De Autoriteit Persoonsgegevens houdt op verschillende manieren toezicht op de naleving van de regels rondom gegevensbescherming. Zij geven bijvoorbeeld voorlichting, kunnen onderzoeken starten, behandelen klachten en adviseren over nieuwe regelgeving.

Decentrale overheden kunnen op verschillende manieren met de AP in aanraking komen. De AP kan hen bijvoorbeeld vragen documenten te overleggen zoals het verwerkingsregister of register van datalekken, of om een toelichting te geven op klachten die bij de AP zijn binnengekomen. Ook kan het zo zijn dat een decentrale overheid de AP zelf moet benaderen, wanneer zij bijvoorbeeld een datalek moeten melden.

De AP kan naast overtredingen op de AVG en de bijbehorende Uitvoeringswet ook boetes opleggen voor overtredingen uit andere wetten zoals de Telecommunicatiewet en de eIDAS-verordening. Meer informatie kunt u vinden op de website van de AP.

Sancties

De AP kan verschillende sancties opleggen wanneer er sprake is van een overtreding van de AVG. Bijvoorbeeld een boete of dwangsom, maar ook door alternatieve interventies. Dan wordt een organisatie bijvoorbeeld gewezen op de inbreuk op de AVG en gaat de toezichthouder in gesprek om tot een oplossing te komen.

Boetes

In de AVG is per artikel vastgelegd hoe hoog de maximale administratieve boete mag zijn die een toezichthouder mag opleggen.

• Voor het niet nakomen van verschillende verplichtingen onder de AVG door een verwerkingsverantwoordelijke kan de AP een boete opleggen van € 10 miljoen, of 2% van de wereldwijde jaaromzet van een onderneming. In deze groep vallen bijvoorbeeld de regels omtrent het register van verwerkingen, het melden van datalekken of het afsluiten van verwerkersovereenkomsten.
• Ten tweede kan een verwerkingsverantwoordelijke ook de beginselen of grondslagen van de AVG overtreden, of de privacy-rechten van de betrokkene schenden, dat is degen van wie de persoonsgegevens worden verwerkt. Dit is bijvoorbeeld het geval indien een decentrale overheid geen grondslag heeft voor het verwerken van persoonsgegevens, of niet (juist) omgaat met het recht op inzage . In dat geval kan de AP zelfs een boete van € 20 miljoen, of 4% van de wereldwijde jaaromzet opleggen.

Boetebeleidsregels

De AP heeft verder ook boetebeleidsregels vastgesteld. Daarin hebben zij voor elke overtreding van de AVG vastgesteld wat de minimale en maximale hoogte is van de boete die zij voor de overtreding opleggen.

De basisboete voor het onrechtmatig verwerken van persoonsgegevens is bijvoorbeeld € 525.000. Afhankelijk van een aantal factoren beslist de AP dan of zij de boete bijstellen tot een bedrag tussen € 300.000 en € 750.000. Zij kijken bijvoorbeeld naar de ernst en de duur van een overtreding, en in hoeverre de overtreder iets te verwijten valt.

European Data Protection Board

Alle toezichthouders in de EU nemen hiernaast ook deel in de European Data Protection Board. Als EDPB kunnen de toezichthouders onder andere richtsnoeren uitgeven over de interpretatie van de AVG en aanbevelingen doen, bijvoorbeeld voor datalekken of het vaststellen van bindende bedrijfsvoorschriften omtrent gegevensbescherming.

Alle richtlijnen, aanbevelingen en best practices van de EDPB zijn op de website te vinden.

Voorziening in rechten

Daarnaast kan een betrokkene ook naar de rechter stappen. Dit kan bijvoorbeeld wanneer hij het niet eens is met een besluit van de AP dat op hem betrekking heeft (artikel 78 AVG) of wanneer hij van mening is dat zijn rechten zijn geschonden door een verwerkingsverantwoordelijke of een verwerker (artikel 79 AVG).

De AVG is met name van toepassing op gegevensverwerkingen binnen de EU omdat het een Europese verordening is. Er zijn echter ook situaties waarin de regels van de AVG nageleefd moeten worden ondanks dat de verwerking buiten de EU plaatsvindt. Artikel 3 van de AVG bepaalt wanneer dit het geval is. De regels van de AVG zijn van toepassing in drie situaties:

1. De verwerkingsverantwoordelijke of de verwerker van de persoonsgegevens is in de EU gevestigd. Dit geldt ook wanneer de daadwerkelijke verwerking van de gegevens buiten de EU wordt uitgevoerd;
2. De betrokkene bevindt zich in de EU, dat is degene van wie de persoonsgegevens worden verwerkt. Als de betrokkene zich in de EU bevindt, vallen zijn persoonsgegevens onder de AVG. Het kan echter zo zijn dat de verwerkingsverantwoordelijke buiten de EU is gevestigd. Dan moet er alsnog aan de AVG worden voldaan bij persoonsgegevens die:
   • worden verwerkt in het kader van het aanbieden van goederen of diensten aan de betrokkene in de EU, of
   • worden verwerkt in verband met het monitoren van het gedrag van een betrokkene in de EU;
3. De verwerkingsverantwoordelijke is gevestigd in een gebied dat gebonden is aan EU-recht. De AVG is dus ook van toepassing op een verwerkingsverantwoordelijke die geen onderdeel is van een EU-lidstaat maar wel gevestigd is in een gebied die gebonden is aan het EU-recht. Hierbij kan bijvoorbeeld gedacht worden aan een diplomatieke vertegenwoordiging of consulaire post.

