De Algemene Verordening Gegevensbescherming (AVG) regelt de bescherming van persoonsgegevens binnen de Europese Unie. Door de digitalisering van de samenleving en de toenemende mate waarin er data (waaronder persoonsgegevens) gedeeld werden, bleek het noodzakelijk wetgeving op te stellen ter regulering en bescherming van deze gegevens. De verordening ziet toe op de bescherming van natuurlijke personen en daarmee dus individuen. In deze verordening worden de privacy rechten van deze natuurlijke personen vastgelegd en de verantwoordelijkheden van o.a. decentrale overheden wat betreft de handhaving hiervan.
Verantwoordelijkheden voor decentrale overheden
Bij iedere verwerking van persoonsgegevens hoort een verwerkingsverantwoordelijke die de doelen en middelen van de verwerking bepaalt. De verwerkingsverantwoordelijke is op grond van artikel 4 lid 7 AVG verantwoordelijk voor alle verwerkingen van persoonsgegevens. Decentrale overheden worden gezien als een verwerkingsverantwoordelijke. De organisatie moet kunnen laten zien dat hun verwerkingen aan de regels van de AVG voldoen. Dit is de verantwoordingsplicht. Een decentrale overheid moet bijvoorbeeld aantonen dat de verwerkingen rechtmatig zijn en voldoen aan de verwerkingsbeginselen. Ook moet zij laten zien dat ze de juiste technische en organisatorische maatregelen heeft genomen. De AVG stelt een aantal verplichte maatregelen waarmee een organisatie aan de verantwoordingsplicht voldoet.
De verantwoordelijkheden zien toe op de correcte verwerking van persoonsgegevens, het uitvoeren van verzoeken vanuit de desbetreffende personen met betrekking tot deze persoonsgegevens en de verantwoordingsplicht die decentrale overheden dragen. Deze verantwoordelijkheid omvat bijvoorbeeld het bijhouden van een verwerkingsregister en een datalekregister. Ook moeten decentrale overheden een effectenbeoordeling met betrekking tot de gegevensbescherming uitvoeren, ook wel DPIA (Data Protection Impact Assessment) genoemd. Tevens benoemt de verordening de mogelijke verplichting tot het aanstellen van een Functionaris Gegevensbescherming.
Stand van zaken
De verordening heeft rechtstreekse werking. De AVG is op 25 mei 2016 in werking getreden. Nederland heeft de inhoud van de verordening uitgewerkt in de Uitvoeringswet Algemene verordening gegevensbescherming, welke op 25 mei 2018 in werking trad.
De AVG is overkoepelend van belang voor alle wet- en regelgeving op het gebied van digitalisering waar persoonsgegevens aan de orde zijn.