Algemene verordening gegevensbescherming (AVG)

 

SAMENVATTING VAN:

Verordening (EU) 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens

WAT IS HET DOEL VAN DE VERORDENING?

• De Algemene verordening gegevensbescherming (AVG) beschermt personen wanneer hun gegevens worden verwerkt door de private sector en het grootste deel van de overheidssector. De verwerking van gegevens door de bevoegde autoriteiten voor rechtshandhaving is echter onderhevig aan de richtlijn wetshandhaving ten aanzien van gegevensbescherming (zie de samenvatting).
• Hiermee krijgen personen meer controle over hun persoonsgegevens. Er vindt ook een modernisering en uniformisering van de regels plaats, waardoor ondernemingen de bureaucratie kunnen beperken en groter consumentenvertrouwen genieten.
• Er wordt een systeem opgezet van volledig onafhankelijke toezichthoudende autoriteiten die belast zijn met het toezicht op en de toepassing van naleving.
• Het maakt onderdeel uit van de hervormingsmaatregelen voor gegevensbescherming van de Europese Unie (EU), naast de richtlijn wetshandhaving ten aanzien van gegevensbescherming en Verordening (EU) 2018/1725 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de EU (zie de samenvatting).

KERNPUNTEN

Rechten van personen

Door de Algemene verordening gegevensbescherming worden bestaande rechten versterkt en nieuwe rechten ingesteld, en krijgen burgers meer controle over hun persoonsgegevens. Dit omvat het volgende.

• Eenvoudiger toegang voor een persoon tot diens eigen gegevens. Dit omvat o.a. het verschaffen van meer informatie over de wijze waarop de gegevens worden verwerkt en waarborgen dat beschikbare informatie duidelijk en begrijpelijk is.
• Een nieuw recht op gegevensoverdraagbaarheid. Het wordt gemakkelijker om persoonsgegevens over te dragen tussen dienstverleners.
• Een duidelijker recht op gegevenswissing (recht op vergetelheid). Wanneer een persoon niet langer wil dat zijn gegevens worden verwerkt en er geen gerechtvaardigde redenen zijn om ze te bewaren, worden de gegevens gewist.
• Het recht om op de hoogte te worden gesteld van een inbreuk in verband met persoonsgegevens. Bedrijven en organisaties moeten de bevoegde toezichthoudende autoriteit ten aanzien van gegevensbescherming en, in geval van ernstige inbreuken in verband met persoonsgegevens, tevens de betrokkenen in kennis stellen.

Regels voor bedrijven

De AVG zorgt voor een gelijk speelveld voor alle bedrijven die actief zijn op de interne markt van de EU, is gebaseerd op een technologie-neutrale benadering en bevordert innovatie via een aantal stappen, waaronder de volgende.

• Eén enkel pakket regels voor de hele EU. Een enkele wet op het gebied van gegevensbescherming voor de hele EU verhoogt de juridische zekerheid en vermindert de administratieve last.
• Een functionaris voor gegevensbescherming. Een persoon die verantwoordelijk is voor de gegevensbescherming wordt aangesteld door overheidsinstanties en ondernemingen die op grote schaal gegevens verwerken of die als kernactiviteit de verwerking van bijzondere categorieën gegevens hebben, zoals gezondheidsgegevens.
• One-stop shop. Bedrijven hebben slechts te maken met één toezichthoudende autoriteit (in de EU-lidstaat waar zij hun hoofdvestiging hebben); voor grensoverschrijdende gevallen werken de bevoegde toezichthoudende autoriteiten samen in het kader van het Europees Comité voor gegevensbescherming.
• EU-regels voor niet-EU-ondernemingen. Ondernemingen die buiten de EU zijn gevestigd, moeten dezelfde regels toepassen bij het aanbieden van goederen of diensten of bij het volgen van het gedrag van personen in de EU.
• Innovatie-vriendelijke regels. Een waarborg dat gegevensbeschermingsmechanismen worden ingebouwd in goederen en diensten vanaf de vroegste ontwikkelingsfase (gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen).
• Privacy-vriendelijke technieken. Zaken als pseudonimisering (waarbij identificerende velden in een gegevensbestand worden vervangen door een of meer artificiële identificeerders) en versleuteling (waarbij gegevens worden gecodeerd zodat enkel gemachtigde partijen ze kunnen lezen) worden aangemoedigd om indringendheid tijdens de verwerking te beperken.
• Opheffing van kennisgevingsverplichting. In de AVG zijn de meeste kennisgevingsverplichtingen geschrapt, waardoor de ermee verbonden kosten wegvallen. Een van de doelstellingen is het wegnemen van belemmeringen voor het vrije verkeer van persoonsgegevens in de EU. Als gevolg kunnen ondernemingen gemakkelijker uitbreiden op de digitale eengemaakte markt.
• Gegevensbeschermingseffectbeoordelingen. Ondernemingen dienen een effectbeoordeling uit te voeren indien aan de verwerking waarschijnlijk hoge risico’s verbonden zijn betreffende de rechten en vrijheden van personen.
• Bijhouden van een register. Kleine en middelgrote ondernemingen hoeven geen register van hun verwerkingsactiviteiten bij te houden, tenzij de verwerking op regelmatige basis gebeurt of waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokken personen, of wanneer deze verwerking gevoelige gegevenscategorieën omvat.
• Een moderne toolbox voor internationale doorgifte van gegevens. De AVG biedt verschillende instrumenten voor de doorgifte van gegevens naar niet-EU-landen, waaronder door de Europese Commissie aangenomen adequaatheidsbesluiten waarbij het niet-EU-land voorziet in een afdoende beschermingsniveau, vooraf goedgekeurde (standaard) contractbepalingen, bindende bedrijfsvoorschriften, gedragscodes en certificering.

Evaluatie

De Commissie heeft in juni 2020 een verslag ingediend betreffende de evaluatie en herziening van de verordening. De volgende evaluatie moet in 2024 worden ingediend.

VANAF WANNEER IS DE VERORDENING VAN TOEPASSING?

De AVG is van toepassing sinds 25 mei 2018.

ACHTERGROND

Zie voor meer informatie:

• Hervorming van de EU-regels voor gegevensbescherming (Europese Commissie)
• EU-regels voor gegevensbescherming (Europese Commissie)
• Commissieverslag: EU-regels voor gegevensbescherming versterken positie burgers en zijn geschikt voor digitale tijdperk — Persbericht (Europese Commissie)
• Hervorming van gegevensbescherming — Persbericht (Europese Commissie)
• Bescherming van persoonsgegevens (Europese Commissie).

Na de uitbraak van Covid-19 en de introductie van maatregelen om met de gevolgen van de crisis om te gaan, heeft de Europese Commissie het volgende aangenomen:

• Aanbeveling (EU) 2020/518 van de Commissie van 8 april 2020 over een gemeenschappelijke toolbox voor het gebruik van technologie en gegevens om de Covid-19-crisis te bestrijden en te boven te komen, met name wat mobiele applicaties en het gebruik van geanonimiseerde mobiliteitsgegevens betreft.

BELANGRIJKSTE DOCUMENT

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1-88).

Achtereenvolgende wijzigingen aan Verordening (EU) nr. 2016/679 werden in de basistekst opgenomen. Deze geconsolideerde versie is enkel van documentaire waarde.

GERELATEERDE DOCUMENTEN

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89-131).

Zie de geconsolideerde versie.

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39-98).

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37-47).

Zie de geconsolideerde versie.

Laatste bijwerking 07.01.2022