Meer informatie over het toepassingsgebied vindt u in de Richtsnoeren over het territoriale toepassingsgebied van de AVG die door de European Data Protection Board (EDPB) zijn gepubliceerd.

Ook voor persoonsgegevens die in landen buiten de EU worden opgeslagen of verwerkt kan de AVG dus van toepassing zijn. Deze landen worden namelijk gezien als een ‘derde land’. Het doorgeven van persoonsgegevens aan derde landen door decentrale overheden mag alleen onder bepaalde voorwaarden. Derde landen bieden namelijk niet altijd voldoende bescherming aan de persoonsgegevens.

Adequaatheidsbesluit derde landen

Doorgifte is alleen mogelijk wanneer het derde land een passend beschermingsniveau biedt. Voor een aantal derde landen, of sectoren binnen die landen, heeft de Europese Commissie daarom een adequaatheidsbesluit genomen. Daarmee geeft de Commissie aan dat dit land of de sector een passend beschermingsniveau van persoonsgegevens waarborgt volgens artikel 45 van de AVG. In dergelijke gevallen is er geen specifieke toestemming nodig voor de doorgifte en kunnen persoonsgegevens gewoon worden uitgewisseld. Tot dusver heeft de Commissie voor dertien landen een adequaatheidsbesluit genomen, waaronder voor Canada, Japan en Zwitserland. De procedure voor een adequaatheidsbesluit voor Zuid-Korea is nog onderweg.

Bij de beoordeling of een derde land een voldoende beschermingsniveau waarborgt, kijkt de Commissie onder andere naar:

• Rechtsstatelijkheid;
• De effectiviteit van onafhankelijke toezichthoudende autoriteiten die toezien op de naleving van gegevensbeschermingsregels;
• De internationale toezeggingen die het land heeft gedaan ten aanzien van de bescherming van persoonsgegevens.

Nu het Verenigd Koninkrijk geen onderdeel meer uitmaakt van de EU wordt het gezien als een derde land. Hierdoor is de AVG daar niet meer van toepassing en heeft de Europese Commissie twee adequaatheidsbesluiten aangenomen voor het VK. Lees hier meer over in deze praktijkvraag.

Privacy Shield Verenigde Staten

Voor gegevensuitwisseling met de Verenigde Staten had de Europese Commissie in 2016 een besluit genomen. Dit besluit gold niet voor het gehele land maar enkel voor organisaties die zich bij het zogeheten Privacy Shield hebben aangesloten.

Het adequaatheidsbesluit is in juli 2020 in de Schrems II-uitspraak echter ongeldig verklaard door het Europese Hof van Justitie. Dit betekent dat doorgifte van gegevens op basis van het Privacy Shield sinds de uitspraak van het Hof niet meer is toegestaan. Het Hof stelt dat het besluit onvoldoende bescherming biedt voor de gegevens van EU-burgers die op grond van het besluit naar de VS worden overgedragen.

De uitspraak van het Europese Hof betekent niet dat doorgifte van gegevens naar de VS is uitgesloten. Decentrale overheden kunnen nog steeds gegevens overgedragen in specifieke situaties zoals genoemd in artikel 49 AVG. Ook is het mogelijk om gegevens door te geven op grond van een modelcontract of bindende bedrijfsvoorschriften mits er sprake is van een beschermingsniveau dat gelijk is aan de bescherming in de EU. Meer informatie hier over staat ook op de website van de Autoriteit Persoonsgegevens (AP).

Hiervan is bijvoorbeeld sprake indien de Europese Commissie in een adequaatheidsbesluit vaststelt dat het betreffende derde land, of één of meerdere sectoren van dat land, een passend beschermingsniveau van de verwerking van persoonsgegevens biedt (artikel 45 AVG). In dergelijke gevallen is er geen specifieke toestemming nodig voor de doorgifte. Bij de beoordeling of een derde land een voldoende beschermingsniveau waarborgt, kijkt de Commissie onder andere naar rechtsstatelijkheid, de effectiviteit van onafhankelijke toezichthoudende autoriteiten en de internationale toezeggingen die het land heeft gedaan ten aanzien van de bescherming van persoonsgegevens.

Passende waarborgen derde landen

Wanneer voor een derde land geen adequaatheidsbesluit is genomen, is doorgifte mogelijk indien er passende waarborgen getroffen worden. Deze passende waarborgen moeten een adequaat beschermingsniveau verzekeren bij de doorgifte van persoonsgegevens. Daarnaast moeten de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. In artikel 46 AVG worden de volgende passende waarborgen genoemd:

• Een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen, zoals een overeenkomst of verdrag (artikel 46 lid 2 sub a AVG);
• Standaardcontractbepalingen, ook wel modelcontracten genoemd (artikel 46 lid 2 sub c en d AVG);
• Goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen gecombineerd met bindende en afdwingbare toezeggingen in het derde land om passende waarborgen toe te passen (artikel 46 lid 2 sub e en f AVG);
• Bindende bedrijfsvoorschriften waarin organisaties waarborgen vastleggen voor bescherming van persoonsgegevens. Deze bedrijfsvoorschriften vereisen vooraf goedkeuring van een bevoegde toezichthouder in de EU, bijvoorbeeld de AP (artikel 47 AVG).

