen eerder om toestemming hebt gevraagd voor dit doel (toen je de e-mailadressen verzamelde), dan is die toestemming nog steeds geldig.
    • Als je niet om toestemming hebt gevraagd, maar het hele punt van het verzamelen van die e-mailadressen was om in contact te blijven met je organisatie – en mensen die hun e-mailadres gaven wisten dit – dan heb je waarschijnlijk 'gerechtvaardigd belang' voor het gebruiken van hun e-mailadressen om e-mails en nieuwsbrieven te sturen.
    • Als mensen die je hun e-mailadres hebben gegeven, redelijkerwijs niet hadden kunnen verwachten dat je ze in de toekomst zou gebruiken om hun updates of nieuwsbrieven te sturen, dan moet je waarschijnlijk om toestemming vragen (bijvoorbeeld als je de e-mailadressen alleen hebt vanwege een eenmalige betaling of voor het tekenen van een specifieke petitie).

  • Ik beheer een klein blog of forum zonder winstoogmerk. Is de AVG op mij van toepassing?

    Verwerk je gegevens van je gebruikers of lezers, voor welk doel dan ook (om in contact te blijven, om belangrijke updates te delen, om te zien wie je website bezoekt, etc.)? Dan is de AVG op jou van toepassing. Hij is van toepassing op alle soorten gegevensverwerkingen, met maar een paar uitzonderingen. Of er sprake is van een winstoogmerk maakt daarvoor geen verschil. Individuen zijn vrijgesteld als ze gegevens verwerken voor 'persoonlijk of huishoudelijk' gebruik. Een voorbeeld is het opslaan van persoonlijke contactgegevens op je telefoon. Maar deze uitzondering geldt niet voor bloggen, als het een openbare en professionele (niet persoonlijke) activiteit is.

  • Hoe zou een bedrijf dat de AVG overtreedt, maar dat fysiek alleen aanwezig is buiten de EU, gestraft worden wanneer het niet meewerkt of de verordening niet goed implementeert?

    De AVG beoogt persoonsgegevens van Europese burgers te beschermen, zelfs wanneer het bedrijf of de organisatie buiten de EU is gevestigd. Dit betekent niet dat EU-wetgeving kan worden gehandhaafd buiten de grenzen van de EU. Er zijn gevestigde regels en normen rond internationale jurisdictie. Deze moeten worden gevolgd voordat toezichthouders en rechtbanken jurisdictie kunnen uitoefenen over partijen buiten de EU. Daarom zal het uitvoeren van besluiten van Europese rechtbanken en toezichthouders in essentie afhangen van rechtbanken en andere relevante organen in die andere landen. Hiervoor zullen aparte procedures gestart moeten worden in die landen.

  • Bestaat het gevaar van regelgevingsarbitrage in de handhaving van de AVG?

    De AVG wordt gehandhaafd door nationale toezichthouders en civiele rechtbanken. Wij denken dat het risico op regelgevingsarbitrage beperkt is, want:
    • Individuele burgers kunnen bedrijven aanklagen (bij de rechtbank) en klachten indienen (bij toezichthouders) in het land waar ze wonen of het land waar de inbreuk op bescherming van persoonsgegevens heeft plaatsgevonden. Het maakt dus niet uit waar het bedrijf is gevestigd.
    • Als de klacht is ingediend bij de toezichthouder, en dus niet bij de rechtbank, zorgt het EU-coherentiemechanisme (European Data Protection Board https://edpb.europa.eu/) ervoor dat nationale toezichthouders geen arbitraire besluiten nemen in zaken die van belang zijn voor andere landen.