AVG in het kort

De Algemene Verordening Gegevensbescherming (AVG)
Op 25 mei 2018 gebeurde er iets bijzonders. Op die dag werd namelijk tegelijkertijd in all EU lidstaten een nieuwe privacywet van kracht. De General Data Protection Regulation (GDPR). In het Nederlands vertaald als Algemene Verordening Gegevensbescherming of kortweg AVG. Behalve in het Nederlands is hij ook in veel andere talen vertaald en te downloaden van een site van de Europese Unie, Eurolex.

Op deze site wordt regelmatig verwezen naar wetsartikelen. Hoewel die ook te vinden zijn op Eurolex, wordt nog onvoldoende rekening gehouden met de leesbaarheid op een smartphone. Om die reden wordt dankbaar gebruik gemaakt van het – door hem genoemde – “hobbyproject” avgb.nl van Bart Schellekens.

Op steeds meer plaatsen worden steeds meer gegevens van ons vastgelegd en gebruikt. Soms verstrekken we die zelf, maar soms worden gegevens over ons vastgelegd zonder dat we dat weten. De technologie maakt het mogelijk om op allerlei manieren van die gegevens gebruik te maken. Om de daarmee samenhangende risico’s te beperken, is in Europees verband wetgeving ontwikkeld die regels stelt regels aan het omgaan met die gegevens. Dat “omgaan met gegevens” wordt in de AVG verwerken genoemd. De organisatie aan wie wij onze persoonsgegeven hebben verstrekt is verantwoordelijk voor de verwerking en wordt in de AVG dan ook verwerkingsverantwoordelijke genoemd. In de inleidende tekst (Overweging 7) van de AVG staat, dat betrokkenen (diegenen waarvan persoonsgegevens worden verwerkt) de garantie moeten hebben dat hun persoonsgegevens goed zijn beschermd. Naleving van de AVG moet er voor zorgen dat betrokkenen controle over de eigen gegevens hebben om het vertrouwen in het gebruik van persoonsgegevens te borgen.

In de AVG worden vele begrippen gehanteerd zoals: persoonsgegevens, betrokkene, verwerkingsverantwoordelijke, verwerker, betrokkene, profilering etc. Maar wat wordt daar nu precies onder verstaan. In Artikel 4 van de AVG worden deze begrippen toegelicht.

“Verwerken” houdt meer in dan vaak wordt gedacht (zie de opsomming in Artikel 4.2 van de AVG). Het verwerken van persoonsgegevens is alleen toegestaan als aantoonbaar aan specifieke voorwaarden wordt voldaan.

Persoonsgegevens mogen alleen worden verwerkt als daarvoor een “grondslag” bestaat. De verwerking dient “rechtmatig” te zijn (AVG artikel 6).

Hoewel expliciete toestemming van de betrokkene voor de verwerking van diens persoonsgegevens niet altijd vereist is, dient hij/zij wel goed te worden geïnformeerd. Ook over het specifieke doel van de verwerking (AVG artikel 13). Bovendien moet die toestemming “vrijelijk” (dus niet onder druk) zijn gegeven. Dat laatste wordt uitgelegd in de Overwegingen die je onder de artikelen tussen haakjes aantreft. In dit geval dus onder (AVG artikel 6) in overweging 42.

In de gezondheidszorg geldt als wetmatigheid dat een behandeling wordt gestart, als sprake is van informed consent. Daarbij speelt het ethische aspect, dat van toestemming pas sprake kan zijn als de verstrekte informatie goed is begrepen, een cruciale betekenis. De verstrekte informatie is heel specifiek en gericht op die ene persoon, in dit geval de patiënt. (zie deze toelichting)

Van organisaties wordt verwacht dat passende organisatorische en technische maatregelen zijn genomen om het risico van misbruik of gebruik van persoonsgegevens door onbevoegden te beperken. Dat houdt o.m. in dat bij iedere verwerking, ook in de ontwerpfase, het aantal gegevens wordt beperkt tot uitsluitend die persoonsgegevens, die voor het beoogde doel noodzakelijk zijn (AVG artikel 25) en dat een beveiligingsniveau wordt gehanteerd dat is afgestemd op de verwerkingsrisico’s (AVG artikel 32)

Organisaties verwijzen naar een Privacyverklaring (soms privacy statement genoemd) waarin in algemene termen staat beschreven op welke wijze de organisatie omgaat met persoonsgegevens. In AVG artikel 13 is te lezen wat daar in moet staan. Anders dan het geval is bij informed consent, richt zich een privacyverklaring op alle betrokkenen en mist een toestemming op basis van een privacyverklaring individuele kenmerken. Helaas is er (nog) geen draagvlak voor een individuele – op naam gestelde – privacyovereenkomst. Zie informatie op deze pagina

Met dit plaatje wordt bovenstaande in beeld gebracht.