Standaardcontractbepalingen

Standaardcontractbepalingen worden vastgesteld door de Europese Commissie of de AP en bieden bescherming aan persoonsgegevens bij doorgifte. In 2021 is er een nieuw modelcontract vastgesteld dat bestaat uit een algemeen gedeelte en de volgende vier modules:

• Doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
• Doorgifte van verwerkingsverantwoordelijke naar verwerker;
• Doorgifte van (sub)verwerker naar (sub)verwerker;
• Doorgifte van (sub)verwerker naar verwerkingsverantwoordelijke.

Schrems II-uitspraak standaardcontractbepalingen

Het modelcontract houdt rekening met de Schrems II-uitspraak. Hierin heeft het Europees Hof van Justitie bepaald wanneer standaardcontractbepalingen een passend niveau bieden. Volgens het Hof moet er bij doorgifte van gegevens op basis van standaardcontractbepalingen sprake zijn van een beschermingsniveau dat in grote lijnen overeenkomt met het beschermingsniveau dat door EU-recht wordt geboden. De exporteur van gegevens moet dus per geval nagaan of het derde land voldoende passende bescherming biedt. Is dit niet het geval, dan kan de exporteur aanvullende maatregelen toevoegen aan de standaardcontractbepalingen. Ook kan de exporteur de overeenkomst opschorten of beëindigen bij ontoereikende bescherming.

Uitzonderingen

Wanneer er geen adequaatheidsbesluit is en passende waarborgen geen uitkomst bieden, kan doorgifte naar derde landen soms op grond van artikel 49 AVG plaatsvinden. Dit artikel bevat een lijst van uitzonderingen die doorgifte van gegevens naar derde landen in specifieke situaties mogelijk maken. Doorgifte is bijvoorbeeld mogelijk als de betrokkene uitdrukkelijk met de doorgifte heeft ingestemd of wanneer doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang.

Aanbevelingen voor doorgifte derde landen

Om hulp te bieden bij veilige doorgifte van persoonsgegevens aan derde landen heeft de EDPB aanbevelingen opgesteld. Hierin worden verschillende maatregelen genoemd die een aanvulling zijn op de passende waarborgen uit de AVG. Sinds de Schrems II-uitspraak moet namelijk per geval bekeken worden of een adequaat beschermingsniveau wordt geboden. Ontoereikende bescherming kan soms met behulp van aanvullende maatregelen opgelost worden. De aanbevelingen bevatten ook een stappenplan om na te gaan of er sprake is van adequate bescherming. Bovendien worden hierin enkele informatiebronnen genoemd die behulpzaam kunnen zijn bij het beoordelen van het beschermingsniveau in een derde land.

Het EDPB heeft ook richtsnoeren aangenomen voor de internationale doorgifte van persoonsgegevens. Deze richtsnoeren benoemen drie cumulatieve criteria die gegevensverwerking als een overdracht van persoonsgegevens naar een derde land of internationale organisatie kwalificeren:

1. De verwerkingsverantwoordelijke is onderworpen aan de AVG voor de gegevensverwerking;
2. Deze verwerkingsverantwoordelijke of verwerker (exporteur) openbaart door verzending of maakt op andere wijze persoonsgegevens onderworpen aan deze verwerking beschikbaar voor een andere verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker (importeur);
3. De importeur bevindt zich in een derde land of is een internationale organisatie, ongeacht of deze importeur al dan niet onderworpen is aan de AVG met betrekking tot de gegeven verwerking in overeenstemming met artikel 3.

Hoofdstuk III van de AVG bevat de volgende rechten van de betrokkene:

• Recht op informatie (artikel 12–14 AVG;
• Recht van inzage (artikel 15 AVG);
• Recht op rectificatie en aanvulling (artikel 16 AVG);
• Recht op gegevenswissing (artikel 17 AVG);
• Recht op beperking (artikel 18 AVG);
• Recht op dataportabiliteit (artikel 20 AVG);
• Recht van bezwaar (artikel 21 AVG);
• Geautomatiseerde individuele besluitvorming (profilering) (artikel 22 lid 1 AVG).

Recht op informatie

Het recht op informatie is vastgelegd in artikel 12-14 van de AVG. Via dit recht moet de verwerkingsverantwoordelijke ervoor zorgen dat de betrokkene op behoorlijke, begrijpelijke en transparante wijze wordt geïnformeerd wanneer zijn persoonsgegevens worden verwerkt, en wat de doelen van deze verwerking zijn. Ook dient de verwerkingsverantwoordelijke onder meer de identiteit en de contactgegevens van de verwerkingsverantwoordelijke door te geven, evenals de bewaartermijnen van de persoonsgegevens. De informatie die aan een betrokkene moet worden verstrekt wordt vaak opgenomen in de privacyverklaring op een website.

De precieze informatie die verstrekt moet worden hangt af van of de persoonsgegevens bij de betrokkene zelf worden verzameld of dat deze via een andere bron zijn verkregen (artikel 13-14 AVG). Uit deze artikelen blijkt ook dat de betrokkene niet geïnformeerd hoeft te worden wanneer deze bijvoorbeeld al over de betreffende informatie beschikt, of indien dit onevenredig veel inspanning zou vergen.

Het verwerken van persoonsgegevens is dus alleen toegestaan wanneer er sprake is van transparantie. Daarom is transparantie als een apart verwerkingsbeginsel opgenomen in de AVG. Het transparantiebeginsel houdt in dat de betrokkene op de hoogte moet zijn van de verwerking en begrijpt welke persoonsgegevens worden verwerkt om wat voor redenen.

Recht van inzage

Het recht op inzage is vastgelegd in artikel 15 van de AVG. Via dit recht kan een betrokkene bij een verwerkingsverantwoordelijke inzicht krijgen in de persoonsgegevens die een organisatie van hem verwerkt. Het recht op inzage is voor een betrokkene een belangrijke eerste stap om de andere rechten van de betrokkene uit te kunnen oefenen, bijvoorbeeld om de persoonsgegevens te corrigeren of te laten verwijderen.

De verwerkingsverantwoordelijke moet bij het verstrekken van de persoonsgegevens onder meer laten weten waarom bepaalde persoonsgegevens worden verwerkt, welke soort persoonsgegevens bewaard worden (bijvoorbeeld NAW-gegevens of locatiegegevens) en aan wie deze eventueel zijn doorgestuurd.

Kopie persoonsgegevens

Nieuw onder de AVG is dat de verwerkingsverantwoordelijke ook kosteloos een kopie van de persoonsgegevens die worden verwerkt moet overhandigen. Dit recht om een kopie te verkrijgen mag geen afbreuk doen aan de rechten en vrijheden van anderen. Een decentrale overheid moet er dus voor zorgen dat in deze kopieën geen persoonsgegevens van anderen onrechtmatig aan de betrokkene worden verstrekt. Dit kan bijvoorbeeld door de betreffende persoonsgegevens van anderen op de kopie weg te lakken.

Recht op rectificatie en aanvulling

Artikel 16 AVG bepaalt dat, wanneer er sprake is van onjuistheden in de gegevensverwerking, de betrokkene het recht heeft om incorrecte gegevens te rectificeren en waar nodig aan te vullen. Als de incorrecte persoonsgegevens ook aan een derde zijn verstrekt, dient de verwerkingsverantwoordelijke de aangevulde en/of gerectificeerde persoonsgegevens ook aan deze derde partij toe te sturen.

Recht op gegevenswissing

Het recht op gegevenswissing wordt ook wel het recht om vergeten te worden genoemd. In artikel 17 van de AVG staat dat organisaties in bepaalde gevallen, op verzoek van de betrokkene waarvan zij gegevens verwerken, persoonsgegevens moeten wissen.

Zo’n verzoek van de betrokkene moet in een aantal gevallen ingewilligd worden, bijvoorbeeld wanneer de betrokkene de toestemming waarop de verwerking plaatsvond intrekt, of in situaties waarin de persoonsgegevens onrechtmatig worden verwerkt.

Als de verwerkingsverantwoordelijke de persoonsgegevens moet wissen, heeft hij de plicht om andere verwerkingsverantwoordelijken die de persoonsgegevens ook verwerken hiervan op de hoogte te stellen.

Uitzonderingen

In sommige situaties kan het recht op gegevenswissing niet ingeroepen worden. Dit is bijvoorbeeld het geval wanneer de verwerking van deze persoonsgegevens nodig is voor het nakomen van een wettelijke verplichting, het vervullen van een taak van algemeen belang of openbaar gezag, of wanneer de persoonsgegevens bewaard moeten blijven wegens archivering in het algemeen belang.

Recht op beperking

Onder bepaalde omstandigheden kan de betrokkene zijn recht op beperking inroepen om het gebruik van persoonsgegevens te beperken. In artikel 18 van de AVG staan vier mogelijkheden:

• De betrokkene betwist de juistheid van de persoonsgegevens;
• De verwerking is onrechtmatig;
• De verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig, maar de betrokkene wel voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
• De betrokkene heeft bezwaar gemaakt tegen de verwerking.

Uitzonderingen

Een verwerkingsverantwoordelijke kan de persoonsgegevens nog wel blijven verwerken wanneer er toestemming is van de betrokkene, wanneer dit nodig is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of om gewichtige redenen van algemeen belang.

Recht op dataportabiliteit

Volgens artikel 20 AVG krijgt de betrokkene het recht om gegevens over te (laten) dragen. Dit heet het recht op dataportabiliteit en houdt in dat een betrokkene zijn persoonsgegevens bij een verwerkingsverantwoordelijke kan opvragen, om deze daarna in een passend format door te kunnen geven aan een andere organisatie.

Het gaat bij het recht op dataportabiliteit alleen om persoonsgegevens die geautomatiseerd worden verwerkt op basis van ofwel toestemming van de betrokkene (artikel 6 lid 1 onder a en artikel 9 lid 2 onder a AVG) of die noodzakelijk zijn om een overeenkomst met de betrokkene uit te voeren (artikel 6 lid 1 onder b AVG).

Recht van bezwaar

Artikel 21 AVG behandelt het recht van de betrokkene om bezwaar in te dienen tegen een verwerking. Dit kan wanneer een organisatie persoonsgegevens verwerkt op grondslag van hun gerechtvaardigd belang of een taak van algemeen belang. De verwerkingsverantwoordelijke maakt in dit geval namelijk een afweging tussen deze belangen en die van de rechten en vrijheden van de betrokkene.

Een betrokkene kan in twee situatie bezwaar aantekenen. Ten eerste in het geval van direct marketing, zonder dat de betrokkene toestemming heeft gegeven voor de reclamepost. Ten tweede vanwege de specifieke situatie van de betrokkene.

Als een betrokkene bezwaar aantekent tegen de verwerking van zijn persoonsgegevens dient de verwerkingsverantwoordelijke te stoppen met het verwerken van de gegevens. De verwerking kan alleen doorgaan wanneer de organisatie hier dwingende gerechtvaardigde gronden voor aanvoert. Deze gerechtvaardigde gronden moeten belangrijker zijn dan de belangen, rechten en vrijheden van de betrokkene of moeten een rechtsvordering betreffen.

De informatieplicht vereist dat het recht van bezwaar duidelijk en apart van alle andere informatie aan de betrokkene moet worden meegedeeld.

Geautomatiseerde individuele besluitvorming (profilering)

Een betrokkene heeft volgens artikel 22 lid 1 AVG het recht om niet te worden onderworpen aan besluiten van gegevensverwerkende organisaties die uitsluitend berusten op geautomatiseerde verwerking (waaronder profilering). Door technologische ontwikkelingen zoals Artificial Intelligence wordt het steeds makkelijk om data te verzamelen dat profielen maakt en geautomatiseerde beslissingen neemt. De betrokkene kan er echter voor kiezen dat zijn gegevens niet mee worden genomen. Dit is het geval wanneer dit automatische besluit bijvoorbeeld rechtsgevolgen voor hem heeft of hem op een andere wijze treft, zoals de automatische weigering bij een sollicitatie zonder menselijke tussenkomst.

Een beroep op dit recht geldt niet:

• Wanneer het automatisch genomen besluit noodzakelijk is voor de totstandkoming of uitvoering van een overeenkomst;
• Wanneer dit is toegestaan bij een wettelijke bepaling op de verwerkingsverantwoordelijke;
• In geval van uitdrukkelijke toestemming van de betrokkene.

Passende maatregelen

Als een geautomatiseerd besluit wordt genomen wegens de totstandkoming of uitvoering van een overeenkomst of de toestemming van de betrokkene, moet de verwerkingsverantwoordelijke wel passende maatregelen treffen om de rechten en vrijheden van de betrokkene zo goed mogelijk te garanderen. De betrokkene moet in deze gevallen ten minste de mogelijkheid krijgen om:

• Menselijke tussenkomst van de verwerkingsverantwoordelijke te verkrijgen;
• Zijn standpunt kenbaar te maken;
• Het besluit aan te vechten.

Ingaan op een verzoek

Wanneer een verzoek wordt ingediend ter uitvoering van een van de rechten, moeten decentrale overheden die verwerkingsverantwoordelijke zijn binnen een maand na ontvangst van het verzoek een reactie geven over het gevolg dat aan het verzoek is gegeven. Wanneer er bij complexe verzoeken meer tijd nodig is, kan deze periode nog eens met twee maanden verlengd worden. De verlenging moet dan binnen de eerste maand kenbaar worden gemaakt bij de betrokkene. Ook moeten decentrale overheden verifiëren dat degene die het verzoek indient ook daadwerkelijk de betrokkene is.

In artikel 12 AVG leest u meer over het ingaan op een verzoek van een betrokkene.

Wanneer mogen deze rechten beperkt worden?

In bepaalde gevallen kunnen decentrale overheden als verwerkingsverantwoordelijke de rechten van de betrokkene inperken, bijvoorbeeld om de nationale of openbare veiligheid te waarborgen of om de rechten en vrijheden van anderen te beschermen.

De beperking moet gebaseerd zijn op wettelijke bepalingen en de verwerkingsverantwoordelijke moet waarborgen dat de wezenlijke inhoud van grondrechten en fundamentele vrijheden ongeschonden blijft.

Meer informatie over het beperken van de rechten van betrokkenen kunt u vinden in artikel 23 AVG.

Volgens de AVG is een verwerkingsverantwoordelijke: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (artikel 4 lid 7 AVG).

Een verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking vast. Bij het vaststellen daarvan moet echter ook gekeken worden naar de feitelijke invloed die een partij op het doel van de verwerking uitoefent. Als een decentrale overheid bepaalt ‘waarom’ en ‘hoe’ persoonsgegevens moeten worden verwerkt, is zij de verwerkingsverantwoordelijke.

Een medewerker van een gemeente die bijvoorbeeld persoonsgegevens verwerkt om schuldhulp aan te bieden, doet dit om haar taken als verwerkingsverantwoordelijke uit te voeren. De bevoegdheid voor verwerkingsverantwoordelijke kan juridisch zijn vastgelegd.

Gezamenlijke verwerkingsverantwoordelijken

Volgens artikel 26 van de AVG kunnen twee (of meer) partijen ook samen verwerkingsverantwoordelijken zijn. Dan bepalen zij met elkaar het doel en de middelen van de verwerking. In dit geval moeten de verwerkingsverantwoordelijken een regeling treffen over de verwerking van persoonsgegevens. De belangrijkste aspecten van de regeling moeten worden meegedeeld aan de personen van wie de gegevens worden verwerkt. Daarnaast moeten zij vastleggen hoe ze de verplichtingen uit de AVG nakomen, tenzij dit al is vastgelegd in het Europees of lidstatelijk recht.

Let op: deze onderlinge afstemming is wat anders dan de verwerkersovereenkomst.

Verwerker

Volgens de AVG is een verwerker: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’ (artikel 4 lid 8 AVG).

Het gaat er in de praktijk dus om dat de verwerker de verwerking uitvoert voor de verwerkingsverantwoordelijke, zonder dat er daarbij invloed wordt uitgeoefend op het vaststellen van het doel en de middelen van de verwerking. Een verwerker staat ook niet onder direct gezag van de verwerkingsverantwoordelijke. De eigen medewerker van een organisatie die persoonsgegevens verwerkt wordt niet beschouwd als een verwerker in de zin van de AVG.

Een voorbeeld van een verwerker is een salarisadministratiekantoor of een ICT-bedrijf dat de systemen waar de persoonsgegevens in worden verwerkt beheert. Overheidsorganisaties kunnen echter ook optreden als verwerker voor (decentrale) overheden. Hier is sprake van wanneer er bepaalde bevoegdheden worden neergelegd waarbij ook persoonsgegevens verwerkt moeten worden, bijvoorbeeld wanneer een decentrale overheid voor een andere decentrale overheid de hosting verzorgt.

Verplichtingen verwerker

Volgens artikelen 23 tot en met 31 van de AVG moet een verwerker zich aan verschillende regels houden. De verwerker mag de persoonsgegevens alleen maar verwerken in opdracht van de verwerkingsverantwoordelijke. Indien zij een andere verwerker (ook wel: sub-verwerker) in willen schakelen moeten zij toestemming vragen van de verwerkingsverantwoordelijke.

Daarnaast moet de verwerker zich houden aan vergelijkbare verplichtingen als die op de verwerkingsverantwoordelijke liggen. Verwerkers moeten een verwerkingsregister bijhouden en soms een Functionaris voor gegevensbescherming aannemen. Ook is de verwerker verplicht om met de Autoriteit Persoonsgegevens samen te werken, wanneer het uitvoeren van de taken van de toezichthouder dit vereist.

Verwerkersovereenkomst

Als een verwerkingsverantwoordelijke een verwerker inschakelt om hem te ondersteunen bij het verwerken van persoonsgegevens, moeten zij hun samenwerking vastleggen in een overeenkomst. Dat staat in artikel 28 lid 3 van de AVG.

Volgens dit artikel hoort de verwerkersovereenkomst het volgende te bevatten:

• Het onderwerp van de verwerking;
• De duur van de verwerking;
• De aard en het doel van de verwerking;
• Het soort persoonsgegevens dat verwerkt wordt, zoals NAW-gegevens, contactgegevens of betaalgegevens;
• De categorieën van de betrokkene, dat is degene van wie de persoonsgegevens worden verwerkt. U kunt hierbij denken aan bijvoorbeeld klanten, websitebezoekers of werknemers;
• De rechten en verplichtingen van de verwerkingsverantwoordelijke.

In juni 2021 publiceerde de Europese Commissie een standaard verwerkersovereenkomst. Daarnaast heeft de VNG in 2019 een standaardovereenkomst voor gemeenten opgesteld.

Verwerkersovereenkomst in de praktijk

Het kan in de decentrale praktijk lastig zijn vast te stellen welke organisatie zich als verwerkingsverantwoordelijke of verwerker gedraagt, zeker als er meerdere partijen bij een complexe verwerking zijn betrokken. Dat kan het geval zijn bij samenwerkingsverbanden tussen overheidsorganisaties onderling of met private partijen. Het is dan niet altijd duidelijk met welke partijen wel en niet een verwerkersovereenkomst af moet worden gesloten.

U kunt daarom meer informatie over dit onderwerp vinden in onderstaande praktijkvragen:

• Wanneer moet er een verwerkersovereenkomst afgesloten worden?
• Met welke partijen moet een gemeente die deelneemt in een gemeenschappelijke regeling een verwerkersovereenkomst sluiten?

De AVG kent zes verwerkingsbeginselen:

1. Rechtmatigheid, behoorlijkheid en transparantie;
2. Doelbinding;
3. Dataminimalisatie;
4. Juistheid;
5. Opslagbeperking;
6. Vertrouwelijkheid en integriteit.

Rechtmatigheid, behoorlijkheid en transparantie

Uit het eerste verwerkingsbeginsel volgt onder meer dat de verwerking rechtmatig gebeurt. De betekenis van rechtmatig is relatief vanzelfsprekend: decentrale overheden moeten ervoor zorgen dat ze de wet niet overtreden als ze persoonsgegevens verwerken en voor deze verwerking een wettelijke grondslag hebben. Dat betekent dat u een goede reden moet hebben om persoonsgegevens te verwerken.

Het begrip transparantie wordt nader uitgewerkt in de artikelen 12-14 AVG. Een betrokkene moet op de hoogte worden gesteld van het feit dat er verwerking van zijn persoonsgegevens plaatsvindt en waarom dit gebeurt. Het transparantiebeginsel verplicht de verwerkingsverantwoordelijke om deze informatie te communiceren in een begrijpelijke, transparante en gemakkelijk toegankelijke vorm. De informatie moet in duidelijke en eenvoudige taal worden opgesteld, en moet schriftelijk of met andere middelen (bijvoorbeeld elektronisch) verstrekt worden. De betrokkene moet ofwel direct bij het verzamelen van de persoonsgegevens, ofwel binnen een redelijke termijn worden geïnformeerd. Decentrale overheden verstrekken de informatie vaak door een privacyverklaring op hun website te plaatsen.

Doelbinding

Decentrale overheden mogen persoonsgegevens alleen verwerken wanneer zij hier vooraf een uitdrukkelijk omschreven en gerechtvaardigd doeleinde aan verbinden. Denk bijvoorbeeld aan het verzamelen van een e-mailadres met als doel om daar een nieuwsbrief naar te versturen. Er mogen niet meer persoonsgegevens verwerkt worden dan noodzakelijk om het geformuleerde doel te bereiken. Zoveel mogelijk informatie verzamelen ‘voor het geval dit ooit eens nodig is’, is dus niet toegestaan. Wanneer de persoonsgegevens niet meer nodig zijn voor het verwerkingsdoel, moeten deze worden verwijderd of geanonimiseerd.

Dataminimalisatie

Het derde verwerkingsbeginsel ziet op dataminimalisatie. Als decentrale overheden persoonsgegevens verwerken mogen ze namelijk niet meer gegevens verzamelen of gebruiken dan nodig voor de doelen. Hierbij is het belangrijk dat er wordt vermeld welke gegevens worden verzameld en waarom.

Wilt u dezelfde persoonsgegevens voor een ander doel verwerken? Dan heeft u daarvoor wederom een wettelijke grondslag nodig, tenzij het nieuwe doel waarvoor u de gegevens verwerkt verenigbaar is met het oorspronkelijke doel (artikel 6 lid 4 AVG).

Juistheid

Volgens het vierde verwerkingsbeginsel moet de verwerkingsverantwoordelijke ervoor zorgen dat de persoonsgegevens juist zijn. De persoonsgegevens die decentrale overheden verwerken moeten dus correct en actueel zijn. Dat houdt ook in dat de gegevens moeten worden geactualiseerd of verbeterd waar nodig. Dit volgt uit artikel 5 AVG: ‘alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren’.

Opslagbeperking

Organisaties mogen persoonsgegevens niet langer bewaren dan nodig. Alle gegevens die niet langer nodig zijn voor het oorspronkelijke doel waarvoor ze zijn verzameld moeten dus verwijderd worden.

Vertrouwelijkheid en integriteit

Het laatste verwerkingsbeginsel vereist dat persoonsgegevens op de juiste (maatschappelijke betamelijke) manier verwerkt worden. Decentrale overheden moeten persoonsgegevens dus voldoende beveiligen om de integriteit en vertrouwelijkheid te waarborgen. De betrokkene, dat is degene van wie de persoonsgegevens wordt verwerkt, mag niet worden misleid door de verwerkingsverantwoordelijke. Niets mag dus worden verborgen voor de betrokkene. De AVG stelt hier het volgende over: ‘door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging’ (artikel 5 AVG).

Het verschilt per organisatie welke maatregelen het meest geschikt zijn. Een voorbeeld van een dergelijke maatregel is het versleutelen van persoonsgegevens.

Zes grondslagen in de AVG

Het is belangrijk dat er goede redenen zijn om persoonsgegevens te verwerken. Daarom mogen persoonsgegevens alleen verwerkt worden als het echt niet anders kan. De juridische naam voor die redenen is grondslagen en de AVG kent er zes. Hiermee kan iemand rechtvaardig persoonsgegevens verwerken en voldoen aan de verwerkingsbeginselen rechtmatig en behoorlijk. Op deze pagina wordt verder ingegaan op de grondslagen die de AVG heeft opgenomen in artikel 6.

Onder een persoonsgegeven wordt verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’ (artikel 4 lid 1 AVG).

Een persoon is geïdentificeerd wanneer zijn identiteit vastgesteld kan worden aan de hand van direct identificerende gegevens (met een geboortedatum van een persoon). Identificeerbaar betekent dat informatie ook als persoonsgegeven moet worden beschouwd wanneer het gegeven zonder veel inspanning alsnog aan een natuurlijk persoon kan worden gelinkt door bijvoorbeeld bepaalde gegevens aan elkaar te koppelen. Identificatie kan daarmee gebeuren aan de hand van bijvoorbeeld een naam, een identificatienummer, locatiegegevens of de fysieke, genetische, economische kenmerken van een persoon.

De volgende voorbeelden kunnen worden beschouwd als een persoonsgegeven:

• Naam van een persoon;
• Gezichtsafbeelding;
• BSN;
• E-mailadres of telefoonnummer;
• Vingerafdruk;
• IP-adres;
• WOZ-waarde van een huis.

Gegevens over objecten of organisaties zoals een algemeen telefoonnummer of e-mailadres zijn in principe geen persoonsgegevens. Meer informatie hierover staat in deze praktijkvraag.

Ook gegevens die in zulke mate zijn geanonimiseerd dat ze niet meer naar een natuurlijk persoon te herleiden zijn, worden niet meer als persoonsgegevens gezien. Anders is dit wanneer er sprake is van pseudonimisatie en een gegeven weer terug herleid zou kunnen worden naar een natuurlijk persoon.

Bijzondere persoonsgegevens AVG

In sommige gevallen is er sprake van een bijzonder persoonsgegeven. Dit zijn bijvoorbeeld persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon en gegevens over gezondheid of seksuele geaardheid.

Volgens de AVG is het verwerken van bijzondere persoonsgegevens verboden, tenzij er een uitzondering op van toepassing is (artikel 9 AVG). Dit is bijvoorbeeld aan de orde als degene van wie de persoonsgegevens wordt verwerkt, de betrokkene, uitdrukkelijk toestemming voor de verwerking geeft. Er is ook sprake van een uitzondering wanneer de verwerking noodzakelijk is om bepaalde arbeidsrechtelijke verplichtingen uit te voeren.

Strafrechtelijke persoonsgegevens AVG

Artikel 10 van de AVG stelt dat persoonsgegevens rond strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen alleen mogen worden verwerkt onder toezicht van de overheid. Dit is ook mogelijk op basis van Unierechtelijke of lidstaatrechtelijke bepalingen. Richtlijn 2016/680 is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

Een buitengewoon opsporingsambtenaar kan in zijn werkzaamheden zowel met de AVG als Richtlijn 2016/680 te maken krijgen. Meer informatie hierover staat in deze praktijkvraag.

Hoe zorgen gemeenten ervoor dat de verwerking van persoonsgegevens door boa’s privacyproof is?

Verwerken van persoonsgegevens AVG

De AVG stelt regelgeving op voor het verwerken van persoonsgegevens. Het begrip ‘verwerken’ is erg ruim. Een verwerking van persoonsgegevens betekent namelijk alles wat je met deze persoonsgegevens doet.

Volgens de AVG is het verwerken van persoonsgegevens: ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens’ (artikel 4 lid 2 AVG).

Verwerken van persoonsgegevens in de praktijk

In de praktijk kunt u bij het verwerken van persoonsgegevens bijvoorbeeld denken aan het opslaan of vernietigen van deze gegevens. Naast deze veelvoorkomende vormen van verwerken, is ook het verzamelen of doorsturen van persoonsgegevens een verwerking waarbij de regels van de AVG in acht moeten worden genomen.

Wanneer een gemeente bijvoorbeeld persoonlijke informatie van een burger verzamelt via het internet -ook al is dit openbaar-, worden persoonsgegevens geraadpleegd en is de AVG van kracht. Hierdoor moet er zorgvuldig worden omgegaan met deze persoonsgegevens. Een ander voorbeeld kan zijn wanneer een ontvangen e-mail van een burger binnen de eigen organisatie wordt doorgestuurd naar collega’s om de burger te helpen met zijn vraag of ter kennisname. Wanneer bijvoorbeeld de afzendgegevens van de burger nog in de oorspronkelijke e-mail staan, worden zijn persoonsgegevens doorgestuurd. Dit is dus een verwerking van persoonsgegevens, waardoor de AVG in acht moet worden genomen.

Deze voorbeelden laten goed zien dat decentrale overheden in de praktijk vaak persoonsgegevens verwerken. Maar hoe weten decentrale overheden zeker dat het verwerken van persoonsgegevens voldoet aan de regels van de AVG? Een verwerking is toegestaan wanneer er wordt voldaan aan de beginselen uit artikel 5 van de AVG: een verwerking moet rechtmatig, behoorlijk en transparant zijn. Ter aanvulling op de verwerkingsbeginselen van artikel 5 AVG gelden de eisen van subsidiariteit en proportionaliteit. Deze laatste eisen staan niet in de wet, maar zijn algemene rechtsbeginselen. Lees meer over rechtmatige verwerkingen.

Voor meer informatie over het zorgvuldig verwerken van persoonsgegevens door decentrale overheden kunt u terecht bij deze praktijkvraag.

Is zorgvuldig omgaan met persoonsgegevens voldoende?